CISA 發布針對 Pulse Secure 設備的樣本的惡意軟件分析報告
美國 CISA 發布了五份惡意軟件分析報告 (MAR),這些報告與在受感染的 Pulse Secure 設備上發現的樣本有關。
“作為 CISA 對 Pulse Secure 漏洞持續響應的一部分 ,CISA 分析了與被利用的 Pulse Secure 設備相關的五個惡意軟件樣本。CISA 鼓勵用戶和管理員查看以下五個惡意軟件分析報告 (MAR) 以了解威脅行為者的策略、技術和程序 (TTP) 以及入侵指標 (IOC),并查看 CISA 的警報, 利用 Pulse Connect 安全漏洞,了解更多信息信息。” 閱讀CISA 的建議。
- MAR-10333243-3.v1:脈沖連接安全
- MAR-10334057-3.v1:脈沖連接安全
- MAR-10336935-2.v1:脈沖連接安全
- MAR-10338401-2.v1:脈沖連接安全
- MAR-10339606-1.v1:脈沖連接安全
MAR 包括有關威脅行為者采用的戰術、技術和程序 (TTP) 的詳細信息以及攻擊的妥協指標 (IOC)。
攻擊者的目標是利用多個缺陷的 Pulse Connect Secure VPN 設備,包括CVE-2021-22893 和 CVE-2021-22937。
CVE-2021-22893是b9.1R11.4之前的 Pulse Connect Secure Collaboration Suite 中的緩沖區溢出問題,允許遠程驗證攻擊者通過惡意制作的會議室以 root 用戶身份執行任意代碼。根據FireEye 和 Pulse Secure在 5 月份 發布的 協調報告,兩個黑客組織利用 Pulse Secure VPN 設備中的零日漏洞闖入了美國國防承包商和全球政府組織的網絡。
CVE-2021-22937 是一個高嚴重性的遠程代碼執行漏洞,存在于 Pulse Connect Secure 的管理 Web 界面中。遠程攻擊者可以利用該漏洞覆蓋任意文件并獲得具有 root 權限的代碼執行。該漏洞的 CVSS 評分為 9.1,專家指出,這是繞過 2021 年 10 月發布的用于解決CVE-2020-8260 問題的補丁的結果 。Ivanti 本月初在 Pulse Connect Secure VPN 中修復了這個關鍵的代碼執行問題。
CISA 在 MAR 中分析的兩個樣本是受感染的 Pulse Secure 文件,這些文件是從用于獲取憑據的受感染設備中檢索到的。其中只有一個還實現了后門功能,允許威脅行為者建立對受感染設備的遠程訪問。
另一個文件包含一個惡意 shell 腳本,該腳本可以將有效用戶的用戶名和密碼憑據記錄到存儲在磁盤上的文件中。其中一份報告提供了有關涉及多個文件的樣本的詳細信息,包括攻擊者用來修改 Pulse Secure 文件并將其用作 webshel??l 的 shell 腳本。專家記錄的另一個樣本允許攻擊者解析傳入的 Web 請求數據,而另一個文件可用于攔截基于證書的多因素身份驗證。
“其中一些文件包含 shell 腳本,旨在修改 Pulse Secure Perl 通用網關接口 (CGI) 腳本文件以成為 webshel??l。一個文件旨在攔截基于證書的多因素身份驗證。其他文件旨在檢查、解析和解密傳入的 Web 請求數據。該分析源自在 Pulse Connect Secure 設備上發現的惡意文件。” 讀 MAR。
研究人員分析的第五個樣本包括兩個允許攻擊者執行命令的 Perl 腳本、一個 Perl 庫、一個 Perl 腳本和一個操縱和執行“/bin/umount”文件的 shell 腳本。
