Kínai(???) APT csoport használja ki aktívan a Pulse VPN sérülékenységét
A PulseSecure blog szerint biztonsági csoportjuk néhány ügyfélnél arra utaló nyomokat talált, mely szerint a Pulse Connect Secure eszközben lévő 0-day sérülékenységet rosszindulatú támadók használták ki. Az elemzések során megállapítást nyert, hogy három korábbi és egy újonnan felfedezett, 10-es CVSS ponttal rendelkező, távoli kódfuttatást lehetővé tevő sérülékenység kihasználásával törték fel az eszközöket.
Az események pontos megértése érdekében több szakértőt is bevontak a vizsgálatba, többek közt az amerikai CISA ügynökséget és a FireEye cég Mandiant szakértő részlegét is.
Charles Carmakal, a Mandiant szakértője szerint egy tucat áldozatot sikerült azonosítani, köztük állami ügynökségeket, pénzügyi és védelmi szereplőket az Egyesült Államokban és külföldön. A támadás kínai eredetére abból következtetnek, hogy ilyen jellegű adat- és információszerző törekvése jellemzően Kínának van (tehát technikai adat alapján ilyen következtetést nem lehet levonni). A cég külön kiemeli, hogy ellátási lánc támadásra nem utal semmi nyom.
A támadó APT csoportot a Mandiant UNC2360-nak nevezte el, és elárulták, hogy a csoport jelentős ismeretekkel rendelkezik az érintett termék kapcsán, egy új malware-t is kifejlesztetek, mely segítségével tervezték biztosítani a tartós jelenlétet. A támadók elsődleges céljaként a tartós jelenlét megteremtését, a hálózatokhoz való hozzáférést, felhasználói hozzáférésék megszerzését és szellemi tulajdon ellopását jelölték meg.
A gyártó javaslata szerint az ügyfelek mindenképp frissítsék a termékeiket, telepítsék a korábbi frissítéseket és a biztonsági ajánlásokat is alkalmazzák, többek között a hozzáférési jelszavakat is változtassák meg.
Érdekesség, hogy az újonnan felfedezett sérülékenységre a gyártó egyelőre csak elkerülő megoldással tud jelenleg szolgálni, a hiba javítása májusra várható.
(Mandiant)
Pingback: Ellátási lánc támadás elleni tanácsok – Yet Another News Aggregator Channel