Grupos respaldados por China hhabrían estado espiando a organizaciones estadounidenses y europeas, incluida la industria de defensa. Los hackers aprovechan los fallos de Pulse Secure VPN.
Al menos dos importantes grupos de hackers han desplegado una docena de familias de malware para explotar vulnerabilidades del conjunto de dispositivos de la red privada virtual (VPN) de Pulse Connect Secure. Con ello, han espiado supuestamente al sector de defensa de EE.UU.
Los piratas se infiltraron en la plataforma Pulse Connect Secure (PCS) aprovechando la vulnerabilidad CVE-2021-22893. Se trata de un fallo crítico de ejecución remoto de código calificada con un máximo de 10 en la escala de gravedad de amenazas. Además también se encontró combinada con una serie de vulnerabilidades descubiertas anteriormente.
Los hackers aprovechan los fallos de Pulse Secure VPN
Ivanti, la empresa matriz de Pulse Secure, ha lanzado mitigaciones para este fallo. También una herramienta para determinar si los sistemas del cliente se han visto comprometidos, aunque el parche al momento de escribir estas líneas aún no está disponible.
El propósito del hackeo y la escala de la infiltración aún no está claro. Sin embargo, los investigadores de FireEye han relacionado el ataque con grupos respaldados por el estado chino. Aunque el foco predominante de su investigación fue la infiltración contra empresas de defensa estadounidenses, los investigadores detectaron muestras en Estados Unidos y Europa.
Fueron alertados por primera vez sobre varias intrusiones en organizaciones de defensa, gubernamentales y financieras de todo el mundo a principios de este año. Se basaban en el exploit de dispositivos Pulse Secure VPN. No pudieron determinar cómo los piratas obtuvieron derechos de administrador sobre los dispositivos. Ahora sospechan que las vulnerabilidades de Pulse Secure de 2019 y 2020 fueron las culpables, mientras que otras intrusiones venían por la vulnerabilidad CVE-2021-22893.
Se han identificado hasta dos grupos, denominados UNC2630 y UNC2717. Cada uno de ellos realizó ataques durante este período contra las agencias de defensa estadounidenses y las agencias gubernamentales globales, respectivamente. Sospechan que al menos el primero opera en nombre del gobierno chino, aunque no hay pruebas suficientes para tomar una decisión determinante sobre el asunto.
Un viejo conocido
FireEye ha recomendado que todos los clientes de Pulse Secure Connect evalúen el impacto de las mitigaciones disponibles y las apliquen si es posible. También deben usar la versión más reciente de la herramienta Pulse Secure para detectar si sus sistemas han sido atacados.
Scott Caveza, gerente de ingeniería de investigación de Tenable, dijo que junto con el nuevo fallo de seguridad, los atacantes también parecen estar aprovechando tres fallas previamente corregidas. Estas son CVE-2019-11510, CVE-2020-8243 y CVE-2020-8260. El primero de los tres, que ha sido explotado desde que se reveló por primer vez en agosto de 2019, se encontraba entre las cinco vulnerabilidades más comúnmente explotadas de Tenable el año pasado.
La investigación de Trend Micro descubrió anteriormente que los atacantes apuntaban en gran medida a las VPN. Esto incluye el aprovechamiento de fallas presentes en la VPN de Fortinet y Pulse Connect Secure.