Pulse Secure: une faille est exploitée par les hackers pour pirater les organisations

0

Si la passerelle Pulse Connect Secure fait partie du réseau de votre organisation, vous devez être conscient de l’existence d’une vulnérabilité critique nouvellement découverte de contournement d’authentification (CVE-2021-22893) qui est actuellement exploitée par des hackers et pour laquelle il n’y a pas encore de patch disponible.

Au moins deux pirates ou gangs de pirates ont été à l’origine d’une série d’intrusions ciblant des organisations gouvernementales ou financières et exploitent des vulnérabilités critiques des appareils VPN Pulse Secure pour contourner les protections d’authentification multi-facteurs et violer les réseaux d’entreprise.

« Une combinaison de vulnérabilités antérieures et d’une vulnérabilité jusque-là inconnue découverte en Avril 2021, CVE-2021-22893, sont responsables du vecteur initial d’infection », a déclaré la société de cybersécurité FireEye, identifiant 12 familles de logiciels malveillants associés à l’exploitation des appareils VPN Pulse Secure.

L’entreprise suit également l’activité de deux groupes de menaces UNC2630 et UNC2717 (« UNC » signifie ‘uncategorized(non-catégorisé)’) — le premier est lié à une effraction aux États-Unis, tandis que l’autre ciblait une organisation européenne en Mars 2021. L’enquête fait le lien entre UNC2630 et des agents travaillant pour le compte du gouvernement chinois, en plus de suggérer des liens possibles avec un autre acteur d’espionnage nommé APT5 en se basant sur de « fortes similitudes avec des intrusions historiques datant de 2014 et 2015. »

vpn pulse secure

Les attaques organisées par l’UNC2630 auraient commencé dès le mois d’Août 2020, avant qu’elles ne s’élargissent en Octobre 2020, lorsque l’UNC2717 a commencé à réutiliser les mêmes failles pour installer des logiciels malveillants personnalisés sur les réseaux des agences gouvernementales en Europe et aux États-Unis. Les incidents se sont poursuivis jusqu’en Mars 2021, selon FireEye.

La liste des familles de malware est la suivante:

  • UNC2630 – SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE, et PULSECHECK
  • UNC2717 – HARDPULSE, QUIETPULSE, et PULSEJUMP

Deux autres souches de logiciels malveillants, STEADYPULSE et LOCKPICK, déployées lors des intrusions n’ont pas été liées à un groupe spécifique, invoquant le manque de preuves.

En exploitant plusieurs failles du VPN Pulse Secure (CVE-2019-11510, CVE-2020-8260, CVE-2020-8243 et CVE-2021-22893), UNC2630 aurait récolté des informations d’identification de connexion, les utilisant pour se déplacer latéralement dans les environnements touchés. Afin de maintenir la persistance des réseaux compromis, le pirate a utilisé des fichiers binaires et des scripts Pulse Secure légitimes, mais modifiés, pour permettre l’exécution arbitraire des commandes et injecter des shells Web capables d’effectuer des opérations de fichiers et d’exécuter du code malveillant.

pulse secure

Ivanti, la société derrière le VPN Pulse Secure, a publié des mesures d’atténuation temporaires pour remédier à la vulnérabilité arbitraire d’exécution de fichiers (CVE-2021-22893, score CVSS: 10), tandis qu’un correctif pour le problème devrait être en place au début du mois de Mai. La société basée dans l’Utah aux Etats-Unis a reconnu que la nouvelle faille a eu un impact sur un « nombre très limité de clients », ajoutant qu’elle a publié un outil d’intégrité sécurisé Pulse Connect pour que les clients vérifient les signes de compromis.

Il est recommandé aux clients de Pulse Secure de passer à la version PCS Server 9.1R.11.4 lorsqu’elle sera disponible.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.