Les mesures d’atténuation partagées de Pulse Secure pour la vulnérabilité zero-day appelées CVE-2021-22893, sont apparues dans l’appliance VPN SSL Pulse Connect Secure (PCS) et exploitées dans des attaques contre des organisations mondiales.
Conformément à l’atténuation, Pulse indique que les clients devraient mettre à niveau leurs passerelles vers la version 9.1R.11.4. La vulnérabilité peut être atténuée dans certaines passerelles en désactivant le navigateur de partage de fichiers Windows et la fonctionnalité Pulse Secure Collaboration.
Les clients qui souhaitent savoir si leurs systèmes sont infectés peuvent utiliser l’outil Pulse Connect Secure Integrity Tool publié par Pulse Secure. Pour que les mises à jour de sécurité résolvent ce problème, ils doivent attendre la version de mai.
Cette vulnérabilité a été exploitée dans la nature par des acteurs présumés menaçants parrainés par l’État. Ils piratent le réseau de dizaines d’organisations gouvernementales, de défense et financières américaines et européennes et exécutent du code arbitraire sur des passerelles sécurisées à distance.
La société de cybersécurité FireEye a retracé au moins de ces acteurs les noms UNC2630 et UNC2717 et déployé au total 12 souches de logiciels malveillants dans l’attaque.
La société de cybersécurité soupçonne l’UNC2630 d’avoir un lien avec APT5 qui opère pour le compte du gouvernement chinois.
“Bien que nous ne soyons pas en mesure de connecter définitivement UNC2630 à APT5, ou à tout autre groupe APT existant, un tiers de confiance a découvert des preuves reliant cette activité à des campagnes historiques que Mandiant considère comme l’acteur d’espionnage chinois APT5”, a déclaré FireEye.
“Bien que nous ne puissions pas établir les mêmes liens, l’évaluation par une tierce partie est cohérente avec notre compréhension d’APT5 et de leurs TTP et objectifs historiques.”
Selon FireEye:
- L’UNC2630 a ciblé les entreprises américaines DIB dès août 2020 jusqu’en mars 2021 avec SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE et PULSECHECK.
- La CNU2717 a ciblé le gouvernement mondial avec HARDPULSE, QUIETPULSE ET PULSEJUMP entre octobre 2020 et mars 2021.
Charles Carmakal, SVP et CTO de FireEye Mandiant a déclaré: “Ces acteurs sont hautement qualifiés et possèdent une connaissance technique approfondie du produit Pulse Secure”.
«Ils ont développé des logiciels malveillants qui leur ont permis de collecter des informations d’identification Active Directory et de contourner l’authentification multifacteur sur les appareils Pulse Secure pour accéder aux réseaux victimes.
«Ils ont modifié les scripts du système Pulse Secure, ce qui a permis au malware de survivre aux mises à jour logicielles et aux réinitialisations d’usine. Ce métier a permis aux acteurs de maintenir l’accès aux environnements victimes pendant plusieurs mois sans être détecté.
Selon Carmakal, l’objectif principal de l’UNC2630 est de maintenir un accès à long terme aux réseaux, de collecter des informations d’identification et de voler des données propriétaires.
À l’heure actuelle, il n’existe pas suffisamment de preuves que ces acteurs de la menace aient introduit des portes dérobées en compromettant la chaîne logistique du processus de déploiement du réseau ou du logiciel de Pulse Secure.