Si la passerelle Pulse Connect Secure fait partie du réseau de votre organisation, vous devez être conscient d’une vulnérabilité critique de contournement d’authentification zero-day récemment découverte (CVE-2021-22893) qui est actuellement exploitée dans la nature et pour laquelle il n’y a pas patch encore.
Au moins deux acteurs de la menace ont été à l’origine d’une série d’intrusions visant des organisations de défense, gouvernementales et financières aux États-Unis et ailleurs en exploitant les vulnérabilités critiques des périphériques VPN Pulse Secure pour contourner les protections d’authentification multifactorielles et briser les réseaux d’entreprise.
« Une combinaison de vulnérabilités antérieures et d’une vulnérabilité jusqu’alors inconnue découverte en avril 2021, CVE-2021-22893, sont responsables du vecteur d’infection initial », la société de cybersécurité FireEye mentionné mardi, identifiant 12 familles de malwares associées à l’exploitation des appliances VPN Pulse Secure.
L’entreprise suit également l’activité sous deux groupes de menaces UNC2630 et UNC2717 (« UNC« pour Uncategorized) – le premier lié à une effraction des réseaux de la base industrielle de défense américaine (DIB), tandis que le second a été trouvé ciblant une organisation européenne en mars 2021 – l’enquête attribuant l’UNC2630 à des agents travaillant pour le compte du gouvernement chinois , en plus de suggérer des liens possibles avec un autre acteur d’espionnage APT5 basé sur «de fortes similitudes avec des intrusions historiques datant de 2014 et 2015».
Les attaques organisées par l’UNC2630 auraient commencé dès août 2020, avant de s’étendre en octobre 2020, lorsque l’UNC2717 a commencé à réutiliser les mêmes failles pour installer des logiciels malveillants personnalisés sur les réseaux d’agences gouvernementales en Europe et aux États-Unis.Les incidents se sont poursuivis jusqu’en mars 2021. , selon FireEye.
La liste des familles de logiciels malveillants est la suivante –
- UNC2630 – SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE et PULSECHECK
- UNC2717 – HARDPULSE, SILENCIEUX ET PULSEJUMP
Deux souches de logiciels malveillants supplémentaires, STEADYPULSE et LOCKPICK, déployées lors des intrusions n’ont pas été liées à un groupe spécifique, invoquant un manque de preuves.
En exploitant plusieurs faiblesses de Pulse Secure VPN (CVE-2019-11510, CVE-2020-8260, CVE-2020-8243, et CVE-2021-22893), UNC2630 aurait collecté les informations de connexion, les utilisant pour se déplacer latéralement dans les environnements affectés. Afin de maintenir la persistance des réseaux compromis, l’acteur a utilisé des binaires et des scripts Pulse Secure légitimes mais modifiés pour permettre l’exécution arbitraire de commandes et injecter des web shells capables d’effectuer des opérations sur les fichiers et d’exécuter du code malveillant.
Ivanti, la société à l’origine du VPN Pulse Secure, a publié atténuations temporaires pour remédier à la vulnérabilité d’exécution arbitraire de fichiers (CVE-2021-22893, CVSS score: 10), tandis qu’un correctif devrait être mis en place au début du mois de mai. La société basée dans l’Utah a reconnu que la nouvelle faille avait un impact sur un « nombre très limité de clients», ajoutant qu’il a publié un Outil d’intégrité sécurisée Pulse Connect pour que les clients vérifient les signes de compromis.
Il est recommandé aux clients Pulse Secure de mettre à niveau vers la version 9.1R.11.4 de PCS Server dès qu’elle sera disponible.
La nouvelle de compromis affectant les agences gouvernementales, les entités d’infrastructure critique et d’autres organisations du secteur privé survient une semaine après que le gouvernement américain a publié un avis, avertissant les entreprises de l’exploitation active de cinq vulnérabilités publiquement connues par le service russe de renseignement extérieur (SVR), y compris CVE 2019-11510, pour s’implanter initialement sur les appareils et les réseaux des victimes.