As medidas de mitigação compartilhadas da Pulse Secure para a vulnerabilidade de dia zero, chamadas CVE-2021-22893, surgiram no dispositivo SSL VPN da Pulse Connect Secure (PCS) e foram exploradas em ataques contra organizações em todo o mundo.
De acordo com a mitigação, o Pulse diz que os clientes devem atualizar seus gateways para a versão 9.1R.11.4. A vulnerabilidade pode ser atenuada em alguns gateways desativando o Windows File Share Browser e o recurso Pulse Secure Collaboration.
Os clientes que desejam saber se seus sistemas estão infectados podem usar a ferramenta de integridade segura do Pulse Connect, lançada pela Pulse Secure. Para que as atualizações de segurança resolvam esse problema, eles precisam aguardar o lançamento de maio.
Esta vulnerabilidade foi explorada em estado selvagem por suspeitos de serem agentes de ameaças patrocinados pelo estado. Eles invadem a rede de dezenas de organizações governamentais, de defesa e financeiras dos Estados Unidos e da Europa e executam códigos arbitrários em gateways seguros de conexão de pulso remotamente.
A firma de segurança cibernética FireEye rastreou pelo menos desses atores como UNC2630 e UNC2717 e implantou um total de 12 cepas de malware no ataque.
A empresa de segurança cibernética suspeitou que o UNC2630 tem uma conexão com o APT5 que opera em nome do governo chinês.
“Embora não possamos conectar definitivamente o UNC2630 ao APT5, ou qualquer outro grupo APT existente, um terceiro confiável descobriu evidências conectando essa atividade a campanhas históricas que Mandiant rastreia como o ator de espionagem chinês APT5”, disse FireEye.
“Embora não possamos fazer as mesmas conexões, a avaliação de terceiros é consistente com nosso entendimento do APT5 e seus históricos TTPs e metas.”
De acordo com FireEye:
- UNC2630 teve como alvo empresas DIB dos EUA desde agosto de 2020 até março de 2021 com SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE e PULSECHECK.
- O UNC2717 teve como alvo o governo global com HARDPULSE, QUIETPULSE e PULSEJUMP entre outubro de 2020 e março de 2021.
Charles Carmakal, FireEye Mandiant SVP e CTO disse, “Esses atores são altamente qualificados e têm profundo conhecimento técnico do produto Pulse Secure”.
“Eles desenvolveram malware que lhes permitiu coletar credenciais do Active Directory e contornar a autenticação multifator em dispositivos Pulse Secure para acessar as redes das vítimas.
“Eles modificaram os scripts no sistema Pulse Secure, que permitiu que o malware sobrevivesse às atualizações de software e às redefinições de fábrica. Essa técnica permitiu que os atores mantivessem o acesso aos ambientes das vítimas por vários meses sem serem detectados.”
De acordo com Carmakal, o principal objetivo do UNC2630 é manter o acesso de longo prazo às redes, coletar credenciais e roubar dados proprietários.
Atualmente, não há evidências suficientes de que esses agentes de ameaça introduziram quaisquer backdoors através do comprometimento da cadeia de abastecimento da rede da Pulse Secure ou do processo de implantação de software.
