技術(shù)
導(dǎo)讀:Pulse Secure的最新0day漏洞可以讓有國(guó)家背景的黑客繞過(guò)2FA認(rèn)證并入侵美國(guó)國(guó)防承包商。
研究人員表示,有國(guó)家背景的黑客正在積極利用Pulse Secure 虛擬專用網(wǎng)的關(guān)鍵漏洞,以繞過(guò)2FA(雙因素認(rèn)證)保護(hù),從而隱秘地進(jìn)入屬于美國(guó)國(guó)防工業(yè)和其他一系列組織的網(wǎng)絡(luò)。
安全公司Mandiant在4月20日發(fā)布的報(bào)告中表示,被利用的漏洞中至少有一個(gè)是0day漏洞。這意味著當(dāng)黑客開(kāi)始積極利用它時(shí),Pulse Secure的開(kāi)發(fā)者和大多數(shù)研究人員難以察覺(jué)。
除了CVE-2021-22893這個(gè)被發(fā)現(xiàn)的0day之外,多個(gè)黑客組織也在利用2019年和2020年已被修復(fù)的幾個(gè)Pulse Secure漏洞。
被圍困的局面
研究人員表示,Mandiant目前發(fā)現(xiàn)了12個(gè)惡意軟件團(tuán)伙正在利用Pulse Secure 虛擬專用網(wǎng)的漏洞。這些團(tuán)伙都規(guī)避了認(rèn)證并從后門(mén)訪問(wèn)了設(shè)備。但是團(tuán)伙之間的關(guān)聯(lián)性不大,并且他們都是在不同的調(diào)查中被發(fā)現(xiàn)的。因此,研究人員認(rèn)為應(yīng)該是多個(gè)黑客各自利用漏洞來(lái)進(jìn)行攻擊。
無(wú)論是單獨(dú)利用還是團(tuán)伙作案,這些漏洞都可以使攻擊者繞過(guò)保護(hù)虛擬專用網(wǎng)設(shè)備的單因素和雙因素認(rèn)證,使黑客能夠安裝惡意軟件。這些惡意軟件即便用戶升級(jí)虛擬專用網(wǎng)也依然存在,并通過(guò)webshell保持訪問(wèn)。
此外,在Mandiant發(fā)布的報(bào)告中還提到了,在過(guò)去的6個(gè)月中,多起入侵事件襲擊了世界各地的國(guó)防、政府和金融組織。另外,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局表示,被襲擊的目標(biāo)還包括美國(guó)政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施實(shí)體和其他私營(yíng)部門(mén)組織。
Mandiant提供了以下圖表,顯示各種認(rèn)證繞過(guò)和日志訪問(wèn)的流程。
Mandiant表示,依靠"有限的證據(jù)"發(fā)現(xiàn)了一個(gè)被稱為UNC2630的團(tuán)隊(duì),是已知的兩個(gè)積極利用這些漏洞的黑客團(tuán)體之一。
另一個(gè)是一個(gè)新團(tuán)體,Mandiant稱之為UNC2717。今年3月,該組織使用Mandiant命名為RADIALPULSE、PULSEJUMP和HARDPULSE的惡意軟件攻擊歐洲一家機(jī)構(gòu)的Pulse Secure系統(tǒng)。
由于目前缺乏背景和取證證據(jù),Mandiant不能將本報(bào)告中描述的所有代碼家族與UNC2630或UNC2717聯(lián)系起來(lái)。一位內(nèi)他們還注意到,有可能是一個(gè)或多個(gè)相關(guān)團(tuán)體負(fù)責(zé)開(kāi)發(fā)和傳播這些不同的工具,并在松散的APT行為者之間傳播。除了UNC2630和UNC2717之外,可能還有其他團(tuán)體采用了這些工具中的一種或多種。
持續(xù)兩年的不安全因素
在過(guò)去的兩年里,Pulse Secure的母公司Ivanti發(fā)布了一系列Pulse Secure漏洞的補(bǔ)丁,這些漏洞不僅允許遠(yuǎn)程攻擊者在沒(méi)有用戶名或密碼的情況下獲得訪問(wèn)權(quán)限,而且還可以關(guān)閉多因素認(rèn)證,并查看虛擬專用網(wǎng)服務(wù)器以純文本緩存的日志、用戶名和密碼。
之前針對(duì)外幣兌換和旅行保險(xiǎn)公司Travelex的勒索軟件攻擊很可能就是因?yàn)檫@些漏洞,因?yàn)檫@家公司忽略了安裝補(bǔ)丁。
Mandiant的報(bào)告中還有一個(gè)令人擔(dān)心的事實(shí),那就是報(bào)告中顯示高度敏感地區(qū)的組織仍然沒(méi)有安裝補(bǔ)丁。并且,Pulse Secure的一個(gè)0day已經(jīng)被披露,受到了積極利用。
Pulse Secure在4月20日發(fā)布了一份公告,指示用戶如何緩解目前未修補(bǔ)的安全漏洞。Mandiant的報(bào)告中也包含了大量的技術(shù)指標(biāo),企業(yè)可以利用這些指標(biāo)來(lái)確定他們的網(wǎng)絡(luò)是否已經(jīng)成為漏洞的目標(biāo)。
目前,任何在其網(wǎng)絡(luò)中使用Pulse Secure的組織都應(yīng)該優(yōu)先閱讀并遵循Mandiant和Pulse Secure的建議以避免被黑客入侵造成損失。