Alerta ante explotación de vulnerabilidades en Pulse Connect Secure

La presente publicación resume un informe que puede ser leido y descargado en su totalidad, en formato PDF, a través del siguiente enlace: 10CND21-00053-01.

El 20 de abril de 2021, la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) del Departamento de Seguridad Nacional (DHS) de Estados Unidos compartió una alerta[1] llamando encarecidamente a mitigar varias vulnerabilidades existentes en Pulse Connect Secure, debido a la observación de su explotación activa.

Los actores maliciosos aprovechan distintas vulnerabilidades para instalar webshells con las cuales mantener acceso futuro y persistencias. Las principales vulnerabilidades mencionadas son las siguientes.

CVE-2019-11510:https://www.csirt.gob.cl/noticias/comunicado-sobre-el-acceso-no-autorizado-a-las-herramientas-de-fireeye/.

CVE-2020-8243: https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44588/?kA23Z000000boQu.

CVE-2020-8260: https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44601/?kA23Z000000boS0.

CVE-2021-22893: https://www.csirt.gob.cl/vulnerabilidades/9vsa21-00426-01/.

La recomendación es parchar y mantener actualizados todos los sistemas de la organización, según los parches entregados por cada proveedor a sus clientes.

Mitigación

Ivanti, la prooveedora de los productos Pulse Connection Secure, puso a disposición de la comunidad medidas de mitigación ante la explotación de las vulnerabilidades descritas en el punto anterior.

Junto al parchado de las mismas, se recomienda aplicar una herramienta (Pulse Connect Secure Integrity Tool), disponible en https://my.pulsesecure.net/, además de las instrucciones para su uso.

Hashes:

MD5 : fa61e1f7ce78f7a399690f9557007aaa

SHA1 : e5e9e9b02728d75060dc5aaac1eb04412c4d10af

La herramienta debe ser usada todos los días hasta que se hayan instalado los parches a todas las vulnerabilidades descritas en el presente informe.

  • Acceda con sus credenciales a la consola de administrador del PCS appliance.
  • Vaya a Maintenance >> Upgrade/Downgrade >> Bajo Install Service Package haga clic en Browse y seleccione la Integrity Tool. (Descargue la herramienta (Integrity Tool) del enlace de descarga).
  • Haga click en Install.
  • El proceso tomará algunos minutos, y la appliance se reiniciará automáticamente.
  • Puede monitorear el acceso a la consola por el proceso.

Enlaces

Exploitation of Pulse Connect Secure Vulnerabilities | CISA:

https://us-cert.cisa.gov/ncas/alerts/aa21-110a

Herramienta de para revisar la integridad de Pulse Connect Secure: https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755

Más información sobre las vulnerabilidades descritas por la CISA:

CVE-2019-11510:https://www.csirt.gob.cl/noticias/comunicado-sobre-el-acceso-no-autorizado-a-las-herramientas-de-fireeye/.

CVE-2020-8243: https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44588/?kA23Z000000boQu.

CVE-2020-8260: https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44601/?kA23Z000000boS0.

CVE-2021-22893: https://www.csirt.gob.cl/vulnerabilidades/9vsa21-00426-01/.

[1] Exploitation of Pulse Connect Secure Vulnerabilities | CISA https://us-cert.cisa.gov/ncas/alerts/aa21-110a

Alerta ante explotación de vulnerabilidades en Pulse Connect Secure