黑客正在利用脉冲安全零日系统入侵世界各地的组织

研究人员说，由国家国家在脉冲安全VPN中绕过了脉冲安全VPN的关键漏洞，以绕过双因素认证保护，并获得对美国国防行业筏和其他地方的网络的隐秘访问。

至少有一个安全漏洞是零日漏洞，这意味着当黑客开始积极利用它时，Pulse Secure的开发人员和大多数研究人员都不知道它博客上说的周二发表的。除了CVE-2021-22893，随着零日被追踪，多个黑客组织——至少有一个可能代表中国政府工作——也在利用2019年和2020年修复的几个脉冲安全漏洞。

被围困的

研究人员丹·佩雷兹、萨拉·琼斯、格雷格·伍德和斯蒂芬·埃克尔斯写道:“曼迪昂特目前正在追踪与脉冲安全VPN设备相关的12个恶意软件家族。”“这些家庭与规避身份验证和通过后门进入这些设备有关，但他们之间不一定有联系，在单独的调查中已经观察到。很可能有多个参与者负责这些不同代码族的创建和部署。”

单独使用或协同使用，这些安全缺陷使黑客可以绕过保护VPN设备的单因素和多因素身份验证。从那里，黑客可以安装恶意软件，在软件升级过程中持续存在，并通过webshell维护访问权限。webshell是一种基于浏览器的界面，允许黑客远程控制受感染的设备。

据《华盛顿邮报》周二报道，在过去六个月里，世界各地的国防、政府和金融机构遭受了多次入侵。另外，还有美国网络安全和基础设施安全局(US Cybersecurity and Infrastructure Security Agency)说目标还包括美国政府机构、关键基础设施实体和其他私营部门组织。”

曼迪昂特公司表示，它已经发现了“有限的证据”，证明其中一个黑客组织与中国政府有关。这个被称为UNC2630的未知团队是目前已知的至少两个正在积极利用这些漏洞的黑客组织之一。周二的文章说:

我们观察到UNC2630从各种Pulse Secure VPN登录流中获取凭据，这最终允许参与者使用合法的帐户凭据横向移动到受影响的环境中。为了保持对被破坏网络的持久性，参与者在VPN设备上使用了合法但经过修改的Pulse Secure二进制文件和脚本。这样做的目的是:

1. Trojanize共享对象，具有恶意代码来记录凭据和旁路身份验证流程，包括多因素身份验证要求。我们跟踪这些特洛尼化的大会作为瘦小板及其变体。
2. 注入我们目前追踪的RADIALPULSE和PULSECHECK网络炮弹到合法的互联网可访问的脉冲安全VPN设备管理网页的设备。
3. 在只读和读写模式之间切换文件系统，以允许在通常只读文件系统上进行文件修改。
4. 跨管理员执行的VPN设备常规升级保持持久性。
5. 解除补丁修改的文件和删除实用程序和脚本后使用，以逃避检测。
6. 清除使用基于actor定义的正则表达式被跟踪为瘦的实用程序的相关日志文件。

Mandiant提供了以下图表，展示了各种认证旁路和日志访问流程:

周二的博文还提到了另一个此前未被发现的组织，Mandiant称其为UNC2717。今年3月，该组织使用Mandiant识别的RADIALPULSE、PULSEJUMP和HARDPULSE恶意软件对抗一家欧洲组织的Pulse Secure系统。

该公司的研究人员补充说:

由于此时缺乏上下文和法医证据，Mandiant无法将本报告中描述的所有代码系列与UNC2630或UNC2717相关联。我们还注意到一个或多个相关组负责开发和传播这些不同工具的可能性，这些不同工具在松散地连接的APT演员中。UNCE2630和UNC2717之外的其他组可能采用了一个或多个这些工具。尽管我们的理解差距，但我们在技术附录中的所有代码系列中提供了详细的分析，检测技术和减轻。

两年的不安全感(而且还在增加)

在过去的两年里，脉冲安全父母公司Ivanti发布了一系列脉冲安全漏洞的修补程序，不仅允许远程攻击者在没有用户名或密码的情况下获得访问，而且还可以关闭多因素身份验证和查看日志，用户名和密码在纯文本中由VPN服务器缓存。

在同一时间跨度期间，关键漏洞具有在积极的攻击下由黑客而且可能导致了成功的赎金软件攻击Travelex，外币兑换和旅游保险公司忽略安装补丁。

Mandiant的建议令人担忧，因为它表明高度敏感领域的组织仍然没有应用这些修复。同样令人担忧的是，一个脉冲安全零日的揭露正在受到广泛的攻击。

Pulse Secure周二发表了一篇咨询指示用户如何减轻当前未染成的安全错误。Mandiant博客帖子包含了大量的技术指标，这些指标组织可以用于确定其网络是否已被剥削目标。

任何在其网络中使用Pulse Secure的组织都应该优先阅读并遵循Mandiant和Pulse Secure的建议。