黑客是利用脉冲安全0-day违反组织在世界各地

民族国家支持的黑客利用脉冲安全VPN中的关键漏洞绕过两因素身份验证的保护和获得隐形访问网络属于一系列组织在美国国防工业和其他地方,研究人员说。

至少一个的安全漏洞是一个零日,意思是未知的脉冲安全开发人员和大多数的研究世界当黑客开始积极利用,安全公司Mandiant在一篇博客文章中说周二发表的。除了cve - 2021 - 22893,零日跟踪,多个黑客团体,至少其中一个可能是代表中国政府也利用一些脉冲固定在2019年和2020年安全漏洞。

被围困的

“Mandiant目前跟踪12恶意软件的家庭与开发相关的脉冲安全VPN设备,”研究者丹·佩雷斯,莎拉·琼斯,格雷格•木和斯蒂芬·埃克尔写道。“这些家庭相关的规避认证和后门访问这些设备,但是他们不一定是相互关联的,曾被观察到在不同的调查。很可能多个演员负责创建和部署各种代码的家庭。”

单独使用或音乐会,安全漏洞允许黑客绕过两个单因素和多因素身份验证保护VPN设备。从那里,黑客可以安装恶意软件之间的软件升级和维护通过网站管理权限的访问,这是基于浏览器的界面,允许黑客远程控制被感染的设备。

多个入侵过去6个月了国防、政府、和世界各地的金融机构,周二发布报告。另外,美国网络安全基础设施安全机构说这个目标还包括美国政府机构、关键基础设施的实体,和其他私营部门组织。”

Mandiant公司说,它发现了“有限的证据”,系一个黑客组织的中国政府。被称为UNC2630,这个未知的团队是至少两个黑客组织之一,积极利用漏洞。周二的文章说:

我们观察到UNC2630收获从各种脉冲安全VPN登录凭证流,最终允许演员使用合法的帐户凭据横向移动到受影响的环境中。为了保持持久性损害网络,行为人利用合法的,但修改脉冲VPN设备上安全的二进制文件和脚本。这样做是为了实现如下:

1. Trojanize共享对象与恶意代码记录凭证并绕过身份验证流,包括多因素身份验证的要求。我们跟踪这些trojanized总成SLOWPULSE及其变体。
2. 注入网站管理权限我们目前跟踪RADIALPULSE和PULSECHECK合法网络访问脉冲安全VPN设备设备管理web页面。
3. 只读和读写模式之间切换文件系统通常允许对文件修改只读文件系统。
4. 保持持久性跨VPN设备一般由管理员执行的升级。
5. Unpatch修改的文件和删除工具和脚本使用后逃避检测。
6. 明确相关日志文件使用一个实用程序跟踪作为演员THINBLOOD基于定义的正则表达式。

Mandiant公司提供以下图表显示流的各种认证绕过和日志访问:

周二的博客文章还提到另一个前所未有的组Mandiant UNC2717打电话。今年3月,该集团使用恶意软件Mandiant标识RADIALPULSE, PULSEJUMP, HARDPULSE对脉冲在欧洲安全的系统组织。

该公司研究人员补充说:

由于缺乏上下文和法医证据,Mandiant公司不能将本报告所描述的家庭的所有代码UNC2630或UNC2717。我们也注意到,一个或多个相关组负责开发和传播这些不同的工具在松散连接的恰当的演员。很可能额外组除了UNC2630和UNC2717采用一个或多个这些工具。尽管有这些差距在我们理解,我们包括详细的分析、检测技术和移植技术附件的所有代码的家庭。

两年(计数)的不安全感

在过去的两年里,脉冲获得母公司Ivanti发布了补丁一系列脉冲的安全漏洞,不仅允许远程攻击者获得没有用户名和密码也关掉多因素身份验证和查看日志,用户名,和密码缓存通过VPN服务器在纯文本。

在相同的时间跨度,关键的漏洞受到活跃的攻击通过黑客和可能导致的成功的通济隆ransomware袭击外币兑换和旅行保险公司,忽视安装补丁。

Mandiant公司咨询有关,因为它表明,组织高度敏感地区还没有应用补丁。还有关启示下宽的脉冲安全零日攻击。

周二发表了一脉冲安全咨询指导用户如何缓解当前应用补丁的安全漏洞。Mandiant公司博客包含了丰富的技术指标,组织可以使用它来确定他们的网络已经有针对性的利用。

任何组织,使用脉冲在其网络安全应该优先考虑阅读以下建议Mandiant公司和脉冲安全。