Gemeinsame Maßnahmen zur Schadensbegrenzung von Pulse Secure für Zero-Day-Sicherheitslücken mit dem Namen CVE-2021-22893 wurden in der SSL-VPN-Appliance von Pulse Connect Secure (PCS) entwickelt und bei Angriffen gegen weltweite Organisationen ausgenutzt.
Laut Pulse sollten die Kunden ihre Gateways auf die Version 9.1R.11.4 aktualisieren. Die Sicherheitsanfälligkeit kann in einigen Gateways durch Deaktivieren des Windows-Dateifreigabe-Browsers und der Pulse Secure Collaboration-Funktion verringert werden.
Kunden, die wissen möchten, ob ihre Systeme infiziert sind, können das von Pulse Secure veröffentlichte Pulse Connect Secure Integrity Tool verwenden. Damit die Sicherheitsupdates dieses Problem beheben können, müssen sie auf die Veröffentlichung im Mai warten.
Diese Sicherheitsanfälligkeit wurde in freier Wildbahn von mutmaßlichen staatlich geförderten Bedrohungsakteuren ausgenutzt. Sie hacken das Netzwerk von Dutzenden von US- und europäischen Regierungs-, Verteidigungs- und Finanzorganisationen und führen beliebigen Code aus der Ferne aus, um sichere Gateways aus der Ferne zu verbinden.
Das Cyber-Sicherheitsunternehmen FireEye verfolgte mindestens diese Akteure als UNC2630 und UNC2717 und setzte bei dem Angriff insgesamt 12 Malware-Stämme ein.
Das Cybersicherheitsunternehmen vermutete, dass UNC2630 eine Verbindung zu APT5 hat, die im Auftrag der chinesischen Regierung betrieben wird.
“Obwohl wir UNC2630 nicht definitiv mit APT5 oder einer anderen bestehenden APT-Gruppe verbinden können, hat ein vertrauenswürdiger Dritter Beweise gefunden, die diese Aktivität mit historischen Kampagnen in Verbindung bringen, die Mandiant als chinesischer Spionageschauspieler APT5 verfolgt”, sagte FireEye.
“Obwohl wir nicht dieselben Verbindungen herstellen können, stimmt die Bewertung durch Dritte mit unserem Verständnis von APT5 und ihren historischen TTPs und Zielen überein.”
Gemäß FireEye:
- UNC2630 richtete sich bereits im August 2020 bis März 2021 an US-amerikanische DIB-Unternehmen mit SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE und PULSECHECK.
- UNC2717 zielte zwischen Oktober 2020 und März 2021 mit HARDPULSE, QUIETPULSE UND PULSEJUMP auf eine globale Regierung ab.
Charles Carmakal, FireEye Mandiant SVP und CTO sagten: “Diese Akteure sind hochqualifiziert und verfügen über fundierte technische Kenntnisse des Pulse Secure-Produkts.”
“Sie entwickelten Malware, mit der sie Active Directory-Anmeldeinformationen sammeln und die Multifaktorauthentifizierung auf Pulse Secure-Geräten umgehen konnten, um auf die Netzwerke der Opfer zuzugreifen.
“Sie haben Skripte auf dem Pulse Secure-System geändert, die es der Malware ermöglichten, Software-Updates und Werksresets zu überstehen. Mit diesem Handwerk konnten die Akteure mehrere Monate lang auf Opferumgebungen zugreifen, ohne entdeckt zu werden.”
Laut Carmakal besteht das Hauptziel des UNC2630 darin, den langfristigen Zugang zu Netzwerken aufrechtzuerhalten, Anmeldeinformationen zu sammeln und proprietäre Daten zu stehlen.
Derzeit gibt es nicht genügend Anhaltspunkte dafür, dass diese Bedrohungsakteure durch Kompromisse in der Lieferkette des Netzwerk- oder Softwarebereitstellungsprozesses von Pulse Secure Hintertüren eingeführt haben.
