美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)、資安業者FireEye及VPN設備製造商Pulse Secure於4月20日揭露數起利用Pulse Secure VPN裝置漏洞,鎖定美國國防產業與全球政府機關之攻擊行動。
Pulse Secure近期發現部分客戶部署之Pulse Connect Secure VPN裝置遭駭客利用,因此聯合CISA、FireEye及其他資安專家共同展開調查,發現駭客利用4個Pulse Connect Secure漏洞進行攻擊行為,其中3個漏洞分別為CVE-2019-11510、CVE-2020-8243及CVE-2020-8260,皆已釋出修補程式,另1個則為零時差漏洞,漏洞編號CVE-2021-22893,目前僅提供暫時補救辦法並釋出檢查工具,提供客戶檢視是否受到危害,預計於5月初提供修補程式。
FireEye則發現多個駭客組織利用Pulse Connect Secure漏洞,開發與建立至少12個惡意程式家族,可用於繞過認證機制或建立後門。惟FireEye僅揭露2個駭客組織UNC2630與UNC2717之攻擊行動,並推測UNC2630與中國駭客組織APT5相關,其攻擊目標為美國國防工業基地(Defense Industrial Base, DIB),另表示去年10月至今年3月間UNC2717鎖定全球政府組織發起攻擊行動,目前尚無法判斷其來源。
對此,CISA發布緊急指令(Emergency Directive),要求所有聯邦機構應立即修補Pulse Connect Secure漏洞。
資料來源:
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
https://cyber.dhs.gov/ed/21-03/