Exécution de code à distance sur Pulse Connect Secure

Origine: bjCSIRT

Numéro: 2021/ALERTE/017

Date de l’alerte: 21/04/2021

APERÇU :

Des mises à jour de sécurité ont été publiées récemment par Juniper Networks, concernant une vulnérabilité qui inclut un contournement d’authentification. Elle permettrait à un utilisateur non authentifié d’exécuter des fichiers arbitraires à distance sur la passerelle Pulse Connect Secure.

DESCRIPTION :

La faille libellée CVE-2021-22893 notée critique et activement exploitée, concerne un contournement d’authentification qui pourrait aboutir sur une exécution de fichiers arbitraires. Cette exploitation massive de ladite vulnérabilité permettrait aux attaquants de faire du cyber espionnage et de s’infiltrer dans des réseaux gouvernementaux.

Afin de maintenir l’accès dans les réseaux compromis, les acteurs malveillants utilisent des scripts binaires légitimes de Pulse Secure pour partager du code malveillant afin de consigner les informations d’identification et contourner les flux d’authentification, y compris les exigences d’authentification multi-facteurs.

IMPACT :

  • Exposition de données sensibles ;
  • Contournement de l’authentification ;
  • Exécution de code à distance.

SYSTEMES AFFECTÉS :

PCS 9.0R3 et versions récentes.

MESURES À PRENDRE :

Il est fortement recommandé de :

  • mettre à niveau la version du logiciel serveur Pulse Connect Secure vers la version 9.1R.11.4 ;
  • changer les mots de passe de tous les comptes.

REFERENCES :

  • https://securityboulevard.com/2021/04/pulse-connect-secure-security-update/
  • https://kb.pulsesecure.net/articles/Pulse_Secure_Article/SA44784/
  • https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
Partagez sur vos réseaux.