Pulse Secure Zero-Day Flaw Secara Aktif Dieksploitasi dalam Serangan

  • Whatsapp
view counter


Berbagai pelaku ancaman secara aktif terlibat dalam penargetan empat kerentanan dalam peralatan VPN Pulse Secure, termasuk zero-day yang diidentifikasi bulan ini yang tidak akan ditambal hingga bulan depan.

Bacaan Lainnya

Cacat keamanan yang paling tua dari yang ditargetkan, CVE-2019-11510 (Skor CVSS 10), telah diperbaiki pada tahun 2019, namun serangan terus berlanjut hingga saat ini, karena banyak organisasi belum menerapkan perbaikan yang tersedia.

Dua bug lainnya, yaitu CVE-2020-8243 dan CVE-2020-8260 (keduanya dengan skor CVSS 7,2), telah ditambal tahun lalu, tetapi situasinya tidak berbeda: meskipun perbaikan telah tersedia selama lebih dari enam bulan, penambalan tetap sangat lambat.

Dilacak sebagai CVE-2021-22893 dan ditemukan pada April 2021, kerentanan keempat tidak akan menerima tambalan hingga awal Mei, tetapi Pulse Secure kata bahwa hal itu telah memberikan mitigasi kepada sejumlah kecil pelanggan yang terkena dampak.

Dinilai tingkat keparahan kritis (skor CVSS 10), masalah ini dideskripsikan sebagai bypass otentikasi yang dapat memungkinkan penyerang yang tidak berkepentingan mengeksekusi file arbitrer dari jarak jauh di gateway Pulse Connect Secure.

“Kerentanan ini memiliki skor CVSS kritis dan menimbulkan risiko yang signifikan terhadap penerapan Anda,” catat Pulse Secure dalam penasehat.

Menurut FireEye, ada 12 keluarga malware yang saat ini secara aktif terlibat dalam eksploitasi perangkat Pulse Secure VPN yang rentan, namun mereka tidak selalu terkait satu sama lain, yang menunjukkan bahwa banyak pelaku ancaman bertanggung jawab “untuk pembuatan dan penyebaran berbagai keluarga kode ini. “

Peneliti keamanan Mandiant FireEye telah mengamati serangan yang menargetkan organisasi Amerika Serikat dan Eropa mengatakan bahwa penyelidikan belum menentukan sejauh mana kegiatan ini sepenuhnya. Entitas di sektor pertahanan, pemerintah, dan keuangan telah terpengaruh.

Memanfaatkan kredensial yang diambil dari aliran login Pulse Secure VPN, salah satu pelaku ancaman dapat berpindah secara lateral ke jaringan yang disusupi dan kemudian menggunakan binari dan skrip Pulse Secure yang dimodifikasi pada VPN untuk mempertahankan akses persisten ke lingkungan.

Investigasi juga mengungkapkan penggunaan keluarga malware baru yang dijuluki SLOWPULSE, yang diterapkan sebagai modifikasi pada file Pulse Secure yang sah, yang memungkinkan penyerang untuk melewati atau mencatat aliran otentikasi. Sebanyak empat varian malware diidentifikasi, tiga di antaranya juga dapat melewati otentikasi dua faktor.

Hingga saat ini, dua pelaku ancaman telah diidentifikasi terlibat dalam aktivitas tersebut: UNC2630, yang kemungkinan besar berasal dari China (dan terkait dengan APT5), dan yang menargetkan perusahaan DIB AS; dan UNC2717, yang menargetkan lembaga pemerintah global. Namun, para peneliti keamanan percaya bahwa musuh lain mungkin juga terlibat dalam distribusi 12 keluarga malware tersebut.

Baik FireEye dan Pulse Secure menyarankan organisasi untuk mengevaluasi penginstalan mereka dan mengidentifikasi kemungkinan penyusupan, serta menerapkan mitigasi yang tersedia, termasuk memperbarui peralatan VPN ke versi yang ditambal. Pulse Secure telah merilis file alat pemeriksa integritas untuk membantu pelanggan menilai kemungkinan dampak dari kerentanan yang disebutkan di atas.

CISA mengeluarkan Petunjuk Darurat (ED) 21-03 pada hari Selasa, yang mengarahkan departemen dan lembaga federal untuk menjalankan Alat Integritas Aman Pulse Connect pada semua perangkat virtual dan perangkat keras PCS.

Pada saat yang sama, CISA dikeluarkan Lansiran AA21-110A, yang “sangat merekomendasikan” agar pemerintah negara bagian dan lokal, sektor swasta, dan lainnya menjalankan alat integritas.

“Hampir tidak pernah gagal, benang merah dengan ancaman persisten tingkat lanjut adalah eksploitasi kerentanan yang diketahui baik yang baru maupun yang lama. Aktivitas berbahaya, baik menggunakan vektor rantai pasokan atau bypass otentikasi VPN, digagalkan oleh praktik kebersihan dunia maya yang baik dan kerja sama tim biru yang serius. Manajemen kerentanan, atau yang lebih penting lagi, perbaikan kerentanan, adalah pekerjaan kotor keamanan dunia maya yang kekurangan sumber daya dan kurang dihargai dan bisnis membayar harganya, “Yaniv Bar-Dayan, CEO dan salah satu pendiri di Vulcan Cyber, mengatakan SecurityWeek.

*Diperbarui dengan CISA ED and Alert.

Terkait: NSA: Beberapa APT yang Memanfaatkan Cacat VPN Perusahaan

Terkait: Grup APT China yang Dicurigai Menargetkan Pembangkit Listrik di India

Ionut Arghire adalah koresponden internasional untuk SecurityWeek.

Kolom Sebelumnya oleh Ionut Arghire:
Tag:



Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *