Pulse Secure VPN中零日漏洞被用于攻击

攻击者正在利用Pulse Secure VPN设备中的零日漏洞对政府目标以及金融机构和国防承包商发起攻击。

在周二发布的安全公告中，Pulse Secure透露在其Pulse Connect Secure（PCS）系列中发现漏洞，该漏洞使未经身份验证的远程攻击者可以绕过身份验证并执行任意代码。这个严重漏洞被命名为CVE-2021-22899，CVSS评分为满分10分，并且影响PCS 9.0R3及更高版本。 Pulse Secure表示，该漏洞给客户部署带来重大风险，而且该问题仅影响数量非常有限的客户。

该风险非常严重，以至于在周二，美国网络安全和基础架构安全局（CISA）发布一项紧急指令，要求运行Pulse Secure产品的联邦民政部门和机构“检测和缓解在其网络上检测到的任何异常活动或主动漏洞利用”。此外，Pulse Secure开发出用于缓解漏洞的Identity Checker工具，CISA紧急指令要求所有受影响的机构都使用该工具。

尽管已经发布工具，但修复该漏洞的最终补丁要到在5月初才会发布。但是，FireEye的Mandiant威胁情报小组已检测到零日漏洞。

对于涉及Pulse Secure VPN设备的多起安全事件，Mandiant威胁研究人员周二发布报告，其中包含有关这个新漏洞的详细信息以及正在利用该漏洞的攻击者的信息。根据该报告指出，Pulse Secure的调查确定，攻击者的初始感染媒介是同时利用先前的漏洞和2021年4月发现的先前未知漏洞。Mandiant说，他们今年初发现全球范围针对国防、政府和金融机构的多次攻击。

该报告指出：“在每次入侵中，攻击者活动的最早证据可追溯到受影响环境中属于Pulse Secure VPN设备的DHCP IP地址范围。”

尽管他们无法确定攻击者是如何获得设备的管理员级别访问权限，但他们怀疑某些攻击利用了早在2019年和2020年之前披露的Pulse Secure漏洞，而其他攻击则是由于利用这个较新的漏洞CVE-2021-22899。

FireEye说，他们观察到威胁活动（该供应商将其称为UNC2630）从各种Pulse Secure VPN登录漏洞中收集凭据，最终使攻击者可以使用合法的登录凭据横向移动到受影响的环境中。目前尚不清楚该APT与哪个国家或地区相关联。

“尽管我们不能肯定地将UNC2630关联到APT5，或任何其他现有的APT团伙，但是可信的第三方已经发现证据可关联APT5。”

在周四联合发布的网络安全公告中，美国国家安全局、联邦调查局和CISA称，俄罗斯外国情报服务（SVR）参与者经常利用五个已知漏洞来初步占领受害者的设备和网络。其中一个漏洞CVE-2019-11510是Pulse Secure VPN设备中发现的较旧的漏洞。

Mandiant发言人告诉SearchSecurity，对该零日漏洞的利用与CVE-2019-11510的SVR攻击无关。

该发言人还表示，Identity Checker工具可以检测除该零日漏洞外的其他近期Pulse Secure漏洞相关的问题，包括CVE-2019-11510、CVE-2020-8243、CVE-2020-8260和CVE-2021-22893。

在COVID-19疫情期间，对VPN的攻击有所增加，周四的联合公告就证明这一点，其中五个漏洞中有三个在VPN中被发现。Mandiant威胁情报分析主管Ben Read说，VPN是网络间谍组织的重要目标，因为它们包含有价值的信息（例如登录凭据），并且通过设计暴露给开放的互联网。

Read说：“为了使VPN设备正常工作，需要从网络外部对其进行访问。但是，这一事实使VPN中的漏洞对网络间谍组织特别有价值。”