[23/04/2021] Las organizaciones que utilizan la VPN móvil de Pulse Secure deberían parchear las vulnerabilidades que, según se informa, están siendo explotadas en la naturaleza, posiblemente por un "actor de espionaje chino".
El parche -disponible aquí- se considera lo suficientemente importante como para que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) haya dado a las agencias federales un plazo hasta el 23 de abril para aplicarlo.
La guía de la CISA establece que los usuarios federales de las VPN seguras de Pulse Connect deben utilizar la utilidad gratuita de la empresa para averiguar si sus dispositivos son vulnerables.
Si se encuentra la vulnerabilidad, el software y los dispositivos Pulse Secure del gobierno afectados tienen que ser aislados inmediatamente de la red y se tiene que hacer un informe completo. Además de la herramienta de detección de la vulnerabilidad, Pulse Secure ha publicado un archivo de configuración XML de sustitución, que impide que los exploits funcionen cuando se colocan en los dispositivos afectados.
"Las organizaciones deben examinar las pruebas forenses disponibles para determinar si un atacante comprometió las credenciales de los usuarios", escribió la filial de ciberseguridad de FireEye, Mandiant, en una entrada de blog. "[La empresa matriz de Pulse Secure] Ivanti recomienda encarecidamente restablecer todas las contraseñas en el entorno y revisar la configuración para asegurarse de que ninguna cuenta de servicio puede ser utilizada para autenticar a la vulnerabilidad".
Pulse Secure recomienda utilizar su herramienta online Pulse Connect Secure Integrity Assurance para determinar si el software Pulse Connect Secure ha sido comprometido.
Los exploits conocidos obligan al sistema de autenticación SSL VPN a revelar las credenciales y lo engañan para que produzca resultados de "inicio de sesión exitoso" al comprobar esas credenciales, según Mandiant. Se han utilizado varias técnicas de explotación, pero los resultados han sido los mismos: dispositivos VPN comprometidos y código de ataque ejecutado de forma remota.
Las vulnerabilidades se basan parcialmente en tres problemas conocidos que fueron parcheados en los últimos dos años, según la propia publicación del blog de Pulse Secure sobre el asunto. Una falla más reciente puede permitir a un atacante saltarse la autenticación de dos factores en el Gateway Pulse Secure Connect y ejecutar código remoto. Al parecer, varios grupos han utilizado un exploit de esa vulnerabilidad para atacar las redes industriales y de defensa de Estados Unidos.
Hay doce familias distintas de malware que atacan las VPNs de Pulse Secure, y es probable que múltiples actores estén utilizando el exploit in the wild, al menos uno de los cuales parece estar vinculado al gobierno chino, dijo Mandiant.
El grupo APT5, descrito como un "actor de espionaje chino" en la entrada del blog, ha atacado de forma persistente a empresas aeroespaciales y de defensa estadounidenses durante varios años, y ha atacado a empresas de redes y de software para lograr ese fin.
Basado en el artículo de Jon Gold (Network World) y editado por CIO Perú