Logo
Hamburger Menu Icon
Yoroi Background

Attacchi 0-Day verso Appliance Pulse Secure

04/21/2021

Proto: N050421.

Con la presente CERT-Yoroi desidera informarla relativamente alla scoperta di attacchi 0-day rivolti agli appliance di sicurezza Pulse Connect Secure, gateway di accesso VPN utilizzati in ambito Enterprise. La falla è nota con l’identificativo CVE-2021-22893. 

A causa di lacune nella gestione delle richieste http dirette alle interfaccie web https dei servizi Pulse Connect Secure (PCS), un attaccante remoto privo di autenticazione risulta in grado di eseguire comandi arbitrari sul sistema, compromettendone la sicurezza ed accedendo ai segmenti di rete interni. 

Figura. Potenziale Esposizione Internet gateway Pulse Connect Secure (Fonte:ShodanHQ) 

Il Vendor ha confermato la problematica attraverso il bollettino out-of-band SA44784, dove viene suggerito l’aggiornamento alla versione 9.1R.11.4 del firmware Pulse Connect Secure, ritenuta sicura. Dettagli sulle versioni Pulse Connect Secure 9.1RX e Pulse Connect Secure 9.0RX verranno chiariti dal Vendor nei prossimi giorni. 

Tuttavia, considerata la diffusione, l'esposizione internet delle tecnologie afflitte e la recente scoperta dello sfruttamento delle falle in attacchi 0day operati da attori APT (e.g.  APT5 con focus su settori Telecomunicazioni e Tecnologia), CERT-Yoroi consiglia caldamente di applicare celermente le patch di sicurezza rese disponibili dal Produttore e di valutare lo stato di compromissione degli appliance PulseSecure eventualmente in uso tramite lo strumento PCS Integrity Tool.  

CERT-Yoroi consiglia inoltre di valutare l’applicazione dei workaround resi noti dal Vendor, in particolare: 

  • Blocchi ai seguenti pattern di URL:
    • ^/+dana/+meeting  
    • ^/+dana/+fb/+smb  
    • ^/+dana-cached/+fb/+smb  
    • ^/+dana-ws/+namedusers  
    • ^/+dana-ws/+metric 
  • Importazione temporanea del file di configurazione “Workaround-2104.xml” .
  • Disabilitazione temporanea delle funzionaltà “Windows File Share Browser” e “Pulse Secure Collaboration” .

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index 

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram