Pulse Secure ha parcheado una vulnerabilidad crítica de día cero que estaba siendo explotada por múltiples grupos APT, para atacar a empresas de defensa estadounidenses, entre otras entidades.
La actualización de seguridad corrige la CVE-2021-22893, una vulnerabilidad crítica de omisión de autenticación en el producto Pulse Connect Secure VPN que tiene una puntuación CVSS de 10,0.
Estaba siendo explotada en combinación con errores de 2019 y 2020, parcheados por el proveedor pero no aplicados por algunas organizaciones, para eludir la autenticación multifactor en el producto. Esto permitió a los atacantes desplegar webshells para la persistencia y realizar actividades de vigilancia.
Mandiant dijo en ese momento que había rastreado 12 familias de malware para la explotación de la vulnerabilidad, y al menos un grupo de ataque patrocinado por el estado, APT5.
Los informes sobre estos ataques empezaron a aparecer hace unas dos semanas, y tanto la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) como el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) emitieron advertencias a las organizaciones.
