Les mesures d’att\u00e9nuation partag\u00e9es de Pulse Secure pour la vuln\u00e9rabilit\u00e9 zero-day appel\u00e9es CVE-2021-22893, sont apparues dans l’appliance VPN SSL Pulse Connect Secure (PCS) et exploit\u00e9es dans des attaques contre des organisations mondiales.<\/p>\n
Conform\u00e9ment \u00e0 l’att\u00e9nuation, Pulse indique que les clients devraient mettre \u00e0 niveau leurs passerelles vers la version 9.1R.11.4. La vuln\u00e9rabilit\u00e9 peut \u00eatre att\u00e9nu\u00e9e dans certaines passerelles en d\u00e9sactivant le navigateur de partage de fichiers Windows et la fonctionnalit\u00e9 Pulse Secure Collaboration.<\/p>\n
Les clients qui souhaitent savoir si leurs syst\u00e8mes sont infect\u00e9s peuvent utiliser l’outil Pulse Connect Secure Integrity Tool publi\u00e9 par Pulse Secure. Pour que les mises \u00e0 jour de s\u00e9curit\u00e9 r\u00e9solvent ce probl\u00e8me, ils doivent attendre la version de mai.<\/p>\n
Cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 exploit\u00e9e dans la nature par des acteurs pr\u00e9sum\u00e9s mena\u00e7ants parrain\u00e9s par l’\u00c9tat. Ils piratent le r\u00e9seau de dizaines d’organisations gouvernementales, de d\u00e9fense et financi\u00e8res am\u00e9ricaines et europ\u00e9ennes et ex\u00e9cutent du code arbitraire sur des passerelles s\u00e9curis\u00e9es \u00e0 distance.<\/p>\n
La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 FireEye a retrac\u00e9 au moins de ces acteurs les noms UNC2630 et UNC2717 et d\u00e9ploy\u00e9 au total 12 souches de logiciels malveillants dans l’attaque.<\/p>\n
La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 soup\u00e7onne l’UNC2630 d’avoir un lien avec APT5 qui op\u00e8re pour le compte du gouvernement chinois.<\/p>\n
“Bien que nous ne soyons pas en mesure de connecter d\u00e9finitivement UNC2630 \u00e0 APT5, ou \u00e0 tout autre groupe APT existant, un tiers de confiance a d\u00e9couvert des preuves reliant cette activit\u00e9 \u00e0 des campagnes historiques que Mandiant consid\u00e8re comme l’acteur d’espionnage chinois APT5”, a d\u00e9clar\u00e9 FireEye.<\/p>\n
“Bien que nous ne puissions pas \u00e9tablir les m\u00eames liens, l’\u00e9valuation par une tierce partie est coh\u00e9rente avec notre compr\u00e9hension d’APT5 et de leurs TTP et objectifs historiques.”<\/p>\n
Selon FireEye:<\/p>\n
Charles Carmakal, SVP et CTO de FireEye Mandiant a d\u00e9clar\u00e9: “Ces acteurs sont hautement qualifi\u00e9s et poss\u00e8dent une connaissance technique approfondie du produit Pulse Secure”.<\/p>\n
\u00abIls ont d\u00e9velopp\u00e9 des logiciels malveillants qui leur ont permis de collecter des informations d’identification Active Directory et de contourner l’authentification multifacteur sur les appareils Pulse Secure pour acc\u00e9der aux r\u00e9seaux victimes.<\/p>\n
\u00abIls ont modifi\u00e9 les scripts du syst\u00e8me Pulse Secure, ce qui a permis au malware de survivre aux mises \u00e0 jour logicielles et aux r\u00e9initialisations d’usine. Ce m\u00e9tier a permis aux acteurs de maintenir l’acc\u00e8s aux environnements victimes pendant plusieurs mois sans \u00eatre d\u00e9tect\u00e9.<\/p>\n
Selon Carmakal, l’objectif principal de l’UNC2630 est de maintenir un acc\u00e8s \u00e0 long terme aux r\u00e9seaux, de collecter des informations d’identification et de voler des donn\u00e9es propri\u00e9taires.<\/p>\n
\u00c0 l\u2019heure actuelle, il n\u2019existe pas suffisamment de preuves que ces acteurs de la menace aient introduit des portes d\u00e9rob\u00e9es en compromettant la cha\u00eene logistique du processus de d\u00e9ploiement du r\u00e9seau ou du logiciel de Pulse Secure.<\/p>\n","protected":false},"excerpt":{"rendered":"
Les mesures d’att\u00e9nuation partag\u00e9es de Pulse Secure pour la vuln\u00e9rabilit\u00e9 zero-day appel\u00e9es CVE-2021-22893, sont apparues dans l’appliance VPN SSL Pulse Connect Secure (PCS) et exploit\u00e9es dans des attaques contre des … <\/p>\n","protected":false},"author":2,"featured_media":1123,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-1121","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"_links":{"self":[{"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/posts\/1121","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/comments?post=1121"}],"version-history":[{"count":0,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/posts\/1121\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/media\/1123"}],"wp:attachment":[{"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/media?parent=1121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/categories?post=1121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pctransformation.com\/fr\/wp-json\/wp\/v2\/tags?post=1121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}