Se ha instado a los clientes de Pulse Secure a que tomen medidas inmediatas para mitigar una vulnerabilidad crítica de día cero en la popular plataforma VPN, después de que los investigadores hayan revelado que varios grupos APT están atacándola.
La CVE-2021-22893 tiene una puntuación CVSS de 10,0 y está catalogada como una vulnerabilidad crítica de derivación de autenticación en Pulse Connect Secure.
Está utilizándose en combinación con múltiples CVEs heredados en el producto de 2019 y 2020 para comprometer a las víctimas en la defensa, el gobierno, las finanzas y otras organizaciones de todo el mundo, según Mandiant.
“Mandiant está rastreando actualmente 12 familias de malware asociadas con la explotación de los dispositivos Pulse Secure VPN”, dijo en un análisis de un grupo de amenazas.
El informe de Mandiant abarca la actividad de UNC2630, que se cree que está vinculada al grupo de amenazas chino APT5, contra las redes de empresas de defensa estadounidenses.
Los fallos mencionados se utilizan para eludir la autenticación existente en los dispositivos VPN, incluida la autenticación multifactor, lo que permite a los atacantes instalar webshells para persistir y realizar actividades de espionaje.
Tanto el NCSC del Reino Unido como el CISA de EE.UU. han publicado una guía de emergencia sobre esta amenaza de ruptura.
Con información de: Info Security Magazine.