Pulse Secure VPN中零日漏洞被用于攻击

日期: 2021-04-25 作者:Arielle Waldman翻译:邹铮 来源:TechTarget中国 英文

攻击者正在利用Pulse Secure VPN设备中的零日漏洞对政府目标以及金融机构和国防承包商发起攻击。

在周二发布的安全公告中,Pulse Secure透露在其Pulse Connect Secure(PCS)系列中发现漏洞,该漏洞使未经身份验证的远程攻击者可以绕过身份验证并执行任意代码。这个严重漏洞被命名为CVE-2021-22899,CVSS评分为满分10分,并且影响PCS 9.0R3及更高版本。 Pulse Secure表示,该漏洞给客户部署带来重大风险,而且该问题仅影响数量非常有限的客户。

该风险非常严重,以至于在周二,美国网络安全和基础架构安全局(CISA)发布一项紧急指令,要求运行Pulse Secure产品的联邦民政部门和机构“检测和缓解在其网络上检测到的任何异常活动或主动漏洞利用”。此外,Pulse Secure开发出用于缓解漏洞的Identity Checker工具,CISA紧急指令要求所有受影响的机构都使用该工具。

尽管已经发布工具,但修复该漏洞的最终补丁要到在5月初才会发布。但是,FireEye的Mandiant威胁情报小组已检测到零日漏洞。

对于涉及Pulse Secure VPN设备的多起安全事件,Mandiant威胁研究人员周二发布报告,其中包含有关这个新漏洞的详细信息以及正在利用该漏洞的攻击者的信息。根据该报告指出,Pulse Secure的调查确定,攻击者的初始感染媒介是同时利用先前的漏洞和2021年4月发现的先前未知漏洞。Mandiant说,他们今年初发现全球范围针对国防、政府和金融机构的多次攻击。

该报告指出:“在每次入侵中,攻击者活动的最早证据可追溯到受影响环境中属于Pulse Secure VPN设备的DHCP IP地址范围。”

尽管他们无法确定攻击者是如何获得设备的管理员级别访问权限,但他们怀疑某些攻击利用了早在2019年和2020年之前披露的Pulse Secure漏洞,而其他攻击则是由于利用这个较新的漏洞CVE-2021-22899。

FireEye说,他们观察到威胁活动(该供应商将其称为UNC2630)从各种Pulse Secure VPN登录漏洞中收集凭据,最终使攻击者可以使用合法的登录凭据横向移动到受影响的环境中。目前尚不清楚该APT与哪个国家或地区相关联。

“尽管我们不能肯定地将UNC2630关联到APT5,或任何其他现有的APT团伙,但是可信的第三方已经发现证据可关联APT5。”

在周四联合发布的网络安全公告中,美国国家安全局、联邦调查局和CISA称,俄罗斯外国情报服务(SVR)参与者经常利用五个已知漏洞来初步占领受害者的设备和网络。其中一个漏洞CVE-2019-11510是Pulse Secure VPN设备中发现的较旧的漏洞。

Mandiant发言人告诉SearchSecurity,对该零日漏洞的利用与CVE-2019-11510的SVR攻击无关。

该发言人还表示,Identity Checker工具可以检测除该零日漏洞外的其他近期Pulse Secure漏洞相关的问题,包括CVE-2019-11510、CVE-2020-8243、CVE-2020-8260和CVE-2021-22893。

在COVID-19疫情期间,对VPN的攻击有所增加,周四的联合公告就证明这一点,其中五个漏洞中有三个在VPN中被发现。Mandiant威胁情报分析主管Ben Read说,VPN是网络间谍组织的重要目标,因为它们包含有价值的信息(例如登录凭据),并且通过设计暴露给开放的互联网。

Read说:“为了使VPN设备正常工作,需要从网络外部对其进行访问。但是,这一事实使VPN中的漏洞对网络间谍组织特别有价值。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 乌克兰警方破获无名勒索软件团伙

    乌克兰当局逮捕了多名勒索软件团伙成员,他们被指控针对欧洲和美国的50多家公司发起勒索软件攻击。 此次联合行动涉 […]

  • 如何使开发人员注重安全性

    安全责任通常由最终用户承担,而人们较少关注负责构建产品的开发人员。 为了成功地将安全性推广到开发人员,安全性必 […]

  • 针对混合云的安全最佳做法

    保护云环境是一项挑战,而保护混合云环境则更加困难。混合云具有更多的移动部件和复杂性,因此企业必须构建安全策略, […]

  • 无密码时代即将到来?

    基于知识的身份验证方法(例如密码)的失误继续困扰着公司。Verizon的《2021年数据泄露调查报告》发现,6 […]