C'è preoccupazione per la scoperta della vulnerabilità zero-day CVE-2021-22893, già sfruttata attivamente per violare le reti di dozzine di agenzie governative, della difesa e finanziarie di Stati Uniti ed Europa. La falla, per la quale circola già un exploit funzionante, consente di eseguire codice arbitrario da remoto sui prodotti Pulse Connect Secure SSL VPN.

Alla vulnerabilità è stato assegnato un punteggio CVSSv3 di 10.0, che ne identifica il massimo livello di criticità. Oltre all'advisory, l'azienda ha pubblicato un post sul blog ufficiale in cui descrive le misure di mitigazione da adottare in attesa della patch e il comportamento dell'exploit finora osservato.

CVE-2021-22893 è una vulnerabilità critica di bypass authentication. Al momento non sono disponibili i dettagli, ma si ritiene probabile che un attaccante remoto e non autenticato possa sfruttarla inviando una richiesta HTTP appositamente creata a un dispositivo vulnerabile.
Pulse Secure sottolinea che la maggior parte delle attività correlate all'attacco fanno riferimento ad altre tre vulnerabilità precedentemente note. Una è la CVE-2019-11510, di recente oggetto di un alert da parte dell'NSA. Viene sfruttata attivamente da agosto 2019, sia da gruppi APT che da gruppi ransomware. Viene quasi sempre usata per ottenere l'accesso iniziale alle reti target. Una volta entrati in rete, gli aggressori sfruttano poi la falla Zerologon, o CVE-2020-1472 per ottenere l'accesso all'infrastruttura Active Directory in qualità di amministratore.

Le altre due vulnerabilità, CVE-2020-8243 e CVE-2020-8260, sono falle post-autenticazione chiuse con le relative patch nell'ottobre 2020. Possono essere sfruttate solo se l'attaccante ha già ottenuto l'accesso come amministratore al dispositivo Pulse Connect Secure vulnerabile. Considerato il requisito di base appena descritto, è probabile che queste due vulnerabilità vengano utilizzate in combinazione con CVE-2019-11510 e CVE-2021-22893 come parte di una attack chain.

Lo strumento di mitigazione

Nel suo post, Pulse Secure scrive che sta lavorando affiancata dai principali esperti forensi, tra cui Mandiant/FireEye, CISA e Stroz Friedberg, per indagare sull'exploit. L'azienda esorta i clienti a scaricare e usare Pulse Security Integrity Checker Tool, uno strumento che definisce "semplice, efficiente e facile da usare per valutare i prodotti installati e accertare eventuali impatti causati dalla vulnerabilità". Nella Knowledge Base e in un post di Mandiant si trovano mitigazioni avanzate e ulteriori informazioni.

L'azienda ci ha inoltre fatto pervenire uno statement ufficiale in cui riferisce che “Il team Pulse Connect Secure (PCS) è in contatto con un numero limitato di clienti che ha riscontrato tracce riconducibili all'exploit sui propri dispositivi PCS. Il team PCS ha fornito direttamente a questi clienti le indicazioni per la remediation. PCS pubblicherà un aggiornamento software all'inizio di maggio".

Chi sono gli attaccanti

A quanto si apprende dalle prime indagini, CVE-2021-22893 viene sfruttato attivamente da almeno due gruppi criminali monitorati da FireEye come UNC2630 e UNC2717. I ricercatori reputano che finora abbiano distribuito 12 ceppi di malware nel corso degli attacchi.FireEye sospetta anche UNC2630 possa avere legami con APT5, un noto gruppo APT che opera per conto del Governo cinese. A legare i due gruppi sarebbero "forti somiglianze con intrusioni storiche risalenti al 2014 e 2015" condotte da APT5.