En los últimos meses, varios grupos APT, incluido uno que se considera cercano al gobierno chino, se han infiltrado en las redes de organizaciones de todo el mundo explotando vulnerabilidades de las redes privadas virtuales (VPN) de Pulse Secure.
La compañía de ciberseguridad FireEye ha sido la que ha dado la voz de alarma publicando un extenso informe en el que comparte todo lo que ha descubierto su unidad de respuesta de incidentes, Mandiant, tras comenzar a investigar a principios de este año "múltiples intrusiones en organizaciones de defensa, gubernamentales y financieras de todo el mundo".
"Actualmente, Mandiant está rastreando 12 familias de malware asociadas con la explotación de dispositivos Pulse Secure VPN. Estas familias están relacionadas con la elusión de la autenticación y el acceso por puerta trasera a estos dispositivos, pero no están necesariamente relacionadas entre sí y se han observado en investigaciones separadas. Es probable que varios actores sean responsables de la creación y el despliegue de estas diversas familias de códigos", asegura el documento en su introducción.
La firma de software de TI Ivanti, que adquirió Pulse Secure a finales del año pasado, ha confirmado estos ataques y ha estado trabajando junto a Mandiant para responder a esta amenaza, que apunta a tres vulnerabilidades ya conocidas y a otra que se ha descubierto este mismo mes.
Las vulnerabilidades explotadas del servicio VPN de Pulse Secure
Mientras investigaba las numerosas infracciones en organizaciones de todo el mundo, el equipo de Mandiant encontró actividad maliciosa en los entornos afectados que tenía como origen sus dispositivos Pulse Secure VPN.
"En muchos casos, no pudimos determinar cómo los actores obtuvieron acceso de nivel de administrador a los dispositivos. Sin embargo, según el análisis de Ivanti, sospechamos que algunas intrusiones se debieron a la explotación de vulnerabilidades Pulse Secure previamente reveladas de 2019 y 2020, mientras que otras intrusiones se debieron a la explotación de CVE-2021-22893".
Las tres vulnerabilidades conocidas son CVE-2020-8243, CVE-2020-8260 y CVE-2019-11510 y, según Ivanti, fueron reparadas entre 2019 y 2020. Sin embargo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) advirtió recientemente que la última de ellas se encuentra entre brechas de seguridad que están explotando los actores del Servicio de Inteligencia Exterior de Rusia (SVR) para comprometer las redes de EE.UU. y de sus aliados, incluidas las de seguridad nacional y sistemas relacionados con el gobierno.
CISA también ha alertado ahora sobre la explotación de las vulnerabilidades de Pulse Secure y está colaborando con Ivanti para solucionar el problema.
Pulse Secure lanzará en mayo un parche para la última vulnerabilidad descubierta
CVE-2021-22893 es la nueva vulnerabilidad descubierta este mes y permite a los atacantes eludir la autenticación en la solución VPN Pulse Connect Secure (PCS) y ejecutar código arbitrario. Ha sido clasificada como crítica y Pulse Secure ya ha proporcionado algunas medidas para mitigarla y una herramienta para que sus clientes puedan determinar si sus sistemas están afectados, pero la solución definitiva no estará disponible hasta el próximo mes de mayo.
"Hay un nuevo problema, descubierto este mes, que ha afectado a un número muy limitado de clientes. El equipo ha trabajado rápidamente para proporcionar, directamente al limitado número de clientes afectados, mitigaciones que remedian el riesgo para su sistema. Publicaremos una actualización de software a principios de mayo. Visite el aviso de seguridad SA44784 (CVE-2021-22893) para obtener más información", ha declarado Phil Richards, CSO de Pulse Secure.
"Además, hemos desarrollado una herramienta sencilla, eficiente y fácil de usar para que los clientes puedan evaluar las instalaciones de sus productos y ver si han experimentado algún impacto debido a los problemas. La herramienta Pulse Security Integrity Checker ya está disponible; animamos a nuestros clientes a utilizarla y estamos trabajando con ellos para que lo hagan", ha agregado Richards.
Los grupos APT que utilizan estos fallos, uno de ellos se vincula a China
FireEye cree que varios grupos APT están explotando vulnerabilidades en los dispositivos Pulse Secure VPN para implementar diferentes tipos de malware y herramientas de persistencia. Según indica, uno de ellos se rastreó como UNC2630, principalmente se dirigió contra organizaciones de la base industrial de defensa de Estados Unidos entre agosto del 2020 y el pasado mes de marzo, y atacó con siete familias distintas de malware: SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE y PULSECHECK.
Los investigadores de Mandiant sospechan que UNC2630 opera en nombre del gobierno chino y que sus técnicas y procedimientos tienen fuertes similitudes con los de un grupo de ciberespionaje chino rastreado como APT5, cuya actividad se remonta a 2014 y que ha apuntado sistemáticamente a empresas de tecnología y defensa de Estados Unidos, Europa y Asia.
El informe también atribuye la explotación de las vulnerabilidades de Pulse Secure VPN a un segundo grupo denominado UNC2717, el cual señala que se enfocó en agencias gubernamentales globales entre octubre del año pasado y marzo utilizando HARDPULSE, QUIETPULSE y PULSEJUMP. "No tenemos suficiente evidencia sobre la UNC2717 para determinar el patrocinio del gobierno o una supuesta afiliación con ningún grupo conocido de APT".
Durante sus investigaciones, los expertos de FireEye también descubrieron una modificación maliciosa de la biblioteca OpenSSL que tenía el objetivo de afectar la generación de números aleatorios, lo cual es fundamental para las operaciones criptográficas. La compañía denominó a esta biblioteca troyana como LOCKPICK, pero no tiene suficientes pruebas para atribuirla a UNC2630 o UNC2717.
Medidas para protegerse
Además de compartir sus hallazgos, FireEye ha lanzado una lista de reglas de detección de Snort y Yara para estos ataques, así como muchos indicadores de compromiso, hash de archivos, URL, nombres de archivos y técnicas MIRE ATT & CK que los equipos de seguridad pueden utilizar para evaluar si sus dispositivos se han visto comprometidos.
"Las organizaciones deben examinar la evidencia forense disponible para determinar si un atacante comprometió las credenciales del usuario", ha aconsejado la firma de ciberseguridad. "Ivanti recomienda encarecidamente restablecer todas las contraseñas en el entorno y revisar la configuración para garantizar que no se puedan utilizar cuentas de servicio para autenticarse ante la vulnerabilidad".
Finalmente, cabe recordar que el año pasado también se detectó una amplia campaña de malware que explotaba servidores VPN vulnerables para atacar a empresas y organizaciones de todo el mundo. Fue denominada como "Fox Kitten" y, en este caso, los responsables eran un grupo de hackers iraníes.