研究人員表示，有國家背景的黑客正在積極利用Pulse Secure 虛擬專用網的關鍵漏洞，以繞過2FA(雙因素認證)保護，從而隱秘地進入屬于美國國防工業和其他一系列組織的網絡。

安全公司Mandiant在4月20日發布的報告中表示，被利用的漏洞中至少有一個是0day漏洞。這意味著當黑客開始積極利用它時，Pulse Secure的開發者和大多數研究人員難以察覺。

除了CVE-2021-22893這個被發現的0day之外，多個黑客組織也在利用2019年和2020年已被修復的幾個Pulse Secure漏洞。

[[395275]]

被圍困的局面

研究人員表示，Mandiant目前發現了12個惡意軟件團伙正在利用Pulse Secure 虛擬專用網的漏洞。這些團伙都規避了認證并從后門訪問了設備。但是團伙之間的關聯性不大，并且他們都是在不同的調查中被發現的。因此，研究人員認為應該是多個黑客各自利用漏洞來進行攻擊。

無論是單獨利用還是團伙作案，這些漏洞都可以使攻擊者繞過保護虛擬專用網設備的單因素和雙因素認證，使黑客能夠安裝惡意軟件。這些惡意軟件即便用戶升級虛擬專用網也依然存在，并通過webshell保持訪問。

此外，在Mandiant發布的報告中還提到了，在過去的6個月中，多起入侵事件襲擊了世界各地的國防、政府和金融組織。另外，美國網絡安全和基礎設施安全局表示，被襲擊的目標還包括美國政府機構、關鍵基礎設施實體和其他私營部門組織。

Mandiant提供了以下圖表，顯示各種認證繞過和日志訪問的流程。

Mandiant表示，依靠"有限的證據"發現了一個被稱為UNC2630的團隊，是已知的兩個積極利用這些漏洞的黑客團體之一。

另一個是一個新團體，Mandiant稱之為UNC2717。今年3月，該組織使用Mandiant命名為RADIALPULSE、PULSEJUMP和HARDPULSE的惡意軟件攻擊歐洲一家機構的Pulse Secure系統。

由于目前缺乏背景和取證證據，Mandiant不能將本報告中描述的所有代碼家族與UNC2630或UNC2717聯系起來。一位內他們還注意到，有可能是一個或多個相關團體負責開發和傳播這些不同的工具，并在松散的APT行為者之間傳播。除了UNC2630和UNC2717之外，可能還有其他團體采用了這些工具中的一種或多種。

持續兩年的不安全因素

在過去的兩年里，Pulse Secure的母公司Ivanti發布了一系列Pulse Secure漏洞的補丁，這些漏洞不僅允許遠程攻擊者在沒有用戶名或密碼的情況下獲得訪問權限，而且還可以關閉多因素認證，并查看虛擬專用網服務器以純文本緩存的日志、用戶名和密碼。

之前針對外幣兌換和旅行保險公司Travelex的勒索軟件攻擊很可能就是因為這些漏洞，因為這家公司忽略了安裝補丁。

Mandiant的報告中還有一個令人擔心的事實，那就是報告中顯示高度敏感地區的組織仍然沒有安裝補丁。并且，Pulse Secure的一個0day已經被披露，受到了積極利用。

Pulse Secure在4月20日發布了一份公告，指示用戶如何緩解目前未修補的安全漏洞。Mandiant的報告中也包含了大量的技術指標，企業可以利用這些指標來確定他們的網絡是否已經成為漏洞的目標。

目前，任何在其網絡中使用Pulse Secure的組織都應該優先閱讀并遵循Mandiant和Pulse Secure的建議以避免被黑客入侵造成損失。