Las medidas de mitigación compartidas Pulse Secure para la vulnerabilidad de día cero llamadas CVE-2021-22893, surgieron en el dispositivo VPN SSL Pulse Connect Secure (PCS) y se explotaron en ataques contra organizaciones de todo el mundo.
Según la mitigación, Pulse dice que los clientes deben actualizar sus puertas de enlace a la versión 9.1R.11.4. La vulnerabilidad se puede mitigar en algunas puertas de enlace desactivando la función Explorador de archivos compartidos de Windows y Pulse Secure Collaboration.
Los clientes que deseen saber si sus sistemas están infectados pueden utilizar la herramienta de integridad segura Pulse Connect lanzada por Pulse Secure. Para que las actualizaciones de seguridad resuelvan este problema, deben esperar al lanzamiento de mayo.
Esta vulnerabilidad fue explotada en la naturaleza por presuntos actores de amenazas patrocinados por el estado. Hackearon la red de docenas de organizaciones gubernamentales, de defensa y financieras de EE. UU. Y Europa y ejecutan código arbitrario en el pulso conectan puertas de enlace seguras de forma remota.
La firma de ciberseguridad FireEye rastreó al menos a estos actores como UNC2630 y UNC2717 y desplegó un total de 12 cepas de malware en el ataque.
La firma de ciberseguridad sospechaba que UNC2630 tiene una conexión con APT5 que opera en nombre del gobierno chino.
“Aunque no podemos conectar definitivamente UNC2630 a APT5, o cualquier otro grupo de APT existente, un tercero confiable ha descubierto evidencia que conecta esta actividad con campañas históricas que Mandiant rastrea como el actor de espionaje chino APT5”, dijo FireEye.
“Si bien no podemos hacer las mismas conexiones, la evaluación de terceros es consistente con nuestra comprensión de APT5 y sus TTP y objetivos históricos”.
Según FireEye:
- UNC2630 se dirigió a empresas DIB de EE. UU. Desde agosto de 2020 hasta marzo de 2021 con SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE y PULSECHECK.
- La UNC2717 apuntó al gobierno global con HARDPULSE, QUIETPULSE y PULSEJUMP entre octubre de 2020 y marzo de 2021.
Charles Carmakal, vicepresidente sénior y director de tecnología de FireEye Mandiant dijo: “Estos actores son altamente calificados y tienen un profundo conocimiento técnico del producto Pulse Secure”.
“Desarrollaron malware que les permitió recolectar credenciales de Active Directory y eludir la autenticación multifactor en dispositivos Pulse Secure para acceder a las redes de las víctimas.
“Modificaron los scripts en el sistema Pulse Secure, lo que permitió que el malware sobreviviera a las actualizaciones de software y los restablecimientos de fábrica. Esta técnica permitió a los actores mantener el acceso a los entornos de las víctimas durante varios meses sin ser detectados”.
Según Carmakal, el objetivo principal del UNC2630 es mantener el acceso a las redes a largo plazo, recopilar credenciales y robar datos patentados.
Actualmente, no hay suficiente evidencia de que estos actores de amenazas hayan introducido puertas traseras a través del compromiso de la cadena de suministro de la red de Pulse Secure o el proceso de implementación de software.
