HACKING

CISA: Προειδοποιεί για malware σε hacked Pulse Secure συσκευές

This post was originally published on this site

Η CISA κυκλοφόρησε μια ειδοποίηση για διάφορα δείγματα malware που βρέθηκαν σε συσκευές Pulse Secure, και που σε μεγάλο βαθμό δεν εντοπίστηκαν από προϊόντα προστασίας από ιούς.

Pulse Secure malware

Από τον Ιούνιο του 2020, Pulse Secure συσκευές σε κυβερνητικές υπηρεσίες των Η.Π.Α., κρίσιμες υποδομές και διάφορους οργανισμούς του ιδιωτικού τομέα αποτελούν στόχο κυβερνοεπιθέσεων.

Δείτε επίσης: Η Verizon και η μεγαλύτερη εταιρεία ύδρευσης των ΗΠΑ επηρεάστηκαν από το Ρulse Secure hack

Οι επιτιθέμενοι αξιοποίησαν πολλαπλές ευπάθειες (CVE-2019-11510, CVE-2020-8260, CVE-2020-8243, CVE-2021-2289) για την αρχική είσοδο και τοποθέτησαν webshells για backdoor access.

Χθες, η CISA δημοσίευσε αναφορές για 13 δείγματα κακόβουλου λογισμικού, τα οποία βρέθηκαν σε παραβιασμένες συσκευές Pulse Secure. Οι διαχειριστές ενθαρρύνονται να εξετάσουν τις αναφορές για το εντοπισμό δεικτών παραβίασης και για να μάθουν τις τακτικές, τις τεχνικές και τις διαδικασίες των επιτιθέμενων.

Όλα τα κακόβουλα αρχεία που ανέλυσε η CISA βρέθηκαν σε παραβιασμένες συσκευές Pulse Connect Secure και μερικά από αυτά ήταν τροποποιημένες εκδόσεις νόμιμων Pulse Secure scripts.

Στις περισσότερες περιπτώσεις, τα κακόβουλα αρχεία ήταν webshells για ενεργοποίηση και εκτέλεση εντολών.

Μιλώντας για ένα συγκεκριμένο δείγμα malware, η CISA αναφέρει ότι είναι μια “τροποποιημένη έκδοση ενός Pulse Secure Perl Module” (DSUpgrade.pm), το οποίο οι εισβολείς μετέτρεψαν σε ένα webshell (ATRIUM) για εκτέλεση εντολών απομακρυσμένα.

Η λίστα των νόμιμων αρχείων Pulse Secure τροποποιήθηκαν από τους hackers, περιλαμβάνει τα:

  • licenseserverproto.cgi (STEADYPULSE)
  • tnchcupdate.cgi
  • healthcheck.cgi
  • compcheckjs.cgi
  • DSUpgrade.pm.current
  • DSUpgrade.pm.rollback
  • clear_log.sh (THINBLOOD LogWiper Utility Variant)
  • compcheckjava.cgi (hardpulse)
  • meeting_testjs.cgi (SLIGHTPULSE)

Ορισμένα από τα παραπάνω αρχεία τροποποιήθηκαν για κακόβουλους σκοπούς σε φετινές επιθέσεις, που διερευνήθηκαν από την εταιρεία Mandiant. Σε μια έκθεση τον Απρίλιο, οι ερευνητές ανέφεραν ότι Κινέζοι hackers είχαν εκμεταλλευτεί την ευπάθεια CVE-2021-22893.

Δείτε επίσης: Τέσσερα νέα εργαλεία malware επηρεάζουν συσκευές Pulse Secure VPN

Σύμφωνα με την έκθεση της Mandiant, οι επιτιθέμενοι αξιοποίησαν την ευπάθεια και μετέτρεψαν τα νόμιμα αρχεία στα webhells STEADYPULSE, HARDPULSE και SLIGHTPULSE.

Σε μια άλλη περίπτωση, οι επιτιθέμενοι τροποποίησαν ένα Pulse Secure system file για να κλέψουν credentials.

Τα περισσότερα από τα αρχεία που βρήκε η CISA σε παραβιασμένες συσκευές Pulse Secure δεν εντοπίστηκαν από λύσεις προστασίας από ιούς. Μόνο ένα από αυτά εντοπίστηκε.

Δείτε επίσης: Κινέζοι χάκερς εκμεταλλεύτηκαν Pulse Secure VPN zero-day για να παραβιάσουν εργολάβους άμυνας των ΗΠΑ

CISACISA
CISA: Προειδοποιεί για malware σε hacked Pulse Secure συσκευές

Η CISA συνιστά στους διαχειριστές να ενισχύσουν την ασφάλειά τους ακολουθώντας τις παρακάτω πρακτικές:

  • Ενημέρωση antivirus signatures.
  • Ενημέρωση λειτουργικού συστήματος.
  • Απενεργοποίηση File and Printer sharing υπηρεσιών. Εάν απαιτούνται αυτές οι υπηρεσίες, χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης ή Active Directory authentication.
  • Επιβολή περιορισμών στους χρήστες, ώστε να μην μπορούν να εγκαθιστούν και να εκτελούν ανεπιθύμητες software εφαρμογές.
  • Χρήση ισχυρών κωδικών πρόσβασης.
  • Προσοχή κατά το άνοιγμα emails και συνημμένων.
  • Ενεργοποίηση firewall.
  • Απενεργοποίηση περιττών υπηρεσιών σε workstations και servers.
  • Σάρωση και κατάργηση ύποπτων συνημμένων σε emails.
  • Παρακολούθηση των browsing δραστηριοτήτων των χρηστών. Περιορισμός της πρόσβασης σε sites με επικίνδυνο περιεχόμενο.
  • Προσοχή κατά τη χρήση removable media (π.χ. USB thumb drive, εξωτερικές μονάδες δίσκου, CD κ.λπ.).
  • Σάρωση των λογισμικών που κατεβάζετε από το Internet, πριν την εκτέλεσή τους.
  • Ενημέρωση σχετικά με τις νέες απειλές στον κυβερνοχώρο.

Πηγή: Bleeping Computer

The post CISA: Προειδοποιεί για malware σε hacked Pulse Secure συσκευές appeared first on SecNews.gr.

Home

%d bloggers like this: