Pulse Secure Kritischer Zero-Day-Sicherheitsfehler wird aktiv ausgenutzt

Cyber Security News

CVE-2021-22893 ermöglicht die Remote-Code-Ausführung (RCE) und wird von staatlichen Cyber-Angreifern genutzt, um VPN-Anwendungen in Verteidigungs-, Finanz- und Regierungsorganisationen zu kompromittieren.

Eine kritische Zero-Day-Sicherheitslücke in Pulse Secure VPN-Geräten wurde von nationalstaatlichen Akteuren ausgenutzt, um Cyberangriffe gegen US-amerikanische Verteidigungs-, Finanz- und Regierungsziele sowie Opfer in Europa zu starten, so Forscher.

Laden Sie “The Evolution of Ransomware” herunter, um wertvolle Einblicke in aufkommende Trends inmitten eines schnell wachsenden Angriffsvolumens zu erhalten. Klicken Sie oben, um Ihre Verteidigungsintelligenz zu verbessern!

Die Schwachstelle, die als CVE-2021-22893 verfolgt wird, ermöglicht Remote Code-Execution (RCE) und wird laut Ivanti Research in freier Wildbahn genutzt, um Zugriff auf die Appliances auf Administrator-Ebene zu erhalten. Pulse Secure sagte, dass der Zero-Day Anfang Mai gepatcht wird. In der Zwischenzeit hat das Unternehmen in Zusammenarbeit mit Ivanti (der Muttergesellschaft) sowohl Mitigations als auch das Pulse Connect Secure Integrity Tool veröffentlicht, mit dem sich feststellen lässt, ob Systeme betroffen sind.

“Die Untersuchung zeigt laufende Versuche, vier Probleme auszunutzen: Der wesentliche Teil dieser Probleme betrifft drei Schwachstellen, die in den Jahren 2019 und 2020 gepatcht wurden: Sicherheitshinweis SA44101 (CVE-2019-11510), Sicherheitshinweis SA44588 (CVE-2020-8243) und Sicherheitshinweis SA44601 (CVE-2020-8260)”, heißt es in einer Erklärung von Pulse Secure gegenüber Threatpost. “Das neue Problem, das diesen Monat entdeckt wurde, betrifft eine sehr begrenzte Anzahl von Kunden.”

CVE-2021-22893: Ein Zero-Day in Pulse Connect Secure VPNs

Die neu entdeckte kritische Sicherheitslücke wird auf der CVSS-Schwachstellenbewertungsskala mit 10 von 10 Punkten bewertet. Es handelt sich um eine Schwachstelle zur Umgehung der Authentifizierung, die es einem nicht authentifizierten Benutzer ermöglichen kann, RCE auf dem Pulse Connect Secure-Gateway durchzuführen. Sie “stellt ein erhebliches Risiko für Ihren Einsatz dar”, heißt es in dem am Dienstag veröffentlichten Advisory.

“Die andauernde COVID-19-Krise führte über Nacht zu einer Verschiebung der Remote-Arbeitskultur, und VPNs spielten eine entscheidende Rolle, um dies zu ermöglichen”, sagte Bharat Jogi, Senior Manager of Vulnerability and Threat Research bei Qualys, per E-Mail. “VPNs sind in den letzten Monaten zu einem Hauptziel für Cyberkriminelle geworden.”

“Die Pulse Connect Secure-Schwachstelle mit CVE-2021-22893…kann ohne jegliche Benutzerinteraktion ausgenutzt werden”, fügte er hinzu.

Die Abhilfemaßnahmen beinhalten das Einspielen einer Datei namens “Workaround-2104.xml”, die auf der Advisory-Seite verfügbar ist. Sie deaktiviert die Funktionen Windows File Share Browser und Pulse Secure Collaboration auf der Appliance.

Benutzer können auch die Blacklisting-Funktion verwenden, um URL-basierte Angriffe zu deaktivieren, so das Unternehmen, indem sie die folgenden URIs blockieren: ^/+dana/+meeting ^/+dana/+fb/+smb ^/+dana-cached/+fb/+smb ^/+dana-ws/+namedusers ^/+dana-ws/+metrisch

“Das Pulse Connect Secure (PCS)-Team steht in Kontakt mit einer begrenzten Anzahl von Kunden, die Hinweise auf Exploit-Verhalten auf ihren PCS-Appliances festgestellt haben”, so Pulse Secure. “Das PCS-Team hat diesen Kunden direkt Hinweise zur Abhilfe gegeben.”

Laut der Tandem-Recherche von Mandiant stehen dieser und die anderen Bugs im Mittelpunkt einer Reihe von Aktivitäten verschiedener Bedrohungsakteure, die insgesamt 12 verschiedene Malware-Familien betreffen. Die Malware wird zur Umgehung der Authentifizierung und zur Einrichtung eines Backdoor-Zugriffs auf die VPN-Geräte sowie für laterale Bewegungen verwendet. Zwei spezielle APT-Gruppen (Advanced Persistent Threats), UNC2630 und UNC2717, sind besonders involviert, so die Forscher.

UNC2630 Cyber-Aktivitäten: Verbindungen zu China

“Wir haben beobachtet, dass UNC2630 Anmeldedaten von verschiedenen Pulse Secure VPN-Anmeldeströmen gesammelt hat, was es dem Akteur schließlich ermöglichte, legitime Kontoanmeldedaten zu verwenden, um sich seitlich in die betroffenen Umgebungen zu bewegen”, so Mandiant in einem Posting vom Dienstag. “Um die Persistenz in den kompromittierten Netzwerken aufrechtzuerhalten, nutzte der Akteur legitime, aber modifizierte Pulse Secure-Binärdateien und -Skripte auf der VPN-Appliance.”

Die Firma verfolgt diese Tools als die folgenden: SlowPulse: Trojanisierte Shared Objects mit bösartigem Code zur Protokollierung von Anmeldeinformationen und zur Umgehung von Authentifizierungsabläufen innerhalb des legitimen Pulse Secure Shared Objects libdsplibs.so, einschließlich der Anforderungen an die Multifaktor-Authentifizierung. RadialPulse und PulseCheck: Web-Shells, die in legitime, über das Internet zugängliche Verwaltungswebseiten der Pulse Secure VPN-Appliance injiziert wurden. ThinBlood: Ein Dienstprogramm, das zum Löschen relevanter Protokolldateien verwendet wird. Andere Fähigkeiten: Umschalten des Dateisystems zwischen Schreib- und Lesemodus, um Dateiveränderungen auf einem normalerweise schreibgeschützten Dateisystem zu ermöglichen; die Fähigkeit, die Persistenz über allgemeine Upgrades der VPN-Appliance, die vom Administrator durchgeführt werden, aufrechtzuerhalten; und die Fähigkeit, geänderte Dateien zu entpatchen und Dienstprogramme und Skripte nach der Verwendung zu löschen, um die Erkennung zu umgehen.

Laut Mandiant hat UNC2630 bereits im August letzten Jahres Unternehmen des US-Verteidigungssektors angegriffen. Mandiant fügte hinzu, dass es sich um staatlich gesponserte Aktivitäten handeln könnte, die wahrscheinlich von China unterstützt werden.

“Wir vermuten, dass UNC2630 im Auftrag der chinesischen Regierung arbeitet und möglicherweise Verbindungen zu APT5 hat”, heißt es in der Analyse. “Die Kombination aus Infrastruktur, Tools und Netzwerkverhalten von UNC2630 scheint einzigartig zu sein, und wir haben sie bei keiner anderen Kampagne oder bei einem anderen Einsatz beobachtet. Trotz dieser neuen Tools und Infrastruktur stellten die Analysten von Mandiant starke Ähnlichkeiten zu historischen Eindringlingen fest, die auf die Jahre 2014 und 2015 zurückgehen und vom chinesischen Spionageakteur APT5 durchgeführt wurden.”

APT5 zielt konsequent auf Verteidigungs- und Technologieunternehmen in Asien, Europa und den USA ab, stellte Mandiant fest.

“[It] hat großes Interesse daran gezeigt, Netzwerkgeräte zu kompromittieren und die zugrunde liegende Software zu manipulieren, die diese Geräte unterstützt”, so die Forscher von Mandiant. “APT5 zielt beharrlich auf hochwertige Unternehmensnetzwerke ab und kompromittiert Netzwerke oft über viele Jahre hinweg. Ihre primären Ziele scheinen Luft- und Raumfahrt- sowie Verteidigungsunternehmen in den USA, Europa und Asien zu sein. Zu den sekundären Zielen (die verwendet werden, um den Zugang zu ihren primären Zielen zu erleichtern) gehören Hersteller von Netzwerkgeräten und Softwareunternehmen, die in der Regel in den USA ansässig sind.”

Die UNC2717 APT-Verbindung

Was UNC2717 betrifft, so brachte Mandiant die Zero-Day-Aktivitäten von Pulse Secure in einem separaten Vorfall im März, der sich gegen eine ungenannte europäische Organisation richtete, mit der APT in Verbindung. UNC2717 wurde zwischen Oktober und März auch für Angriffe auf globale Regierungsbehörden beobachtet.

Bisher gibt es nicht genügend Beweise für UNC2717, um eine staatliche Unterstützung oder eine mutmaßliche Zugehörigkeit zu einer bekannten APT-Gruppe festzustellen, so Mandiant.

Zu den von dieser Gruppe verwendeten Tools gehören HardPulse, eine Web-Shell, PulseJump, das für Credential-Harvesting verwendet wird, und RadialPulse. Die Firma beobachtete auch eine neue Malware, die sie LockPick nennt. Dabei handelt es sich um eine trojanisierte OpenSSL-Bibliotheksdatei, die anscheinend die Verschlüsselung der von den VPN-Appliances verwendeten Kommunikation schwächt.

Alle Malware-Familien, die in den Kampagnen verwendet werden, scheinen laut Mandiant lose miteinander verbunden zu sein.

“Obwohl wir nicht beobachtet haben, dass PulseJump oder HardPulse von UNC2630 gegen US-Kampagnen eingesetzt wurden, sind sie nicht miteinander verwandt. [defense] Unternehmen eingesetzt wurden, haben diese Malware-Familien gemeinsame Merkmale und dienen ähnlichen Zwecken wie andere von UNC2630 verwendete Code-Familien”, so die Forscher.

Sie fügten hinzu: “Mandiant kann nicht alle in diesem Bericht beschriebenen Code-Familien mit UNC2630 oder UNC2717 in Verbindung bringen. Wir weisen auch auf die Möglichkeit hin, dass eine oder mehrere verwandte Gruppen für die Entwicklung und Verbreitung dieser verschiedenen Tools über lose verbundene APT-Akteure verantwortlich sind.”

Pulse Secure: Ein beliebtes Ziel für APTs

Pulse Secure VPNs sind weiterhin ein heißes Ziel für nationalstaatliche Akteure. Letzte Woche warnte das FBI, dass ein bekannter Pulse Secure-Bug (CVE-2019-11510), der beliebige Dateien lesen kann, Teil von fünf Schwachstellen ist, die von der mit Russland verbundenen Gruppe APT29 (auch bekannt als Cozy Bear oder The Dukes) angegriffen werden. APT29 führt “weitverbreitetes Scannen und Ausnutzen von verwundbaren Systemen durch, um Authentifizierungsdaten zu erhalten, die weiteren Zugriff ermöglichen”, so das FBI.

In der Zwischenzeit hat das Department of Homeland Security (DHS) Anfang April Unternehmen, die Pulse Secure VPNs verwenden, dringend aufgefordert, ihre Passwörter für Active Directory-Konten zu ändern, da Angreifer in vielen Fällen bereits CVE-2019-11510 ausgenutzt haben, um die Anmeldeinformationen der Opfer abzugreifen – und nun diese Anmeldeinformationen verwenden, um sich seitlich durch Organisationen zu bewegen, warnte das DHS.

Und im vergangenen Herbst teilte die Cybersecurity and Infrastructure Security Agency (CISA) mit, dass eine Bundesbehörde einem erfolgreichen spionagebezogenen Cyberangriff ausgesetzt war, der dazu führte, dass eine Backdoor und mehrstufige Malware in ihr Netzwerk eingeschleust wurde. Auch hier war CVE-2019-11510 im Spiel, das dazu verwendet wurde, sich Zugang zu den legitimen Microsoft Office 365-Anmeldedaten der Mitarbeiter zu verschaffen und sich aus der Ferne an einem Behördencomputer anzumelden.

“Der rote Faden bei allen APTs ist fast immer die Ausnutzung bekannter Schwachstellen, sowohl neuer als auch alter”, sagte Yaniv Bar-Dayan, CEO und Mitbegründer von Vulcan Cyber, per E-Mail. “Böswillige Aktivitäten, ob über einen Supply-Chain-Vektor oder eine VPN-Authentifizierungsumgehung, werden durch gute Cyber-Hygiene-Praktiken und ernsthaftes Blue Teaming vereitelt. Schwachstellenmanagement, oder noch wichtiger, die Beseitigung von Schwachstellen, ist ein schmutziger Job in der Cybersicherheit, der unterfinanziert ist und unterschätzt wird, und Unternehmen zahlen den Preis dafür.”

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com