Les acteurs APT exploitent les techniques de contournement d’authentification et Pulse Secure Zero-Day

Les acteurs APT exploitent les techniques de contournement d'authentification et Pulse Secure Zero-Day

VPN d’écran d’accueil Apple. Crédit: Unsplash.com

La société américaine de cybersécurité Mandiant a récemment été confrontée à un certain nombre d’incidents de sécurité liés aux compromis des appliances VPN Pulse Secure. Les attaquants impliqués ont utilisé des techniques de contournement d’authentification pour contourner les paramètres de sécurité VPN. Les groupes de menaces semblent avoir installé APT via des coquilles Web pour surveiller les systèmes malgré la fonctionnalité VPN.

Ces web shells ont résisté à de multiples mises à niveau. Jusqu’à présent, Pulse Secure a vérifié que cette attaque reposait sur une série de vulnérabilités antérieures et une vulnérabilité récemment découverte en avril 2021 (CVE-2021-22893) pour mener à bien l’infection initiale. Depuis le début de ces attaques, la société mère de Pulse Secure, Ivanti, a fourni des correctifs pour une vulnérabilité exploitée à l’aide de ce malware. En outre, la société lancera l’outil Pulse Connect Secure Integrity afin que les clients puissent évaluer si leurs systèmes ont été affectés.

Pour l’instant, Pulse Secure et Mandiant collaborent avec diligence pour résoudre ce problème pour les clients, les partenaires gouvernementaux et d’autres experts en criminalistique. Jusqu’à présent, l’enquête ne montre aucune preuve suggérant qu’un quelconque compromis dans le déploiement du logiciel ou les processus de la chaîne d’approvisionnement ait introduit ces portes dérobées détectées.

Actuellement, des initiatives d’analyse de code en cours évaluent les 12 familles de logiciels malveillants apparemment uniques associées à ces attaques. Du côté gouvernemental, Mandiant s’est associé à Ivanti et Pulse Secure pour surveiller les réseaux d’agences pour les activités de porte dérobée.

Dans l’ensemble, les équipes de recherche ont qualifié le code cheval de Troie malveillant pertinent qui contourne l’authentification multifacteur de SLOWPULSE. Au niveau des web shells, les équipes ont inventé les noms de code RADIALPULSE et PULSECHECK.

De toute évidence, les groupes de menaces utilisent des binaires et des scripts Pulse Secure modifiés, mais légitimes, pour falsifier l’appliance VPN. En effet, des attaques liées à cette vulnérabilité ont été découvertes depuis 2019 et 2020.

Les chercheurs ont identifié les étapes suivantes dans le processus de l’attaquant: SLOWPULSE utilise des objets partagés cheval de Troie avec un code malveillant pour consigner les informations d’identification et contourner les contrôles d’authentification, insérer des interfaces Web malveillantes dans des pages Web d’administration de l’appliance Pulse Secure VPN légitimes et accessibles sur Internet pour les appareils cibles, basculer le système de fichiers entre les modes lecture seule et lecture-écriture afin de permettre la modification des fichiers, maintenir la persistance malgré les mises à niveau de l’administrateur vers les mises à niveau de l’appliance VPN, décompresser les fichiers modifiés et supprimer les scripts et les utilitaires après utilisation afin d’éviter la détection, et utiliser un outil appelé THINBLOOD pour supprimer tous les fichiers journaux pertinents en fonction d’une expression régulière définie par l’acteur de la menace.

Le correctif final pour cette vulnérabilité entrera en vigueur au début du mois de mai 2021.


Le FBI lance un effort pour atténuer l’utilisation par les attaquants des vulnérabilités de Microsoft Exchange


Plus d’information:
Perez, D. et coll. « Vérifiez votre pouls: les acteurs APT suspects tirent parti des techniques de contournement d’authentification et de Pulse Secure Zero-Day. » FireEye, FireEye, Inc., 20 avril 2021, www.fireeye.com/blog/threat-re… secure-zero-day.html.

© Réseau Science X 2021

Citation: Les acteurs de l’APT exploitent les techniques de contournement d’authentification et Pulse Secure Zero-Day (3 mai 2021) récupéré le 3 mai 2021 sur https://techxplore.com/news/2021-05-apt-actors-exploit-authentication-bypass.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.