Mehrere APT-Gruppen nutzen kritischen Pulse Secure Zero-Day aus

Cyber Security News

Pulse Secure-Kunden wurden aufgefordert, sofortige Maßnahmen zu ergreifen, um eine kritische Zero-Day-Schwachstelle in der beliebten VPN-Plattform zu entschärfen, nachdem Forscher aufgedeckt haben, dass mehrere APT-Gruppen die Plattform angreifen.

CVE-2021-22893 hat einen CVSS-Score von 10.0 und ist als kritische Authentifizierungs-Bypass-Schwachstelle in Pulse Connect Secure gelistet.

Sie wird in Kombination mit mehreren älteren CVEs im Produkt aus den Jahren 2019 und 2020 verwendet, um Opfer in Verteidigungs-, Regierungs-, Finanz- und anderen Organisationen auf der ganzen Welt zu kompromittieren, so Mandiant.

“Mandiant verfolgt derzeit 12 Malware-Familien, die mit der Ausnutzung von Pulse Secure VPN-Geräten in Verbindung stehen”, heißt es in einer Analyse einer Bedrohungsgruppe.

“Diese Familien stehen im Zusammenhang mit der Umgehung der Authentifizierung und dem Backdoor-Zugang zu diesen Geräten, sind aber nicht unbedingt miteinander verbunden und wurden in separaten Untersuchungen beobachtet. Es ist wahrscheinlich, dass mehrere Akteure für die Erstellung und Verbreitung dieser verschiedenen Code-Familien verantwortlich sind.”

Der Mandiant-Bericht befasst sich mit den Aktivitäten von UNC2630, von dem angenommen wird, dass er mit der chinesischen Bedrohungsgruppe APT5 in Verbindung steht, gegen Netzwerke von US-Rüstungsunternehmen.

Die genannten Bugs werden verwendet, um die auf den VPN-Geräten vorhandene Authentifizierung zu umgehen, einschließlich der Multi-Faktor-Authentifizierung, was es den Angreifern ermöglicht, Webshells zur Persistenz zu installieren und Spionageaktivitäten durchzuführen.

“Wir haben vier Probleme entdeckt, von denen der Großteil drei Schwachstellen betrifft, die in den Jahren 2019 und 2020 gepatcht wurden: Security Advisory SA44101 (CVE-2019-11510), Security Advisory SA44588 (CVE-2020-8243) und Security Advisory SA44601 (CVE-2020-8260). Wir empfehlen unseren Kunden dringend, die Advisorys zu lesen und die empfohlenen Anleitungen zu befolgen, einschließlich der Änderung aller Passwörter in der Umgebung, falls diese betroffen sind”, erklärt Phil Richards, CSO beim neuen Eigentümer von Pulse Secure, Ivanti.

“Es gibt ein neues Problem, das in diesem Monat entdeckt wurde und eine sehr begrenzte Anzahl von Kunden betroffen hat. Das Team hat schnell daran gearbeitet, der begrenzten Anzahl von betroffenen Kunden direkt Abhilfemaßnahmen zur Verfügung zu stellen, die das Risiko für ihr System beheben. Wir werden Anfang Mai ein Software-Update herausgeben. Weitere Informationen finden Sie im Security Advisory SA44784 (CVE-2021-22893).”

Ivanti hat außerdem ein Integritätsprüfungs-Tool veröffentlicht, mit dem Kunden feststellen können, ob sie von der Bedrohung betroffen sind.

Sowohl die britische NCSC als auch die US-amerikanische CISA haben Notfallrichtlinien zu dieser neuen Bedrohung veröffentlicht.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com