導(dǎo)讀:Pulse Secure的最新0day漏洞可以讓有國家背景的黑客繞過2FA認(rèn)證并入侵美國國防承包商。
研究人員表示,有國家背景的黑客正在積極利用Pulse Secure 虛擬專用網(wǎng)的關(guān)鍵漏洞,以繞過2FA(雙因素認(rèn)證)保護(hù),從而隱秘地進(jìn)入屬于美國國防工業(yè)和其他一系列組織的網(wǎng)絡(luò)。
安全公司Mandiant在4月20日發(fā)布的報告中表示,被利用的漏洞中至少有一個是0day漏洞。這意味著當(dāng)黑客開始積極利用它時,Pulse Secure的開發(fā)者和大多數(shù)研究人員難以察覺。
除了CVE-2021-22893這個被發(fā)現(xiàn)的0day之外,多個黑客組織也在利用2019年和2020年已被修復(fù)的幾個Pulse Secure漏洞。
被圍困的局面
研究人員表示,Mandiant目前發(fā)現(xiàn)了12個惡意軟件團(tuán)伙正在利用Pulse Secure 虛擬專用網(wǎng)的漏洞。這些團(tuán)伙都規(guī)避了認(rèn)證并從后門訪問了設(shè)備。但是團(tuán)伙之間的關(guān)聯(lián)性不大,并且他們都是在不同的調(diào)查中被發(fā)現(xiàn)的。因此,研究人員認(rèn)為應(yīng)該是多個黑客各自利用漏洞來進(jìn)行攻擊。
無論是單獨利用還是團(tuán)伙作案,這些漏洞都可以使攻擊者繞過保護(hù)虛擬專用網(wǎng)設(shè)備的單因素和雙因素認(rèn)證,使黑客能夠安裝惡意軟件。這些惡意軟件即便用戶升級虛擬專用網(wǎng)也依然存在,并通過webshell保持訪問。
此外,在Mandiant發(fā)布的報告中還提到了,在過去的6個月中,多起入侵事件襲擊了世界各地的國防、政府和金融組織。另外,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局表示,被襲擊的目標(biāo)還包括美國政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施實體和其他私營部門組織。
Mandiant提供了以下圖表,顯示各種認(rèn)證繞過和日志訪問的流程。
Mandiant表示,依靠"有限的證據(jù)"發(fā)現(xiàn)了一個被稱為UNC2630的團(tuán)隊,是已知的兩個積極利用這些漏洞的黑客團(tuán)體之一。
另一個是一個新團(tuán)體,Mandiant稱之為UNC2717。今年3月,該組織使用Mandiant命名為RADIALPULSE、PULSEJUMP和HARDPULSE的惡意軟件攻擊歐洲一家機(jī)構(gòu)的Pulse Secure系統(tǒng)。
由于目前缺乏背景和取證證據(jù),Mandiant不能將本報告中描述的所有代碼家族與UNC2630或UNC2717聯(lián)系起來。一位內(nèi)他們還注意到,有可能是一個或多個相關(guān)團(tuán)體負(fù)責(zé)開發(fā)和傳播這些不同的工具,并在松散的APT行為者之間傳播。除了UNC2630和UNC2717之外,可能還有其他團(tuán)體采用了這些工具中的一種或多種。
持續(xù)兩年的不安全因素
在過去的兩年里,Pulse Secure的母公司Ivanti發(fā)布了一系列Pulse Secure漏洞的補(bǔ)丁,這些漏洞不僅允許遠(yuǎn)程攻擊者在沒有用戶名或密碼的情況下獲得訪問權(quán)限,而且還可以關(guān)閉多因素認(rèn)證,并查看虛擬專用網(wǎng)服務(wù)器以純文本緩存的日志、用戶名和密碼。
之前針對外幣兌換和旅行保險公司Travelex的勒索軟件攻擊很可能就是因為這些漏洞,因為這家公司忽略了安裝補(bǔ)丁。
Mandiant的報告中還有一個令人擔(dān)心的事實,那就是報告中顯示高度敏感地區(qū)的組織仍然沒有安裝補(bǔ)丁。并且,Pulse Secure的一個0day已經(jīng)被披露,受到了積極利用。
Pulse Secure在4月20日發(fā)布了一份公告,指示用戶如何緩解目前未修補(bǔ)的安全漏洞。Mandiant的報告中也包含了大量的技術(shù)指標(biāo),企業(yè)可以利用這些指標(biāo)來確定他們的網(wǎng)絡(luò)是否已經(jīng)成為漏洞的目標(biāo)。
目前,任何在其網(wǎng)絡(luò)中使用Pulse Secure的組織都應(yīng)該優(yōu)先閱讀并遵循Mandiant和Pulse Secure的建議以避免被黑客入侵造成損失。