使用Pulse Secure的移动VPN的组织应该修补据报道在野外被利用的漏洞,可能是由一个“中国间谍演员”。
补丁,可以在这里网络安全和基础设施安全局(CISA)给联邦机构4月23日的最后期限来申请。
CISA的指导方针指出,使用Pulse Connect Secure vpn的联邦用户必须使用该公司的免费工具来确定他们的设备是否容易受到攻击。
如果发现该漏洞,受影响的政府Pulse Secure软件和设备必须立即与网络隔离,并必须做出完整的报告。除了漏洞检测工具,Pulse Secure还发布了一个替换的XML配置文件,以防止漏洞在受影响的设备上运行。
FireEye网络安全子公司Mandiant在一份声明中写道:“组织应该检查可用的法医证据,以确定攻击者是否泄露了用户证书。一篇博客文章.“(Pulse Secure母公司)Ivanti强烈建议重置环境中的所有密码,并检查配置,以确保没有服务账户可以用来验证该漏洞。”
Pulse Secure推荐使用其在线服务脉冲连接安全完整性保证工具以确定脉冲连接安全软件是否已被破坏。
据Mandiant称,已知的漏洞会迫使SSL VPN认证系统显示证书,并在检查这些证书时欺骗它生成“成功登录”的结果。已经使用了几种利用技术,但结果都是相同的——有漏洞的VPN设备和远程执行的攻击代码。
据介绍,这些漏洞在一定程度上是基于过去两年修补过的三个已知问题Pulse Secure自己的博客发布这件事。一个较新的漏洞可以让攻击者绕过Pulse Secure Connect网关上的双因素认证,并执行远程代码。显然,多个组织利用该漏洞攻击美国国防和工业网络。
曼迪昂特说,攻击Pulse Secure vpn的恶意软件有12个家族,可能有多个行动者在野外利用该漏洞,其中至少有一个似乎与中国政府有关。
在博文中,APT5组织被描述为“中国间谍演员”,几年来一直攻击美国航空航天和国防公司,并攻击网络和软件公司,以达到这一目的。