Los piratas informáticos están explotando un día 0 de Pulse Secure para violar organizaciones de todo el mundo

Los piratas informáticos respaldados por estados-nación están explotando vulnerabilidades críticas en Pulse Secure VPN para eludir las protecciones de autenticación de dos factores y obtener acceso sigiloso a las redes que pertenecen a una serie de organizaciones en la industria de Defensa de EE. UU. Y en otros lugares, dijeron los investigadores.

Al menos una de las fallas de seguridad es un día cero, lo que significa que era desconocido para los desarrolladores de Pulse Secure y la mayor parte del mundo de la investigación cuando los piratas informáticos comenzaron a explotarlo activamente, la firma de seguridad Mandiant dijo en una publicación de blog publicado el martes. Además de CVE-2021-22893, a medida que se realiza un seguimiento del día cero, varios grupos de piratería (al menos uno de los cuales probablemente trabaja en nombre del gobierno chino) también están explotando varias vulnerabilidades de Pulse Secure corregidas en 2019 y 2020.

Bajo asedio

“Mandiant está rastreando actualmente 12 familias de malware asociadas con la explotación de dispositivos Pulse Secure VPN”, escribieron los investigadores Dan Perez, Sarah Jones, Greg Wood y Stephen Eckels. “Estas familias están relacionadas con la elusión de la autenticación y el acceso de puerta trasera a estos dispositivos, pero no están necesariamente relacionadas entre sí y se han observado en investigaciones separadas. Es probable que múltiples actores sean responsables de la creación y el despliegue de estas diversas familias de códigos “.

Utilizadas solas o en conjunto, las fallas de seguridad permiten a los piratas informáticos eludir la autenticación de factor único y multifactor que protege los dispositivos VPN. A partir de ahí, los piratas informáticos pueden instalar malware que persiste a través de las actualizaciones de software y mantener el acceso a través de webshells, que son interfaces basadas en navegador que permiten a los piratas informáticos controlar de forma remota los dispositivos infectados.

Múltiples intrusiones en los últimos seis meses han afectado a organizaciones de defensa, gubernamentales y financieras de todo el mundo, informó la publicación del martes. Por separado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. dicho

esos objetivos también incluyen agencias gubernamentales de EE. UU., entidades de infraestructura crítica y otras organizaciones del sector privado “.

Mandiant dijo que ha descubierto “pruebas limitadas” que vinculan a uno de los grupos de hackers con el gobierno chino. Apodado UNC2630, este equipo previamente desconocido es uno de al menos dos grupos de piratería que se sabe que están explotando activamente las vulnerabilidades. La publicación del martes decía:

Observamos UNC2630 recolectando credenciales de varios flujos de inicio de sesión de Pulse Secure VPN, lo que finalmente permitió al actor usar credenciales de cuenta legítimas para moverse lateralmente a los entornos afectados. Para mantener la persistencia en las redes comprometidas, el actor utilizó scripts y binarios Pulse Secure legítimos, pero modificados, en el dispositivo VPN. Esto se hizo para lograr lo siguiente:

1. Trojanice objetos compartidos con código malicioso para registrar credenciales y eludir los flujos de autenticación, incluidos los requisitos de autenticación multifactor. Realizamos un seguimiento de estos ensamblajes troyanizados como SLOWPULSE y sus variantes.
2. Inyecte webshells que actualmente rastreamos como RADIALPULSE y PULSECHECK en las páginas web administrativas legítimas de los dispositivos Pulse Secure VPN accesibles a través de Internet para los dispositivos.
3. Alterne el sistema de archivos entre los modos de solo lectura y lectura-escritura para permitir la modificación de archivos en un sistema de archivos típicamente de solo lectura.
4. Mantenga la persistencia en las actualizaciones generales del dispositivo VPN que realiza el administrador.
5. Elimine los parches de archivos modificados y elimine utilidades y scripts después de su uso para evadir la detección.
6. Borre los archivos de registro relevantes utilizando una utilidad rastreada como THINBLOOD basada en una expresión regular definida por el actor.

Mandiant proporcionó los siguientes diagramas que muestran el flujo de varias omisiones de autenticación y acceso al registro:

La publicación del blog del martes también se refirió a otro grupo nunca antes visto al que Mandiant llama UNC2717. En marzo, el grupo utilizó malware que Mandiant identifica como RADIALPULSE, PULSEJUMP y HARDPULSE contra los sistemas Pulse Secure en una organización europea.

Los investigadores de la compañía agregaron:

Debido a la falta de contexto y evidencia forense en este momento, Mandiant no puede asociar todas las familias de códigos descritas en este informe a UNC2630 o UNC2717. También observamos la posibilidad de que uno o más grupos relacionados sean responsables del desarrollo y la difusión de estas diferentes herramientas entre actores de APT débilmente conectados. Es probable que grupos adicionales además de UNC2630 y UNC2717 hayan adoptado una o más de estas herramientas. A pesar de estas lagunas en nuestro conocimiento, incluimos análisis detallados, técnicas de detección y mitigaciones para todas las familias de códigos en el Anexo técnico.

Dos años (y contando) de inseguridad

En los últimos dos años, la empresa matriz de Pulse Secure, Ivanti, ha lanzado parches para una serie de vulnerabilidades de Pulse Secure que no solo permitían a los atacantes remotos obtener acceso sin un nombre de usuario o contraseña, sino también desactivar la autenticación multifactor y ver registros, nombres de usuario y contraseñas. almacenado en caché por el servidor VPN en texto sin formato.

Durante ese mismo lapso de tiempo, las vulnerabilidades críticas han sido atacadas activamente por piratas informáticos y probablemente condujeron al exitoso ataque de ransomware en Travelex, la compañía de seguros de viaje y cambio de divisas que se olvidó de instalar los parches.

El aviso de Mandiant es preocupante porque sugiere que las organizaciones en áreas altamente sensibles aún no han aplicado las correcciones. También es preocupante la revelación de un día cero de Pulse Secure que está bajo un amplio ataque.

Pulse Secure el martes publicó un consultivo instruir a los usuarios sobre cómo mitigar el error de seguridad actualmente sin parchear. La publicación del blog de Mandiant contiene una gran cantidad de indicadores técnicos que las organizaciones pueden usar para determinar si sus redes han sido atacadas por los exploits.

Cualquier organización que utilice Pulse Secure en cualquier lugar de su red debe priorizar la lectura y seguir las recomendaciones de Mandiant y Pulse Secure.