Através de uma falha de execução de código remota nos servidores do Pulse Secure, as empresas podiam ser atacadas, e por isso a CISA (Cybersecurity and Infrastructure Security Agency) pediu às organizações que mudassem as credenciais de Active Directory como margem de manobra para essa falha, mesmo que já a tivessem corrigido.
A esta falha de execução de código remota está atribuído o CVE-2019-11510, e portanto, podia ser usada para que um atacante conseguisse um movimento lateral e chegar à rede da organização caso as credenciais não fossem alteradas.
Causa da falha
No cerne da falha está essencialmente uma leitura arbitrária de ficheiro pré-autenticada que permitia a qualquer atacante não autenticado comprometer os servidores da VPN para ganhar acesso a todos os utilizadores ativos e as credenciais em pleno texto e executar dessa forma comandos arbitrários. Tal provém do facto de que um path traversal é permitido se um diretório tiver "dana/html5/acc" e dessa forma permite a um atacante enviar URL's especialmente modificados para ler ficheiros sensíveis.
Prevenção
- As empresas devem atualizar os clientes de VPN
- Fazer reset às credenciais
- Analisar pedidos de log não autenticados e tentativas de exploração
- Remover quaisquer programas de acesso remoto não aprovados
- Inspecionar tarefas agendadas à procura de scripts ou executáveis que possam permitir a um atacante conetar-se a um ambiente
Mais informações: https://www.bankinfosecurity.com/cisa-warns-patched-pulse-secure-vpns-still-vulnerable-a-14143