Pulse Secure VPN中零日漏洞被用于攻擊

攻擊者正在利用Pulse Secure VPN設備中的零日漏洞對政府目標以及金融機構和國防承包商發起攻擊。

在周二發布的安全公告中，Pulse Secure透露在其Pulse Connect Secure（PCS）系列中發現漏洞，該漏洞使未經身份驗證的遠程攻擊者可以繞過身份驗證并執行任意代碼。這個嚴重漏洞被命名為CVE-2021-22899，CVSS評分為滿分10分，并且影響PCS 9.0R3及更高版本。 Pulse Secure表示，該漏洞給客戶部署帶來重大風險，而且該問題僅影響數量非常有限的客戶。

該風險非常嚴重，以至于在周二，美國網絡安全和基礎架構安全局（CISA）發布一項緊急指令，要求運行Pulse Secure產品的聯邦民政部門和機構“檢測和緩解在其網絡上檢測到的任何異常活動或主動漏洞利用”。此外，Pulse Secure開發出用于緩解漏洞的Identity Checker工具，CISA緊急指令要求所有受影響的機構都使用該工具。

盡管已經發布工具，但修復該漏洞的最終補丁要到在5月初才會發布。但是，FireEye的Mandiant威脅情報小組已檢測到零日漏洞。

對于涉及Pulse Secure VPN設備的多起安全事件，Mandiant威脅研究人員周二發布報告，其中包含有關這個新漏洞的詳細信息以及正在利用該漏洞的攻擊者的信息。根據該報告指出，Pulse Secure的調查確定，攻擊者的初始感染媒介是同時利用先前的漏洞和2021年4月發現的先前未知漏洞。Mandiant說，他們今年初發現全球范圍針對國防、政府和金融機構的多次攻擊。

該報告指出：“在每次入侵中，攻擊者活動的最早證據可追溯到受影響環境中屬于Pulse Secure VPN設備的DHCP IP地址范圍。”

盡管他們無法確定攻擊者是如何獲得設備的管理員級別訪問權限，但他們懷疑某些攻擊利用了早在2019年和2020年之前披露的Pulse Secure漏洞，而其他攻擊則是由于利用這個較新的漏洞CVE-2021-22899。

FireEye說，他們觀察到威脅活動（該供應商將其稱為UNC2630）從各種Pulse Secure VPN登錄漏洞中收集憑據，最終使攻擊者可以使用合法的登錄憑據橫向移動到受影響的環境中。目前尚不清楚該APT與哪個國家或地區相關聯。

“盡管我們不能肯定地將UNC2630關聯到APT5，或任何其他現有的APT團伙，但是可信的第三方已經發現證據可關聯APT5。”

在周四聯合發布的網絡安全公告中，美國國家安全局、聯邦調查局和CISA稱，俄羅斯外國情報服務（SVR）參與者經常利用五個已知漏洞來初步占領受害者的設備和網絡。其中一個漏洞CVE-2019-11510是Pulse Secure VPN設備中發現的較舊的漏洞。

Mandiant發言人告訴SearchSecurity，對該零日漏洞的利用與CVE-2019-11510的SVR攻擊無關。

該發言人還表示，Identity Checker工具可以檢測除該零日漏洞外的其他近期Pulse Secure漏洞相關的問題，包括CVE-2019-11510、CVE-2020-8243、CVE-2020-8260和CVE-2021-22893。

在COVID-19疫情期間，對VPN的攻擊有所增加，周四的聯合公告就證明這一點，其中五個漏洞中有三個在VPN中被發現。Mandiant威脅情報分析主管Ben Read說，VPN是網絡間諜組織的重要目標，因為它們包含有價值的信息（例如登錄憑據），并且通過設計暴露給開放的互聯網。

Read說：“為了使VPN設備正常工作，需要從網絡外部對其進行訪問。但是，這一事實使VPN中的漏洞對網絡間諜組織特別有價值。”