Una VPN para la pantalla de inicio de Apple. Crédito: Unsplash.com
La firma estadounidense de ciberseguridad Mandiant se enfrentó recientemente a una serie de incidentes de seguridad de dispositivos Pulse Secure VPN. Los atacantes utilizaron técnicas de derivación de la autenticación para eludir los parámetros de seguridad de la VPN. Los grupos de amenazas parecen haber instalado APT a través de shells de red para monitorear los sistemas a pesar del funcionamiento de la VPN.
Estos revestimientos de bandas han resistido muchas mejoras. Hasta ahora, Pulse Secure ha determinado que este ataque se basó en una serie de vulnerabilidades anteriores y una vulnerabilidad recién descubierta en abril de 2021 (CVE-2021-22893) para llevar a cabo la infección inicial. Desde que comenzaron estos ataques, Ivanti, el padre de Pulse Secure, ha proporcionado soluciones para la vulnerabilidad explotada por este malware. Además, la empresa pondrá a disposición la herramienta de integridad segura Pulse Connect para que los clientes puedan evaluar si sus sistemas se ven afectados.
Por ahora, Pulse Secure y Mandiant están trabajando diligentemente para abordar este problema para los clientes, socios gubernamentales y otros expertos forenses. Hasta ahora, la investigación no ha encontrado evidencia que sugiera que algún tipo de compromiso en el proceso de implementación del software o en la cadena de suministro haya dado lugar a las puertas traseras detectadas.
Las iniciativas de análisis de código actualmente en curso evalúan 12 familias de malware aparentemente únicas asociadas con estos ataques. Del lado del gobierno, Mandiant se ha asociado con Ivanti y Pulse Secure para monitorear las redes de las agencias en busca de actividad de puerta trasera.
En general, los equipos de investigación etiquetaron el código troyano malicioso relevante que pasa por alto la autenticación multifactor como SLOWPULSE. Para los shells de Internet, los equipos han acuñado los nombres en clave RADIALPULSE y PULSECHECK.
Aparentemente, los grupos de amenazas están utilizando binarios modificados pero legítimos y scripts Pulse Secure para manipular el dispositivo VPN. De hecho, los ataques relacionados con esta vulnerabilidad se descubrieron en 2019 y 2020.
Los investigadores identificaron los siguientes pasos en el proceso del atacante: SLOWPULSE utiliza objetos compartidos troyanizados con código malicioso para registrar credenciales y eludir las comprobaciones de autenticación, insertar shells web maliciosos en sitios web administrativos legítimos de Pulse Secure VPN en Internet para dispositivos de destino, cambiar el sistema de archivos entre modos solo para leer, leer y escribir para permitir la modificación de archivos, permanecer persistente a pesar de que el administrador actualice a la actualización del dispositivo VPN, descomprimir archivos modificados y eliminar scripts y herramientas después de su uso para evitar la detección, y usar una herramienta conocida como THINBLOOD para eliminar todos los archivos de registro relevantes basados en en una expresión regular establecida por la parte amenazante.
El último parche para eso punto débil entrará en vigor a principios de este mes, mayo de 2021.
Pérez, D. y col. “Compruebe su pulso: los presuntos actores de APT están utilizando técnicas de autenticación de bypass y un pulso seguro”. FireEye, FireEye, Inc., 20 de abril de 2021 www.fireeye.com/blog/threat-re… secure-zero-day.html.
© 2021 Science X Network