هکرها از Pulse Secure 0day برای هک سازمان های سراسر جهان استفاده می کنند


دستان دستکش شده لپ تاپی را با جمجمه و استخوان های نمایش داده شده دستکاری می کنند.

محققان گفتند ، هکرهای مورد حمایت ملی از آسیب پذیری های اساسی در Pulse Secure VPN برای دور زدن محافظت از احراز هویت دو عاملی و دسترسی پنهان به شبکه های متعلق به چندین سازمان در صنعت دفاعی ایالات متحده و سایر کشورها استفاده می کنند.

شرکت امنیتی Mandiant روز سه شنبه در یک پست وبلاگی گفت حداقل یکی از نقص های امنیتی روز صفر است ، به این معنی که برای توسعه دهندگان Pulse Secure و بیشتر دنیای تحقیقات ناشناخته بوده است. علاوه بر CVE-2021-22893 ، در حالی که روز صفر ردیابی می شود ، بسیاری از گروه های هکر – حداقل یکی که احتمالاً به نمایندگی از دولت چین کار می کند – از چندین آسیب پذیری Pulse Secure که در سال های 2019 و 2020 رفع شده اند نیز بهره برداری می کنند.

تحت محاصره

محققان Dan Perez ، Sarah Jones ، Greg Wood و Stephen Eccles نوشتند: “Mandiant در حال حاضر 12 خانواده از بدافزارهای مرتبط با عملکرد دستگاه های VPN Pulse Secure را ردیابی می کند.” “این خانواده ها درگیر دور زدن احراز هویت و دسترسی پشت صحنه به این دستگاه ها هستند ، اما لزوماً به هم پیوسته نیستند و در تحقیقات جداگانه ای تحت نظارت قرار گرفته اند. احتمالاً بسیاری از شرکت کنندگان مسئول ایجاد و اجرای این خانواده های کد متفاوت هستند. “

آسیب پذیری های امنیتی به تنهایی یا به صورت هماهنگ استفاده می شوند ، به هکرها اجازه می دهد با محافظت از دستگاه های VPN احراز هویت یک عاملی و چند عاملی را دور بزنند. از آنجا ، هکرها می توانند بدافزاری را نصب کنند که هنگام بروزرسانی نرم افزار به حیات خود ادامه می دهد و دسترسی را از طریق پوسته های وب که دارای رابط های مبتنی بر مرورگر هستند و به هکرها امکان کنترل از راه دور دستگاه های آلوده را می دهند ، حفظ می کنند.

مانندیانت گزارش داد ، حملات متعدد در شش ماه گذشته بر دفاع ، دولت و م institutionsسسات مالی در سراسر جهان تأثیر گذاشته است ، و گفت: “مدارک محدودی” که یکی از گروه های هکر را به دولت چین پیوند می دهد کشف کرده است. این تیم که تاکنون ناشناخته است UNC2630 نامیده می شود ، یکی از حداقل دو گروه هکری است که به طور فعال از آسیب پذیری ها بهره برداری می کنند.

در پست روز سه شنبه آمده است:

ما مشاهده کردیم UNC2630 در حال جمع آوری گواهینامه ها از جریان های مختلف ورود به سیستم VPN Pulse Secure است که در نهایت به بازیگر اجازه می دهد از اعتبار حساب معتبر برای حرکت کناری به محیط آسیب دیده استفاده کند. برای حفظ انعطاف پذیری شبکه های به خطر افتاده ، بازیگر از اسکریپت های باینری و پالس محافظت شده توسط پالس قانونی ، اما اصلاح شده استفاده می کند. این برای دستیابی به موارد زیر انجام شد:

  1. Trojan اشیا را با کد مخرب به اشتراک می گذارد تا اطلاعات کاربری را وارد کند و در اطراف جریان های احراز هویت کار کند ، از جمله شرایط احراز هویت چند عاملی. ما این گره های Trojan مانند SLOWPULSE و انواع مختلف آن را ردیابی می کنیم.
  2. صفحات وب را که در حال حاضر ردیابی می کنیم ، مانند RADIALPULSE و PULSECHECK ، به صفحات وب دستگاه Pulse Secure VPN موجود در اینترنت تزریق کنید.
  3. سیستم پرونده را بین حالت فقط خواندنی و خواندن نوشتن تغییر دهید تا امکان تغییر پرونده ها در یک سیستم پرونده معمولی فقط خواندنی فراهم شود.
  4. در بروزرسانی های کلی دستگاه VPN که توسط سرپرست انجام می شود ثبات داشته باشید.
  5. برای جلوگیری از شناسایی ، پرونده های اصلاح شده را حذف کرده و برنامه های کاربردی و اسکریپت ها را حذف کنید.
  6. با استفاده از یک ابزار ردیابی شده به عنوان THINBLOOD بر اساس بیان منظم تعریف شده توسط بازیگر ، گزارش های مربوطه را پاک کنید.

Mandiant نمودارهای زیر را ارائه می دهد که جریان بای پس های مختلف را برای احراز هویت و دسترسی به سیاههها نشان می دهد:

پست وبلاگ سه شنبه همچنین شامل یک گروه بی سابقه دیگر است که Mandiant آن را UNC2717 می نامد. در ماه مارس ، این گروه با استفاده از نرم افزار مخرب Mandiant به عنوان RADIALPULSE ، PULSEJUMP و HARDPULSE علیه سیستم های Pulse Secure در یک سازمان اروپایی شناخته شد.

محققان این شرکت افزودند:

به دلیل کمبود زمینه و شواهد پزشکی قانونی در این زمان ، ماندیانت نمی تواند تمام خانواده های رمزگذاری شده در این گزارش را به UNC2630 یا UNC2717 پیوند دهد. ما همچنین این امکان را یادآوری می کنیم که یک یا چند گروه مرتبط مسئول توسعه و انتشار این ابزارهای مختلف در میان بازیگران APT باشند. این احتمال وجود دارد که گروههای دیگری خارج از UNC2630 و UNC2717 یک یا چند مورد از این ابزارها را پذیرفته باشند. با وجود این شکاف ها در درک ما ، ما در برنامه فنی شامل تجزیه و تحلیل دقیق ، تکنیک های تشخیص و تخفیف برای همه خانواده های کد است.

دو سال عدم اطمینان

در دو سال گذشته ، شرکت مادر Pulse Secure Ivanti اصلاحاتی را برای تعدادی از آسیب پذیری های Pulse Secure منتشر کرده است ، که نه تنها به هکرهای از راه دور اجازه می دهد بدون نام کاربری و رمز عبور دسترسی پیدا کنند ، بلکه احراز هویت و بازبینی چند عاملی را نیز حذف می کنند. از سیاهههای مربوط ، نامهای کاربری و رمزهای عبور که توسط سرور VPN در متن ساده ذخیره شده است.

در همان دوره ، آسیب پذیری های مهم به طور فعال توسط هکرها مورد حمله قرار گرفتند و احتمالاً منجر به حمله موفقیت آمیز باج افزار به Travelex ، یک شرکت ارزی و مسافرتی شدند که از نصب اصلاحات غافل شد.

توصیه Mandiant نگران کننده است ، زیرا نشان می دهد که سازمان های مناطق بسیار حساس هنوز این تعدیلات را انجام نداده اند. همچنین نگران کننده کشف Pulse Secure zeroday است که مورد حمله جدی قرار گرفته است.

روز سه شنبه ، Pulse Secure نکاتی را با راهنمایی برای کاربران در مورد چگونگی کاهش اشکال امنیتی حل نشده در حال حاضر منتشر کرد. پست وبلاگ Mandiant شامل تعداد زیادی معیار سنجش فنی است که سازمان ها می توانند با استفاده از آنها تعیین کنند که آیا شبکه های آنها مورد سو استفاده کنندگان قرار گرفته است.

هر سازمانی که از Pulse Secure در هر نقطه از شبکه خود استفاده می کند ، اولویت خواندن و پیروی از توصیه های Mandiant و Pulse Secure است.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>