La CISA met en garde contre des logiciels malveillants trouvés sur des appareils Pulse Secure

0

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié récemment une alerte concernant plus d’une douzaine d’échantillons de logiciels malveillants trouvés sur des appareils Pulse Secure exploités qui sont largement non détectés par les produits antivirus.

Depuis au moins Juin 2020, les appareils Pulse Secure dans les agences gouvernementales américaines, les entités d’infrastructures critiques et diverses organisations du secteur privé ont été la cible d’attaques de la part d’acteurs malveillants.

Les pirates informatiques ont exploité plusieurs vulnérabilités (CVE-2019-11510, CVE-2020-8260, CVE-2020-8243, CVE-2021-2289) pour l’entrée initiale et ont placé des webshells pour l’accès par porte dérobée.

Webshells déguisés

La CISA a publié des rapports d’analyse pour 13 malwares, dont certains composés de plusieurs fichiers, trouvés sur des appareils Pulse Secure compromis. Les administrateurs sont fortement encouragés à examiner les rapports pour la recherche d’indicateurs de compromis et à se renseigner sur les tactiques, techniques et procédures (TTP) de l’auteur de la menace.

Tous les fichiers analysés par la CISA ont été trouvés sur des appareils Pulse Connect Secure compromis et certains d’entre eux étaient des versions modifiées de scripts Pulse Secure légitimes.

Dans la plupart des cas, les fichiers malveillants étaient des webshells permettant d’activer et d’exécuter des commandes à distance pour la persistance et l’accès à distance, mais des utilitaires étaient également présents.

Pour l’un des échantillons de logiciels malveillants, la CISA note qu’il s’agit d’une « version modifiée d’un module Pulse Secure Perl », à savoir DSUpgrade.pm – un fichier de base dans la procédure de mise à niveau du système – que les attaquants ont modifié dans un webshell (ATRIUM) pour extraire et exécuter des commandes à distance.

La liste des fichiers légitimes Pulse Secure trouvés par la CISA pour être modifiés par l’attaquant inclut également les éléments suivants:

  • licenseserverproto.cgi (STEADYPULSE)
  • tnchcupdate.cgi
  • healthcheck.cgi
  • compcheckjs.cgi
  • DSUpgrade.pm.current
  • DSUpgrade.pm.rollback
  • clear_log.sh (THINBLOOD LogWiper Utility Variant)
  • compcheckjava.cgi (hardpulse)
  • meeting_testjs.cgi (SLIGHTPULSE)

Certains des fichiers ci-dessus ont été modifiés à des fins malveillantes lors d’incidents survenus plus tôt cette année, sur lesquels la société de cybersécurité Mandiant a fait enquête. Dans un rapport publié en Avril, les chercheurs notent que l’acteur chinois suspecté avait utilisé CVE-2021-22893 pour l’entrée initiale.

Selon le rapport de Mandiant, l’adversaire a transformé les fichiers légitimes en webshells STEADYPULSE, HARDPULSE et SLIGHTPULSE, et une variante de l’utilitaire THINBLOOD LogWiper.

Dans un autre cas, l’individu malveillant a modifié un fichier système de Pulse Secure pour voler les données d’identification des utilisateurs qui se sont connectés avec succès. Les informations collectées ont ensuite été stockées dans un fichier à l’intérieur d’un répertoire temporaire sur l’appareil.

L’analyse de CISA a également découvert une version modifiée de l’application de démontage Unix qui a permis à l’attaquant de persister et d’accéder à distance en accrochant la fonctionnalité de démontage d’un périphérique Unix compromis.

Un autre outil Linux trouvé dans ces attaques est le THINBLOOD Log Wiper, déguisé sous le nom « dsclslog« . Comme son nom l’indique, le but de l’utilitaire est de supprimer les fichiers journaux d’accès et d’événements.

La plupart des fichiers que CISA a trouvés sur des appareils Pulse Secure piratés n’étaient pas détectés par les solutions antivirus au moment de l’analyse ; et un seul d’entre eux était présent sur la plate-forme d’analyse de fichiers VirusTotal, ajoutée il y a deux mois et détectée par un moteur antivirus comme une variante du webshell ATRIUM.

L’agence recommande aux administrateurs de renforcer la posture de sécurité en suivant les bonnes pratiques:

  • Maintenez à jour les signatures et les moteurs antivirus.
  • Gardez les correctifs du système d’exploitation à jour.
  • Désactivez les services de partage de fichiers et d’imprimantes. Si ces services sont requis, utilisez des mots de passe forts ou une authentification Active Directory.
  • Restreindre la capacité (autorisations) des utilisateurs à installer et à exécuter des applications logicielles indésirables. N’ajoutez pas d’utilisateurs au groupe d’administrateurs locaux, sauf si nécessaire.
  • Appliquez une politique de mot de passe fort et mettez en œuvre des changements de mot de passe réguliers.
  • Soyez prudent lorsque vous ouvrez des pièces jointes d’un e-mail, même si la pièce jointe est attendue et que l’expéditeur semble être connu.
  • Activez un pare-feu personnel sur les postes de travail des agences, configuré pour refuser les demandes de connexion non sollicitées.
  • Désactivez les services inutiles sur les postes de travail et les serveurs de l’agence.
  • Rechercher et supprimer les pièces jointes suspectes des e-mails ; assurez-vous que la pièce jointe numérisée est son « vrai type de fichier » (c’est-à-dire que l’extension correspond à l’en-tête du fichier).
  • Surveiller les habitudes de navigation des utilisateurs sur le Web ; restreindre l’accès aux sites au contenu défavorable.
  • Soyez prudent lorsque vous utilisez des supports amovibles (par exemple, des clés USB, des lecteurs externes, des CD, etc.).
  • Analysez tous les logiciels téléchargés sur Internet avant de les exécuter.
  • Maintenir la connaissance de la situation des dernières menaces et mettre en œuvre des listes de contrôle d’accès (ACL) appropriées.

Par mesure de précaution, les propriétaires de système et les administrateurs doivent vérifier chaque changement de configuration avant de l’appliquer, afin d’éviter tout incident.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire