Le misure di mitigazione condivise di Pulse Secure per la vulnerabilità zero-day denominate CVE-2021-22893, sono nate nell’appliance VPN SSL Pulse Connect Secure (PCS) e sfruttate in attacchi contro organizzazioni di tutto il mondo.
Per quanto riguarda la mitigazione, Pulse afferma che i clienti dovrebbero aggiornare i loro gateway alla versione 9.1R.11.4. La vulnerabilità può essere attenuata in alcuni gateway disabilitando il browser di condivisione file di Windows e la funzionalità di collaborazione sicura di impulsi.
I clienti che desiderano sapere se i loro sistemi sono infetti possono utilizzare Pulse Connect Secure Integrity Tool rilasciato da Pulse Secure. Affinché gli aggiornamenti di sicurezza risolvano questo problema, è necessario attendere il rilascio di maggio.
Questa vulnerabilità è stata sfruttata in natura da sospetti autori di minacce sponsorizzate dallo stato. Hackerano la rete di dozzine di organizzazioni governative, di difesa e finanziarie statunitensi ed europee ed eseguono codice arbitrario su impulsi per connettere gateway sicuri in remoto.
La società di sicurezza informatica FireEye ha rintracciato almeno di questi attori come UNC2630 e UNC2717 e ha utilizzato 12 ceppi di malware nell’attacco.
La società di sicurezza informatica sospettava che UNC2630 avesse una connessione con APT5 che opera per conto del governo cinese.
“Anche se non siamo in grado di collegare definitivamente UNC2630 ad APT5, o qualsiasi altro gruppo APT esistente, una terza parte fidata ha scoperto prove che collegano questa attività a campagne storiche che Mandiant traccia come attore di spionaggio cinese APT5”, ha detto FireEye.
“Anche se non possiamo stabilire le stesse connessioni, la valutazione di terze parti è coerente con la nostra comprensione di APT5 e dei loro storici TTP e obiettivi”.
Secondo FireEye:
- L’UNC2630 ha preso di mira le società DIB statunitensi già nell’agosto 2020 fino a marzo 2021 con SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE e PULSECHECK.
- L’UNC2717 ha preso di mira il governo globale con HARDPULSE, QUIETPULSE e PULSEJUMP tra ottobre 2020 e marzo 2021.
Charles Carmakal, SVP e CTO di FireEye Mandiant ha dichiarato: “Questi attori sono altamente qualificati e hanno una profonda conoscenza tecnica del prodotto Pulse Secure”.
“Hanno sviluppato malware che ha consentito loro di raccogliere le credenziali di Active Directory e bypassare l’autenticazione a più fattori sui dispositivi Pulse Secure per accedere alle reti delle vittime.
“Hanno modificato gli script sul sistema Pulse Secure che ha permesso al malware di sopravvivere agli aggiornamenti del software e ai ripristini di fabbrica. Questo mestiere ha consentito agli attori di mantenere l’accesso agli ambienti delle vittime per diversi mesi senza essere rilevati”.
Secondo Carmakal, l’obiettivo principale dell’UNC2630 è mantenere l’accesso a lungo termine alle reti, raccogliere credenziali e rubare dati proprietari.
Attualmente, non ci sono prove sufficienti che questi attori delle minacce abbiano introdotto backdoor attraverso la compromissione della catena di approvvigionamento della rete o del processo di distribuzione del software di Pulse Secure.