駭客利用Pulse Secure VPN裝置4項安全漏洞,對各國政府組織發動攻擊

風險等級: 高度威脅
摘 要: 【弱點說明】駭客利用Pulse Secure VPN裝置4項安全漏洞,對各國政府組織發動攻擊

【影響範圍】

  • PCS 8.2、8.3、9.0版本
  • PCS 9.1R8.2之前版本
  • PCS 9.1R9之前版本
  • PCS 9.0R3、9.1R1及更高版本

【細節描述】

US-CERT、美國網路安全暨基礎架構安全署(Cybersecurity and Infrastructure Security Agency,CISA)、資安業者FireEye,以及VPN裝置製造商Pulse Secure,在本周二(4/20)揭露了數起開採Pulse Secure漏洞,並鎖定美國國防產業與全球政府機關的攻擊行動。
Pulse Secure表示,該公司最近發現有少數客戶所部署的Pulse Connect Secure VPN裝置遭到駭客開採,在與FireEye、CISA與其他資安專家聯手展開調查之後,才發現駭客開採了Pulse Connect
Secure的4個安全漏洞,其中的3個CVE-2019-11510、CVE-2020-8243與CVE-2020-8260已於2019年及2020年修補,還有一個是零時差漏洞CVE-2021-22893。
FireEye則說,根據追蹤,至少有12個惡意程式家族開採Pulse Connect Secure裝置的漏洞,可用來繞過認證機制或建立後門,看起來像是有許多不同的駭客組織在開發與建立這些惡意程式家族。
在這次的研究報告中,FireEye只揭露了UNC2630與UNC2717兩個駭客組織的行動,其中的UNC2630更是鎖定美國的國防工業基地
(Defense Industrial Base,DIB)網路發動攻擊,使得美國國土安全部因而發布緊急指令,要求各單位緩解Pulse Secure產品的安全漏洞。

【建議措施】

Pulse Secure與CISA督促採用Pulse Connect Secure裝置的用戶應該儘速修補漏洞,針對CVE-2021-22893零時差漏洞,Pulse Secure目前僅提供暫時補救辦法,真正的修補程式預計會在5月初出爐。此外,Pulse Secure亦釋出了檢查工具,供用戶檢視自己的系統是否受到危害。
建議Pulse Secure客戶在PCS Server 9.1R.11.4版本可用時進行升級。

參考資訊: us-cert
ithome
thehackernews