Les entreprises doivent corriger sans attendre les clients VPN de Pulse Secure
Des cyberpirates, dont certains seraient liés à la Chine, auraient exploité des vulnérabilités dans le logiciel VPN Pulse Connect Secure pour s'introduire dans les réseaux d'entreprise.
Les entreprises doivent corriger sans délai les vulnérabilités affectant le client VPN de Pulse Secure. Ces vulnérabilités sont actuellement exploitées, probablement par un « groupe d'espions soutenus par la Chine ». Le correctif - disponible ici - est considéré comme suffisamment important pour que la Cybersecurity and Infrastructure Security Agency (CISA) ait demandé aux agences fédérales de l'appliquer avant la date du 23 avril. Les directives de la CISA précisent que les agents fédéraux, utilisateurs des VPN Pulse Connect Secure, doivent vérifier si leurs appareils sont vulnérables avec l'utilitaire gratuit de l'éditeur. Si la vulnérabilité est découverte dans les logiciels Pulse Secure, les agents du gouvernement doivent immédiatement les isoler du réseau et rédiger un rapport complet.
Mis à part cet outil de détection de la vulnérabilité, Pulse Secure a livré, en guise de solution de contournement, un fichier de configuration XML de remplacement qui empêche les exploits de fonctionner quand ils sont installés sur les appareils concernés. « Les entreprises devraient examiner les preuves médico-légales disponibles pour déterminer si un attaquant a compromis les identifiants de leurs utilisateurs », a écrit Mandiant, la division de Services managés de détection et de réponse aux incidents du fournisseur américain de solutions de cybersécurité FireEye, dans un billet de blog. « Ivanti, société mère de Pulse Secure, recommande vivement de réinitialiser tous les mots de passe dans l'environnement et de revoir la configuration pour s'assurer qu'aucun compte de service ne peut être utilisé pour s'authentifier dans le processus d'exploitation de la vulnérabilité ».
Une troisième faille encore inconnue
Pulse Secure recommande d'utiliser son outil en ligne Pulse Connect Secure Integrity Assurance pour déterminer si le logiciel Pulse Connect Secure a été compromis. Selon Mandiant, les exploits connus forcent le système d'authentification VPN SSL à révéler des identifiants et à valider la connexion au moment de leur vérification. Plusieurs techniques d'exploitation ont été utilisées, mais les conséquences sont identiques : elles permettent aux pirates de compromettre les appareils VPN et d'exécuter du code d'attaque à distance.
Dans un message posté dans un blog sur le sujet, Pulse Secure explique que ces vulnérabilités résultent en partie de trois problèmes connus et corrigés au cours des deux dernières années. Mais une faille plus récente, et inconnue jusqu'ici, peut permettre à un attaquant de contourner l'authentification à deux facteurs sur la passerelle Pulse Secure Connect et d'exécuter du code à distance. Il semble que plusieurs groupes ont exploité cette vulnérabilité pour cibler des réseaux industriels d'entreprises américaines du secteur de la défense. Selon Mandiant, douze familles distinctes de malwares sont impliquées dans l'exploitation des vulnérabilités des appareils VPN de Pulse Secure, et plusieurs acteurs exploiteraient actuellement ces vulnérabilités, dont un au moins semble lié au gouvernement chinois. Le groupe baptisé APT5 par les chercheurs, et désigné comme un « acteur de l'espionnage chinois » dans le message de blog, cible depuis plusieurs années et de manière constante des entreprises américaines de l'aérospatiale et de la défense, et il a attaqué des fournisseurs d'équipements de réseaux et de logiciels afin d'atteindre cet objectif.