As medidas de mitiga\u00e7\u00e3o compartilhadas da Pulse Secure para a vulnerabilidade de dia zero, chamadas CVE-2021-22893, surgiram no dispositivo SSL VPN da Pulse Connect Secure (PCS) e foram exploradas em ataques contra organiza\u00e7\u00f5es em todo o mundo.<\/p>\n
De acordo com a mitiga\u00e7\u00e3o, o Pulse diz que os clientes devem atualizar seus gateways para a vers\u00e3o 9.1R.11.4. A vulnerabilidade pode ser atenuada em alguns gateways desativando o Windows File Share Browser e o recurso Pulse Secure Collaboration.<\/p>\n
Os clientes que desejam saber se seus sistemas est\u00e3o infectados podem usar a ferramenta de integridade segura do Pulse Connect, lan\u00e7ada pela Pulse Secure. Para que as atualiza\u00e7\u00f5es de seguran\u00e7a resolvam esse problema, eles precisam aguardar o lan\u00e7amento de maio.<\/p>\n
Esta vulnerabilidade foi explorada em estado selvagem por suspeitos de serem agentes de amea\u00e7as patrocinados pelo estado. Eles invadem a rede de dezenas de organiza\u00e7\u00f5es governamentais, de defesa e financeiras dos Estados Unidos e da Europa e executam c\u00f3digos arbitr\u00e1rios em gateways seguros de conex\u00e3o de pulso remotamente.<\/p>\n
A firma de seguran\u00e7a cibern\u00e9tica FireEye rastreou pelo menos desses atores como UNC2630 e UNC2717 e implantou um total de 12 cepas de malware no ataque.<\/p>\n
A empresa de seguran\u00e7a cibern\u00e9tica suspeitou que o UNC2630 tem uma conex\u00e3o com o APT5 que opera em nome do governo chin\u00eas.<\/p>\n
“Embora n\u00e3o possamos conectar definitivamente o UNC2630 ao APT5, ou qualquer outro grupo APT existente, um terceiro confi\u00e1vel descobriu evid\u00eancias conectando essa atividade a campanhas hist\u00f3ricas que Mandiant rastreia como o ator de espionagem chin\u00eas APT5”, disse FireEye.<\/p>\n
“Embora n\u00e3o possamos fazer as mesmas conex\u00f5es, a avalia\u00e7\u00e3o de terceiros \u00e9 consistente com nosso entendimento do APT5 e seus hist\u00f3ricos TTPs e metas.”<\/p>\n
De acordo com FireEye:<\/p>\n
Charles Carmakal, FireEye Mandiant SVP e CTO disse, “Esses atores s\u00e3o altamente qualificados e t\u00eam profundo conhecimento t\u00e9cnico do produto Pulse Secure”.<\/p>\n
\u201cEles desenvolveram malware que lhes permitiu coletar credenciais do Active Directory e contornar a autentica\u00e7\u00e3o multifator em dispositivos Pulse Secure para acessar as redes das v\u00edtimas.<\/p>\n
“Eles modificaram os scripts no sistema Pulse Secure, que permitiu que o malware sobrevivesse \u00e0s atualiza\u00e7\u00f5es de software e \u00e0s redefini\u00e7\u00f5es de f\u00e1brica. Essa t\u00e9cnica permitiu que os atores mantivessem o acesso aos ambientes das v\u00edtimas por v\u00e1rios meses sem serem detectados.”<\/p>\n
De acordo com Carmakal, o principal objetivo do UNC2630 \u00e9 manter o acesso de longo prazo \u00e0s redes, coletar credenciais e roubar dados propriet\u00e1rios.<\/p>\n
Atualmente, n\u00e3o h\u00e1 evid\u00eancias suficientes de que esses agentes de amea\u00e7a introduziram quaisquer backdoors atrav\u00e9s do comprometimento da cadeia de abastecimento da rede da Pulse Secure ou do processo de implanta\u00e7\u00e3o de software.<\/p>\n","protected":false},"excerpt":{"rendered":"
As medidas de mitiga\u00e7\u00e3o compartilhadas da Pulse Secure para a vulnerabilidade de dia zero, chamadas CVE-2021-22893, surgiram no dispositivo SSL VPN da Pulse Connect Secure (PCS) e foram exploradas em … <\/p>\n","protected":false},"author":2,"featured_media":1107,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-1105","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"_links":{"self":[{"href":"https:\/\/pctransformation.com\/pt\/wp-json\/wp\/v2\/posts\/1105","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pctransformation.com\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pctransformation.com\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/pt\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/pt\/wp-json\/wp\/v2\/comments?post=1105"}],"version-history":[{"count":0,"href":"https:\/\/pctransformation.com\/pt\/wp-json\/wp\/v2\/posts\/1105\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pctransformation.com\/pt\/wp-json\/wp\/v2\/media\/1107"}],"wp:attachment":[{"href":"https:\/\/pctransformation.com\/pt\/wp-json\/wp\/v2\/media?parent=1105"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pctransformation.com\/pt\/wp-json\/wp\/v2\/categories?post=1105"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pctransformation.com\/pt\/wp-json\/wp\/v2\/tags?post=1105"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}