在民族国家攻击者的剥削中,系统更新紧急
Pulse Connect Secure VPN设备中积极利用的零日漏洞已与另一对新披露的关键缺陷一起修补。
敦促由母公司Ivanti描述为最广泛使用的SSL VPN的Connect Secure的组织,以立即在A中更新其系统安全咨询昨天(5月3日)下降。
以前的零日错误可能导致远程代码执行(RCE),并且最高CVSS得分为10公开4月20日,建议缓解。该建议在有关涉嫌国家支持的威胁行为者的广泛,内在剥削的报道中得出的。
据信袭击者包括一个与APT5和中国政府相关的团体 - “ UNC2630”,也针对了2019年和2020年修补的三个连接安全漏洞:CVE-2019-11510,,,,CVE-2020-8243, 和CVE-2020-8260。
剥削的解剖学
Ivanti CSO Phil Richards说恶意活动“在数量有限的客户系统上被确定”。
长时间技术文章FireEye拥有的事件响应公司Mandiant分析了12个恶意软件家庭的部署,该公司表示,已经发现了针对美国,欧洲和其他地方的国防,政府和金融组织的侵犯侵入。
Mandiant说:“绕过脉冲安全VPN设备上的单个和多因素身份验证的多种相关技术一直在升级,并通过Webshells保持访问权限。”beplay体育能用吗
关键的错误三重奏
两者都得分接近最大的CVSS为9.9,新披露的关键错误包括指挥注射漏洞(CVE-2021-22899)允许身份验证用户可以通过Windows文件资源配置文件执行RCE,以及Pulse Connect Connect Secure Collaboration Suite(CVE-2021-22894)中的缓冲区溢出错误,该套件允许身份验证的用户通过恶意精心设计的会议室执行任意代码。
第一个关键漏洞(CVE-2021-22893)是身份验证旁路漏洞,是由客户端引起的代码标志验证失败,自4月12日“代码签署证书的有效性过期”以来,就会检查证书到期时间,而不是代码签署时间戳。
Invanti还披露并修补了高严重性不受限制的文件上传缺陷(CVE-2021-22900)。
软件更新和解决方法
所有四个CVE都已在Pulse Connect Secure 9.1r.11.4中解决。
漏洞会影响运行脉冲连接安全9.0RX或9.1RX的环境,CVE-2021-22893影响PCS 9.0R3/9.1R1及更高。
Ivanti发布了一种利用检索工具,建议影响客户更改所有密码,并为无法更新到最新版本的用户提供了一个“解决方法”文件。
Pulse Secure团队在美国网络安全和基础设施安全局(CISA),Mandiant和事件响应公司Stroz Friedberg等人的帮助下协调了其反应。
Ivanti的菲尔·理查兹(Phil Richards)仅在2020年12月才获得Pulse Secure,他说:“随着复杂的威胁参与者继续对美国企业和政府机构的攻击,我们将继续与客户,更广泛的安全行业,执法和执法部门和政府机构减轻这些威胁。
“整个公司,我们都在进行大量投资,以增强我们的整体网络安全姿势,包括广泛的安全应用程序开发标准的实施。”
Ivanti拒绝进一步评论,以回应每日swbeplay2018官网ig。
不要忘记阅读情绪清洁:安全专业人
