中文APT在脉冲安全VPN中利用关键CVE

脉冲安全VPN的用户正在敦促修补新公开的认证旁路零日，使得未经身份验证的用户能够在脉冲安全连接网关上执行远程任意文件执行 - 并且已经被利用。

CVE-2021-22893带有10个额定值的CVSS等级，但可以随时通过从脉冲安全下载解决方法来减轻时间。至少可以在5月初之前提供完整的补丁。

菲纳蒂的首席安全官员菲尔理查德，其中在2020年获得脉搏安全，说：“脉冲连接安全[PCS]团队与有限数量的客户联系，他们在其PC电器上经历过利用行为的证据。PCS团队直接向这些客户提供了修复指导。

“新问题，本月发现，影响了非常有限的客户。该团队迅速努力提供直接向有限的受影响的客户提供缓解，这些客户可以修复其系统风险。“

理查德还描述了持续尝试利用家电，通过缺乏最终用户的注意力，仍然容易受到其他三个问题 - CVE-2019-11510，CVE-2020-8243和CVE-2020-8260，所有这些都已被修补披露在过去两年内修补。鼓励用户审查公司以前的咨询，并遵循指导，包括在受影响的情况下更改环境中的所有密码。

“还鼓励客户申请和利用实质性和易于使用的脉冲安全完整性检查工具，以确定其系统上的任何异常活动。有关更多信息，请访问Secure Blog，“Richard说。

Fireeye的Mandiant表示已经回应了VPN电器受到损害的客户的事件，并且一直与披露的脉冲密切合作。

Charles Carmakal，SVP和CTO在Mandiant，说：“通过我们的调查过程，我们了解到VPN SolutionWere的零日和其他已知的漏洞，该漏洞促进了组织跨跨度的侵入，包括政府机构，金融实体和国防公司。我们怀疑这些入侵与之对齐中国的数据和情报收集目标。“

Carmakal表示，涉及的先进持久威胁（APT）组 - 被称为UNC2360 - 非常熟练，具有深刻的脉冲安全产品技术知识。该组开发了新颖的恶意软件，使其能够在受影响的设备上绕过多因素身份验证，以访问目标网络并修改脉冲安全系统上的脚本，以允许恶意软件避免软件更新或硬复位。这使该组织能够在受害者内保持持久性，可能是一段时间。

“他们补充说：”他们的主要目标是维持长期访问网络，收集凭证和窃取专有数据。“

Carmakal强调，没有证据表明Ivanti的网络或软件的任何供应链妥协。

更多有关漏洞的更多信息，以及未覆盖的小说恶意软件的细节，可从强制上获得。

下一步

脉冲安全VPN攻击中的零天缺陷