Il bug di esecuzione del codice in Pulse Secure VPN minaccia i ritardatari di patch ovunque

2

Le organizzazioni che devono ancora installare l’ultima versione di Pulse Secure VPN hanno un buon motivo per interrompere il dithering, una vulnerabilità legata all’esecuzione di codice che consente agli aggressori di assumere il controllo delle reti che utilizzano il prodotto.

Tracciata come CVE-2020-8218, la vulnerabilità richiede che un utente malintenzionato disponga dei diritti amministrativi sulla macchina che esegue la VPN. I ricercatori di GoSecure, l’azienda che ha scoperto il difetto, hanno trovato un modo semplice per superare questo ostacolo: indurre un amministratore a fare clic su un collegamento dannoso incorporato in un’e-mail o in un altro tipo di messaggio.

La stagione del phishing è ufficialmente iniziata

“Anche se richiede di essere autenticato”, ha scritto in un post il ricercatore di GoSecure Jean-Frédéric Gauron, riferendosi all’exploit, “il fatto che possa essere attivato da un semplice attacco di phishing alla vittima giusta dovrebbe essere una prova sufficiente che questa vulnerabilità non è da ignorare».

Sebbene gli attacchi di phishing siano vecchi, sono tra i modi più efficaci per violare le difese non solo dei consumatori, ma anche di Fortune 500 e delle organizzazioni governative. La posta in gioco è ancora più alta, dato l’attuale regime di lavoro da casa causato dalla pandemia di COVID-19.

Il mese scorso, gli aggressori hanno preso il controllo dei sistemi interni di Twitter utilizzando informazioni personali dettagliate prese dai siti di social media per indurre un lavoratore remoto a inserire le credenziali in una pagina falsa. Secondo KrebsOnSecurity, l’FBI e la Cybersecurity and Infrastructure Security Agency hanno recentemente avvertito che attacchi simili si stanno verificando in tutto il paese.

Abbreviazione di reti private virtuali, le VPN consentono alle aziende di autenticare crittograficamente i dipendenti che si connettono alla rete e di crittografare tutte le comunicazioni. Negli ultimi 18 mesi, le VPN sono emerse come un’apertura chiave per gli hacker per penetrare nei perimetri di rete accuratamente protetti.

Annuncio

Un obiettivo preferito

L’anno scorso, gli aggressori dietro il ransomware REvil hanno ottenuto l’accesso alla rete di cambio valuta Travelex, molto probabilmente da una o più vulnerabilità critiche di Pulse Secure che gli amministratori avevano lasciato senza patch. L’hack è arrivato otto mesi dopo il rilascio delle patch e quattro mesi dopo gli avvertimenti che la vulnerabilità veniva sfruttata attivamente su macchine che non erano state patchate. È stata una svista costosa per Travelex. Gli aggressori, secondo la BBC, hanno chiesto 6 milioni di dollari per ripristinare i dati dell’azienda.

All’inizio di quest’anno, un’ondata di attacchi in the wild ha sfruttato i difetti zero-day in una VPN Citrix fino a quando l’azienda non è riuscita a ripararli.

In un post pubblicato mercoledì, Gauron ha affermato che CVE-2020-8218 è una delle quattro vulnerabilità scoperte nella Pulse Secure VPN. La società li ha segnalati a metà giugno e Pulse Secure ha lanciato una patch quattro settimane fa.

Il ricercatore dell’azienda Julien Pineault ha dichiarato in una e-mail che GoSecure ha trovato le vulnerabilità per conto di un cliente che voleva testare se la sua nuova distribuzione della Pulse Secure VPN fosse vulnerabile a qualsiasi attacco esistente. Dopo aver trovato un difetto di iniezione dei comandi, hanno studiato questo post del ricercatore Orange Tsai per trovare indizi su come aggirare le misure di sicurezza che gli sviluppatori di Pulse Secure avevano messo in atto.

L’impegno con il cliente non ha permesso a GoSecure di entrare effettivamente nella rete. Tuttavia, sono stati in grado di confermare che un tale attacco era possibile in un ambiente di laboratorio.

Pineault ha affermato che CVE-2020-8218 è la più grave delle quattro vulnerabilità rilevate dalla sua azienda. Ha detto che GoSecure ha pianificato di fornire dettagli su altre vulnerabilità una volta che Pulse Secure le risolverà.

CVE-2020-8218 è stato corretto nella versione 9.1R8 di Pulse Connect. A causa della scarsa esperienza nel settore dell’applicazione di patch, insieme alle gravi conseguenze che possono derivare, vale la pena dare un’occhiata a questo.