CISA 发布针对 Pulse Secure 设备的样本的恶意软件分析报告
美国 CISA 发布了五份恶意软件分析报告 (MAR),这些报告与在受感染的 Pulse Secure 设备上发现的样本有关。
“作为 CISA 对 Pulse Secure 漏洞持续响应的一部分 ,CISA 分析了与被利用的 Pulse Secure 设备相关的五个恶意软件样本。CISA 鼓励用户和管理员查看以下五个恶意软件分析报告 (MAR) 以了解威胁行为者的策略、技术和程序 (TTP) 以及入侵指标 (IOC),并查看 CISA 的警报, 利用 Pulse Connect 安全漏洞,了解更多信息信息。” 阅读CISA 的建议。
- MAR-10333243-3.v1:脉冲连接安全
- MAR-10334057-3.v1:脉冲连接安全
- MAR-10336935-2.v1:脉冲连接安全
- MAR-10338401-2.v1:脉冲连接安全
- MAR-10339606-1.v1:脉冲连接安全
MAR 包括有关威胁行为者采用的战术、技术和程序 (TTP) 的详细信息以及攻击的妥协指标 (IOC)。
攻击者的目标是利用多个缺陷的 Pulse Connect Secure VPN 设备,包括CVE-2021-22893 和 CVE-2021-22937。
CVE-2021-22893是b9.1R11.4之前的 Pulse Connect Secure Collaboration Suite 中的缓冲区溢出问题,允许远程验证攻击者通过恶意制作的会议室以 root 用户身份执行任意代码。根据FireEye 和 Pulse Secure在 5 月份 发布的 协调报告,两个黑客组织利用 Pulse Secure VPN 设备中的零日漏洞闯入了美国国防承包商和全球政府组织的网络。
CVE-2021-22937 是一个高严重性的远程代码执行漏洞,存在于 Pulse Connect Secure 的管理 Web 界面中。远程攻击者可以利用该漏洞覆盖任意文件并获得具有 root 权限的代码执行。该漏洞的 CVSS 评分为 9.1,专家指出,这是绕过 2021 年 10 月发布的用于解决CVE-2020-8260 问题的补丁的结果 。Ivanti 本月初在 Pulse Connect Secure VPN 中修复了这个关键的代码执行问题。
CISA 在 MAR 中分析的两个样本是受感染的 Pulse Secure 文件,这些文件是从用于获取凭据的受感染设备中检索到的。其中只有一个还实现了后门功能,允许威胁行为者建立对受感染设备的远程访问。
另一个文件包含一个恶意 shell 脚本,该脚本可以将有效用户的用户名和密码凭据记录到存储在磁盘上的文件中。其中一份报告提供了有关涉及多个文件的样本的详细信息,包括攻击者用来修改 Pulse Secure 文件并将其用作 webshell 的 shell 脚本。专家记录的另一个样本允许攻击者解析传入的 Web 请求数据,而另一个文件可用于拦截基于证书的多因素身份验证。
“其中一些文件包含 shell 脚本,旨在修改 Pulse Secure Perl 通用网关接口 (CGI) 脚本文件以成为 webshell。一个文件旨在拦截基于证书的多因素身份验证。其他文件旨在检查、解析和解密传入的 Web 请求数据。该分析源自在 Pulse Connect Secure 设备上发现的恶意文件。” 读 MAR。
研究人员分析的第五个样本包括两个允许攻击者执行命令的 Perl 脚本、一个 Perl 库、一个 Perl 脚本和一个操纵和执行“/bin/umount”文件的 shell 脚本。
