CISA ordena a las organizaciones federales mitigar el error Pulse Secure VPN antes del viernes

CISA ordena a las organizaciones federales mitigar el error Pulse Secure VPN antes del viernes

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una nueva directiva de emergencia que ordena a las agencias federales que mitiguen una vulnerabilidad explotada activamente en los dispositivos VPN Pulse Connect Secure (PCS) en sus redes para el viernes.

CISA emitió la Directiva de Emergencia (ED) el martes 21-03 después de que Pulse Secure confirmara un informe de FireEye que indica que al menos dos grupos de amenazas respaldados por el estado explotaron el error (identificado como CVE-2021-22893) para violar las organizaciones gubernamentales y de defensa en Estados Unidos y todo el mundo.

Como explica CISA, los atacantes aprovechan esta vulnerabilidad junto con los más antiguos para obtener acceso persistente al sistema y tomar el control de las redes corporativas con dispositivos PCS vulnerables.

Índice()

    Las agencias dijeron que buscan signos de compromiso todos los días

    Hasta la aplicación de las medidas de mitigaciónLos departamentos y agencias del poder ejecutivo civil federal también recibieron instrucciones de administrar Herramienta de integridad segura Pulse Connect en todos los dispositivos PCS cada 24 horas para comprobar si hay evidencia de compromiso.

    "Esta herramienta verifica la integridad del sistema de archivos y detecta cualquier discordancia de hash", dijo CISA. "Se sabe que los adversarios mantienen la persistencia durante los ciclos de actualización y es fundamental ejecutar la herramienta incluso si ya se han implementado todas las actualizaciones y el dispositivo está ejecutando la última versión del software".

    Si se detectan signos de actividad maliciosa, CISA ha dado instrucciones a las agencias para que aíslen los dispositivos y se comuniquen con Pulse Secure para recopilar evidencia forense de la intrusión.

    Las agencias deben tomar medidas correctivas para todos los dispositivos afectados y vuelva a ponerlos en producción solo después de que se hayan recopilado los artefactos forenses y se haya completado el análisis.

    Directiva de emergencia CISA 21-03

    Para abordar la vulnerabilidad, Pulse Secure recomienda a los clientes con puertas de enlace que ejecuten PCS 9.0R3 y versiones posteriores que actualicen el software de su servidor a 9.1R.11.4 inmediatamente después de su lanzamiento en mayo.

    Mientras tanto, como solución alternativa, CVE-2021-22893 se puede mitigar deshabilitando las funciones de Windows File Sharing Browser y Pulse Secure Collaboration utilizando las instrucciones disponibles en el aviso de seguridad.

    Probables piratas informáticos del estado chino detrás de los ataques

    Los autores de amenazas rastreados como UNC2630 (potencialmente vinculado a APT5 respaldado por China) y UNC2717 por la firma de ciberseguridad FireEye detectaron dispositivos Pulse Secure utilizando tanto CVE-2021-22893 como errores anteriores.

    Habiéndose establecido en las redes de organizaciones específicas de EE. UU. Y Europa, han implementado múltiples tipos de malware con funcionalidad de puerta trasera y shell web.

    Según FireEye:

    • La UNC2630 se dirigió a empresas DIB estadounidenses con SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE y PULSECHECK desde agosto de 2020 hasta marzo de 2021.
    • UNC2717 se enfocó en agencias gubernamentales globales entre octubre de 2020 y marzo de 2021 usando HARDPULSE, QUIETPULSE y PULSEJUMP.

    "Desarrollaron malware que les permitió recopilar credenciales de Active Directory y evitar la autenticación de múltiples factores en los dispositivos Pulse Secure para acceder a las redes de las víctimas", dijo a BleepingComputer Charles Carmakal, vicepresidente senior y director de tecnología de FireEye Mandiant.

    "Modificaron los scripts en el sistema Pulse Secure, lo que permitió que el malware sobreviviera a las actualizaciones de software y restablecimientos de fábrica".

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir