CVE-2021-22893と呼ばれるゼロデイ脆弱性に対するPulseSecureの共有緩和策は、Pulse Connect Secure(PCS)SSL VPNアプライアンスで発生し、世界中の組織に対する攻撃で悪用されました。
緩和策に従って、Pulseは、顧客がゲートウェイを9.1R.11.4リリースにアップグレードする必要があると述べています。一部のゲートウェイでは、Windowsファイル共有ブラウザとパルスセキュアコラボレーション機能を無効にすることで、この脆弱性を軽減できます。
システムが感染しているかどうかを知りたいお客様は、PulseSecureがリリースしたPulseConnect Secure IntegrityToolを使用できます。この問題を解決するためのセキュリティアップデートについては、5月のリリースを待つ必要があります。
この脆弱性は、国家が後援していると疑われる脅威アクターによって実際に悪用されました。彼らは、数十の米国およびヨーロッパの政府、防衛、金融機関のネットワークをハッキングし、パルス接続の安全なゲートウェイで任意のコードをリモートで実行します。
サイバーセキュリティ会社のFireEyeは、少なくともこれらの攻撃者をUNC2630およびUNC2717として追跡し、合計12のマルウェア株を攻撃に展開しました。
サイバーセキュリティ会社は、UNC2630が中国政府に代わって運営されているAPT5と関係があると疑っていました。
「UNC2630をAPT5やその他の既存のAPTグループに明確に接続することはできませんが、信頼できる第三者機関が、この活動を中国のスパイ活動家APT5として追跡している歴史的なキャンペーンに関連付ける証拠を発見しました」とFireEyeは述べています。
「同じ関係を築くことはできませんが、サードパーティの評価は、APT5とその歴史的なTTPおよびターゲットについての私たちの理解と一致しています。」
FireEyeによると:
- UNC2630は、2020年8月から2021年3月まで、SLOWPULSE、RADIALPULSE、THINBLOOD、ATRIUM、PACEMAKER、SLIGHTPULSE、およびPULSECHECKを使用して米国のDIB企業をターゲットにしました。
- UNC2717は、2020年10月から2021年3月の間に、HARDPULSE、QUIETPULSE、およびPULSEJUMPで世界政府を標的にしました。
FireEyeMandiantのSVP兼CTOであるCharlesCarmakalは、「これらのアクターは高度なスキルを持ち、PulseSecure製品に関する深い技術的知識を持っています」と述べています。
「彼らは、Active Directoryクレデンシャルを収集し、PulseSecureデバイスで多要素認証をバイパスして被害者のネットワークにアクセスできるようにするマルウェアを開発しました。
「彼らはPulseSecureシステムのスクリプトを変更し、マルウェアがソフトウェアの更新や工場出荷時のリセットに耐えられるようにしました。このトレードクラフトにより、攻撃者は検出されることなく数か月間被害者の環境へのアクセスを維持できました。」
Carmakalによると、UNC2630の主な目的は、ネットワークへの長期アクセスを維持し、資格情報を収集し、専有データを盗むことです。
現在、これらの脅威アクターが、PulseSecureのネットワークまたはソフトウェア展開プロセスのサプライチェーンの侵害を通じてバックドアを導入したという十分な証拠はありません。
