WARNUNG: Hacker nutzen ungepatchten Pulse Secure 0-Day aus, um in Unternehmen einzudringen

Cyber Security News

Wenn das Pulse Connect Secure-Gateway Teil Ihres Unternehmensnetzwerks ist, müssen Sie sich über eine neu entdeckte kritische Zero-Day-Schwachstelle zur Umgehung der Authentifizierung (CVE-2021-22893) bewusst sein, die derzeit in freier Wildbahn ausgenutzt wird und für die es noch keinen Patch gibt.

Mindestens zwei Bedrohungsakteure stecken hinter einer Reihe von Angriffen auf Verteidigungs-, Regierungs- und Finanzorganisationen in den USA und anderswo, indem sie kritische Schwachstellen in Pulse Secure VPN-Geräten ausnutzen, um den Schutz der Multi-Faktor-Authentifizierung zu umgehen und in Unternehmensnetzwerke einzudringen.

“Eine Kombination aus früheren Schwachstellen und einer bisher unbekannten Schwachstelle, die im April 2021 entdeckt wurde, CVE-2021-22893, sind für den anfänglichen Infektionsvektor verantwortlich”, sagte das Cybersecurity-Unternehmen FireEye am Dienstag.

Das Unternehmen hat 12 Malware-Familien identifiziert, die mit der Ausnutzung von Pulse Secure VPN-Appliances in Verbindung stehen.

[Blocked Image: https://thehackernews.com/images/-VPdopHKQm-E/YHc_0fLCVlI/AAAAAAAA3w0/c2kzWXa0ALMLtjaAeSkI0cc7-FjPV3IswCLcBGAsYHQ/s728-e100/thn-728-4.png]

Die Cybersecurity-Firma verfolgt die Aktivitäten auch unter den beiden Bedrohungsclustern UNC2630 und UNC2717 (UNC” für Uncategorized) – ersterer steht in Verbindung mit einem Einbruch in die Netzwerke der U.S. Defense Industrial Base (DIB)-Netzwerken in Verbindung gebracht, während letzterer im März 2021 bei einer europäischen Organisation gefunden wurde – wobei die Untersuchung UNC2630 auf Agenten zurückführt, die im Auftrag der chinesischen Regierung arbeiten, und zusätzlich mögliche Verbindungen zu einem anderen Spionage-Akteur APT5 nahelegt, basierend auf “starken Ähnlichkeiten zu historischen Eindringlingen aus den Jahren 2014 und 2015.”

[Blocked Image: https://thehackernews.com/images/-_r1BkPmCUK8/YH-n1A6EuZI/AAAAAAAACUI/MS0JCaPy_hEkXJpAquULKRANPrKeNuL_gCLcBGAsYHQ/s728-e1000/vpn-hacking.jpg]

Es wird angenommen, dass die von UNC2630 inszenierten Angriffe bereits im August 2020 begannen, bevor sie sich im Oktober 2020 ausweiteten, als UNC2717 begann, dieselben Schwachstellen zu nutzen, um benutzerdefinierte Malware in den Netzwerken von Regierungsbehörden in Europa und den USA zu installieren. Die Vorfälle dauerten laut FireEye bis März 2021 an.

Die Liste der Malware-Familien ist wie folgt. UNC2630 – SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE, und PULSECHECK UNC2717 – HARTPULS, LEISEPULS UND IMPULSSPRUNG

Zwei weitere Malware-Stämme, STEADYPULSE und LOCKPICK, die bei den Einbrüchen eingesetzt wurden, wurden aus Mangel an Beweisen nicht mit einer bestimmten Gruppe in Verbindung gebracht.

Unter Ausnutzung der Schwachstellen von Pulse Secure VPN (CVE-2019-11510, CVE-2020-8260, CVE-2020-8243 und CVE-2021-22893) soll UNC2630 Anmeldedaten abgegriffen haben, um damit seitlich in die betroffenen Umgebungen einzudringen. Um die Persistenz in den kompromittierten Netzwerken aufrechtzuerhalten, nutzte der Akteur legitime, aber modifizierte Pulse Secure-Binärdateien und -Skripte, um die Ausführung beliebiger Befehle zu ermöglichen und Web-Shells zu injizieren, die in der Lage sind, Dateioperationen auszuführen und bösartigen Code zu starten.

[Blocked Image: https://thehackernews.com/images/-J2_tCNGDMKA/YHc_zdc4MhI/AAAAAAAA3wo/gfFnHKGV_gcrTkZ3sOMoDg5N-wg_cKOGQCLcBGAsYHQ/s300-e100/thn-300-4.png]

Ivanti, das Unternehmen hinter dem Pulse Secure VPN, hat temporäre Abschwächungen veröffentlicht, um die Schwachstelle bei der Ausführung beliebiger Dateien (CVE-2021-22893, CVSS-Score: 10) zu beheben. Ein Fix für das Problem wird für Anfang Mai erwartet. Das in Utah ansässige Unternehmen räumte ein, dass die neue Schwachstelle eine “sehr begrenzte Anzahl von Kunden” betrifft, und fügte hinzu, dass es ein Pulse Security Integrity Checker Tool veröffentlicht hat, mit dem Kunden auf Anzeichen einer Kompromittierung prüfen können.

Pulse Secure-Kunden wird empfohlen, auf PCS Server Version 9.1R.11.4 zu aktualisieren, sobald diese verfügbar ist.

Die Nachricht über die Kompromittierung von Regierungsbehörden, kritischen Infrastrukturen und anderen Organisationen des privaten Sektors kommt eine Woche, nachdem die US-Regierung ein Advisory veröffentlicht hat, das Unternehmen vor der aktiven Ausnutzung von fünf öffentlich bekannten Schwachstellen durch den russischen Auslandsgeheimdienst (SVR) warnt, darunter CVE-2019-11510, um erste Einbrüche in Geräte und Netzwerke von Opfern zu erzielen.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com