Los piratas informáticos utilizan una etiqueta Pulse Secure 0 para dañar a organizaciones de todo el mundo


Manos enguantadas manipulan una computadora portátil con una calavera en la pantalla.

Los piratas informáticos respaldados por el estado nacional explotaron vulnerabilidades críticas en Pulse Secure VPN para eludir la protección de autenticación de dos factores y obtener acceso sigilosamente a las redes propiedad de varias organizaciones de la industria de defensa de EE. UU. Y otros lugares.

Al menos una de las vulnerabilidades es un error de día cero, lo que significa que los desarrolladores de Pulse Secure y la mayor parte del mundo de la investigación no sabían cuándo los piratas informáticos lo estaban explotando activamente, dijo la firma de seguridad Mandiant en una publicación de blog publicada el martes. Además de CVE-2021-22893, mientras persiguen el día cero, varios grupos de piratería, al menos uno de los cuales probablemente esté trabajando en nombre del gobierno chino, están explotando varias vulnerabilidades de Pulse Secure que se solucionaron en 2019 y 2020.

En estado de sitio

«Mandiant está rastreando actualmente 12 familias de malware asociadas con el uso de dispositivos Pulse Secure VPN», escriben los investigadores Dan Perez, Sarah Jones, Greg Wood y Stephen Eckels. “Estas familias están relacionadas con la omisión de autenticación y el acceso de puerta trasera a estos dispositivos, pero no están necesariamente relacionadas y se han observado en investigaciones independientes. Es probable que varios actores sean responsables de crear e implementar estas diferentes familias de códigos. «

Solos o juntos, los piratas informáticos pueden omitir la autenticación de factor único y de factor múltiple para proteger los dispositivos VPN debido a las brechas de seguridad. A partir de ahí, los piratas informáticos pueden instalar malware que persiste a través de actualizaciones de software y mantener el acceso a través de webshells. Se trata de interfaces basadas en navegador que los piratas informáticos pueden utilizar para controlar de forma remota los dispositivos infectados.

Varias intervenciones en los últimos seis meses han afectado a organizaciones de defensa, gubernamentales y financieras de todo el mundo, informó la publicación el martes. Por separado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Anunció que los objetivos incluirían agencias gubernamentales de EE. UU., Empresas de infraestructura crítica y otras organizaciones del sector privado. «

Mandiant dijo que descubrió «pruebas limitadas» que vinculan a uno de los grupos de piratería con el gobierno chino. Este equipo previamente desconocido, llamado UNC2630, es uno de al menos dos grupos de piratería que se sabe que están explotando activamente las vulnerabilidades. La publicación del martes decía:

Hemos observado que UNC2630 extrae credenciales de varias credenciales de Pulse Secure VPN, lo que finalmente permite al actor utilizar credenciales de cuenta legítimas para acceder a los entornos afectados. Para mantener la persistencia de las redes en riesgo, el actor utilizó binarios y scripts de Pulse Secure legítimos pero modificados en el dispositivo VPN. Esto se hizo para lograr lo siguiente:

  1. Trojanice objetos compartidos con código malicioso para registrar credenciales y eludir los procesos de autenticación, incluidos los requisitos de autenticación de múltiples factores. Realizamos un seguimiento de estos ensamblados troyanizados como SLOWPULSE y sus variantes.
  2. Inyecte webshells, que actualmente rastreamos como RADIALPULSE y PULSECHECK, en páginas web legítimas de administración de dispositivos Pulse Secure VPN Appliance a las que se puede acceder a través de Internet.
  3. Cambie el sistema de archivos entre el modo de solo lectura y el modo de solo lectura para permitir la modificación de archivos en un sistema de archivos que normalmente es de solo lectura.
  4. Mantenga la persistencia para las actualizaciones generales del dispositivo VPN realizadas por el administrador.
  5. Extraiga los archivos modificados y elimine las utilidades y los scripts después de su uso para evitar la detección.
  6. Elimine los archivos de registro relevantes utilizando una utilidad rastreada como THINBLOOD basada en una expresión regular definida por el actor.

Mandiant proporcionó los siguientes diagramas que muestran el flujo de varias omisiones de autenticación y acceso al protocolo:

La publicación del blog del martes también se refirió a otro grupo nunca antes visto llamado Mandiant UNC2717. En marzo, el grupo identificó malware que Mandiant identificó como RADIALPULSE, PULSEJUMP y HARDPULSE contra los sistemas Pulse Secure en una organización europea.

Los investigadores de la compañía agregaron:

Debido a la falta de contexto y evidencia forense, Mandiant actualmente no puede vincular todas las familias de códigos descritas en este informe con UNC2630 o UNC2717. También señalamos la posibilidad de que uno o más grupos relacionados puedan ser responsables de desarrollar y difundir estas diversas herramientas entre los actores de APT débilmente conectados. Es probable que grupos adicionales fuera de UNC2630 y UNC2717 hayan heredado una o más de estas herramientas. A pesar de estas lagunas en nuestra comprensión, hemos incluido análisis detallados, técnicas de detección y debilitaciones para todas las familias de códigos en el apéndice técnico.

Dos años (y cuenta) de incertidumbre

Durante los últimos dos años, la empresa matriz de Pulse Secure, Ivanti, ha parcheado una serie de vulnerabilidades de seguridad en Pulse Secure que no solo permiten a los atacantes obtener acceso sin un nombre de usuario o contraseña, sino que también deshabilitan la autenticación multifactor y ver registros, nombres de usuario y contraseñas. almacenado en caché en texto sin formato por el servidor VPN.

Durante el mismo período, las vulnerabilidades críticas fueron atacadas activamente por piratas informáticos y probablemente resultaron en un ataque de ransomware exitoso en Travelex, la compañía de seguros de viajes y cambio de divisas que no instaló los parches.

El Aviso de Mandiant es motivo de preocupación, ya que sugiere que las organizaciones en áreas altamente sensibles aún no han aplicado las correcciones. También es motivo de preocupación la exposición de un Pulse Secure Zero-Day sujeto a un ataque generalizado.

Pulse Secure lanzó un aviso el martes que instruye a los usuarios a corregir el error de seguridad que no se ha reparado. La publicación del blog de Mandiant contiene una variedad de indicadores técnicos que las empresas pueden usar para determinar si sus redes se ven afectadas por las vulnerabilidades.

Cualquier organización que utilice Pulse Secure en cualquier lugar de su red debe priorizar la lectura y seguir las recomendaciones de Mandiant y Pulse Secure.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *