Pulse Secure a envoyé un correctif pour une vulnérabilité critique d’exécution de code à distance (RCE) post-authentification dans ses appliances de réseau privé virtuel (VPN) Connect Secure pour corriger un correctif incomplet pour une faille activement exploitée qu’il avait précédemment résolue en octobre 2020.
« L’appliance Pulse Connect Secure souffre d’une vulnérabilité d’extraction d’archives incontrôlée qui permet à un attaquant d’écraser des fichiers arbitraires, ce qui entraîne l’exécution de code à distance en tant que root », Richard Warren de NCC Group divulgué le vendredi. « Cette vulnérabilité est un contournement du correctif pour CVE-2020-8260. »
« Un attaquant avec un tel accès sera en mesure de contourner toutes les restrictions imposées via l’application Web, ainsi que de remonter le système de fichiers, ce qui lui permettra de créer une porte dérobée persistante, d’extraire et de déchiffrer les informations d’identification, de compromettre les clients VPN ou de pivoter dans le réseau interne, » ajouta Warren.
La divulgation intervient quelques jours après qu’Ivanti, la société derrière Pulse Secure, a publié un avis pour pas moins de six vulnérabilités de sécurité le 2 août, exhortant les clients à passer rapidement à la mise à jour vers Pulse Connect Secure version 9.1R12 pour se protéger contre toute tentative d’exploitation ciblant les failles.
Suivi comme CVE-2021-22937 (score CVSS : 9,1), la lacune pourrait « permettre à un administrateur authentifié d’effectuer une écriture de fichier via une archive conçue de manière malveillante téléchargée dans l’interface Web de l’administrateur », selon Pulse Secure. CVE-2020-8260 (CVSS core : 7.2), qui concerne une faille d’exécution de code arbitraire utilisant une extraction gzip incontrôlée, a été corrigé en octobre 2020 avec la version 9.1R9.
La vulnérabilité est due à une faille dans la façon dont les fichiers d’archives (.TAR) sont extraits dans l’interface Web de l’administrateur. Alors que d’autres vérifications ont été ajoutées pour valider le fichier TAR afin d’empêcher l’exploitation de CVE-2020-8260, une analyse supplémentaire des variantes et des correctifs a révélé qu’il est possible d’exploiter la même vulnérabilité d’extraction dans la partie du code source qui gère les bases de données des appareils du profileur, obtenant ainsi autour des mesures d’atténuation mises en place.
« Bien que ce problème ait été corrigé en ajoutant une validation aux fichiers extraits, cette validation ne s’applique pas aux archives de type » profileur « », a déclaré Warren. « Par conséquent, en modifiant simplement l’exploit CVE-2020-8260 d’origine pour changer le type d’archive en » profileur « , le correctif peut être contourné et l’exécution du code réalisée. »
Il convient de noter que CVE-2020-8260 était l’une des quatre failles de Pulse Secure qui a été activement exploitée par les acteurs de la menace au début du mois d’avril pour organiser une série d’intrusions ciblant la défense, le gouvernement et les entités financières aux États-Unis et au-delà dans le but de contourner les protections d’authentification multifacteur et violer les réseaux d’entreprise. Étant donné la possibilité d’une exploitation dans le monde réel, il est fortement recommandé de passer à Pulse Connect Secure (PCS) 9.1R12 ou une version ultérieure.
« Une revue de code rigoureuse n’est qu’une des mesures que nous prenons pour renforcer davantage notre sécurité et protéger nos clients », Daniel Spicer, vice-président de la sécurité d’Invanti, mentionné. « Par exemple, nous développons également davantage nos ressources internes existantes en matière de sécurité des produits pour accélérer le rythme et l’intensité des tests sur les produits existants ainsi que sur ceux des entreprises ou des systèmes que nous intégrons dans Ivanti.
