Defectos de Pulse Protected VPN explotados para apuntar a EE. UU …



Los atacantes vinculados a China han utilizado vulnerabilidades en el dispositivo Pulse Protected VPN para atacar las redes de la Base Industrial de Defensa de EE. UU.

Los atacantes del estado-nación están explotando vulnerabilidades de alta gravedad en Pulse Protected VPN para violar las redes dentro del sector de defensa de EE. UU. Y organizaciones de todo el mundo, informan los investigadores.

La firma de program de TI Ivanti, que adquirió Pulse Secure a fines del año pasado, confirmó hoy que los atacantes se han dirigido a un «número limitado de clientes» que utilizan dispositivos Pulse Connect Protected (PCS). Ha estado trabajando con Mandiant, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y otros para responder a los exploits, que apuntan a tres vulnerabilidades conocidas y un día cero.

Los tres defectos conocidos incluyen CVE-2020-8243, CVE-2020-8260, y CVE-2019-11510, cual CISA advirtió recientemente se encuentra entre varios CVE que están siendo atacados por el Servicio de Inteligencia Exterior de Rusia (SVR) en sus esfuerzos por atacar las redes estadounidenses y aliadas, incluidos los sistemas gubernamentales y de seguridad nacional. Todas estas vulnerabilidades se repararon en 2019 y 2020, Ivanti dice.

CVE-2021-22893, un nuevo problema descubierto este mes, es una vulnerabilidad de omisión de autenticación que podría permitir que un atacante no autenticado ejecute un archivo arbitrario en la puerta de enlace segura Pulse Connect. Ivanti ha proporcionado mitigaciones para la falla crítica y desarrolló una herramienta para que las empresas confirmen si se ven afectadas. Una actualización de software program estará disponible en mayo.

La compañía no confirmó qué grupo está detrás de las hazañas sin embargo, un informe de Mandiant también publicado esta mañana proporciona más detalles sobre los ataques dirigidos a Pulse Protected CVE y apunta a las conexiones entre esta actividad de ataque y un grupo con vínculos con el gobierno chino.

Los investigadores actualmente están rastreando 12 familias de malware asociadas con la explotación de Pulse Protected VPN, escriben Dan Perez, Sarah Jones, Greg Wooden y Stephen Eckels de Mandiant en su informe. Si bien cada una de estas familias está relacionada con eludir la autenticación y obtener acceso de puerta trasera a las VPN, no están necesariamente relacionadas y se han visto en ataques separados.

Es possible que varios grupos de ataque estén explotando estas vulnerabilidades sin embargo, el enfoque de esta investigación está en UNC2630 y sus ataques contra las redes de la Base Industrial de Defensa de los Estados Unidos (DIB).

A principios de este año, Mandiant había estado investigando ataques contra organizaciones de defensa, gubernamentales y financieras de todo el mundo. Cada uno de estos ataques se remonta a rangos de direcciones IP de DHCP que pertenecen a Pulse Safe VPN, pero en muchos casos los investigadores no pudieron definir cómo los atacantes obtuvieron acceso de administrador. Con el análisis de Ivanti, descubrieron que algunas de estas intrusiones se debían a las fallas parcheadas de Pulse Safe otros procedían de CVE-2021-22893.

Se vio a UNC2630 robando credenciales de varios flujos de inicio de sesión de Pulse Secure, lo que les permitió usar credenciales de cuenta legítimas para moverse a entornos de destino. Para permanecer persistentes, los atacantes utilizaron binarios y scripts de Pulse Protected modificados en la VPN.

Una vez que lograron la persistencia, los atacantes pudieron realizar una variedad de actividades. Trojanizaron objetos compartidos para registrar credenciales y omitir los flujos de autenticación, incluidos los requisitos de autenticación multifactor. Inyectaron shells web en las páginas internet administrativas legítimas de Pulse Secure accesibles a Web, mantuvieron la persistencia en las actualizaciones generales de VPN realizadas por los administradores, y los archivos modificados sin parches y las utilidades y scripts eliminados para evadir la detección, entre otras acciones. los investigadores explican en sus hallazgos.

«Estamos en las primeras etapas de la recopilación de pruebas y la realización de evaluaciones de atribución y hay una serie de lagunas en nuestra comprensión de UNC2630, UNC2717 y estas 12 familias de códigos», escriben.

La infraestructura, las herramientas y el comportamiento de UNC2630 en la pink eran nuevos para el equipo de Mandiant, que no los había visto en ninguna otra campaña. Pero si bien estos factores eran exclusivos de este grupo, los analistas encontraron «fuertes similitudes» con otras intrusiones que se remontan a 2014 y 2015, que fueron realizadas por el grupo de espionaje chino APT5. También tienen evidencia limitada que indica que UNC2630 puede operar en nombre del gobierno chino.

Si bien Mandiant no puede vincular definitivamente UNC2630 a APT5, señala que otros investigadores han vinculado esta actividad en particular a otros ataques que Mandiant ha rastreado como actividad de espionaje chino. Esta evaluación de terceros es consistente con su comprensión de APT5, un actor que dice ha mostrado interés en comprometer los dispositivos de crimson y el software en el que se ejecutan.

Para las organizaciones que utilizan Pulse Protected Join, Mandiant aconseja evaluar el impacto de las mitigaciones de Pulse Secure y aplicarlas si es posible. Ivanti recomienda restablecer las contraseñas y revisar las configuraciones para asegurarse de que no se puedan utilizar cuentas de servicio para autenticarse ante la vulnerabilidad.

CISA también ha emitió una alerta advirtiendo de la explotación de estas vulnerabilidades.

Kelly Sheridan es la editora de private de Dark Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first