Resumen Ejecutivo
El dispositivo Pulse Connect Secure sufre una vulnerabilidad de extracción de archivos no controlada que permite a un atacante sobrescribir archivos arbitrarios, lo que da como resultado la ejecución remota de código como root.
Esta vulnerabilidad es un bypass del parche para CVE-2020-8260.
Impacto
La explotación exitosa de este problema da como resultado la ejecución remota de código en el sistema operativo subyacente con privilegios de root. Un atacante con dicho acceso podrá eludir cualquier restricción impuesta a través de la aplicación web, así como volver a montar el sistema de archivos, lo que le permitirá crear una puerta trasera persistente, extraer y descifrar credenciales, comprometer clientes VPN o pivotar en la red interna.
Detalles técnicos
El dispositivo Pulse Connect Secure sufre una vulnerabilidad de extracción de archivos no controlada que permite a un atacante escribir archivos ejecutables dentro del directorio /home/runtime/tmp/tt/, lo que da como resultado la ejecución remota de código. La administración de PCS permite a los usuarios importar configuraciones archivadas. Estas configuraciones se comprimen mediante GZIP y se cifran mediante una clave codificada, lo que permite al atacante cifrar y descifrar sus propios archivos comprimidos. Cuando estos archivos se importan a través de la GUI administrativa, la extracción se lleva a cabo de manera insegura, lo que conduce a una (sobre) escritura arbitraria de archivos.
Si bien este problema se solucionó agregando validación a los archivos extraídos, esta validación no se aplica a los archivos con el tipo «perfilador». Por lo tanto, simplemente modificando el exploit CVE-2020-8260 original para cambiar el tipo de archivo a «perfilador», el parche se puede omitir y se logra la ejecución del código.
Panorama en Latinoamérica
A nivel regional, más de 800 servidores se encuentran expuestos a Internet.
- Brasil: 325
- Mexico: 140
- Colombia: 101
- Chile: 82
- Argentina: 79
- Perú: 79
- Uruguay: 19
- Ecuador: 13
- Bolivia: 6
- Venezuela: 3
Casi el 50% de estos servidores permiten ver la versión de Pulse Secure Connect y de estos, más del 80% corresponden a versiones vulnerables que aún no han aplicado el parche liberado el 02 de Agosto de 2021 por el fabricante.
Otras vulnerabilidades relacionadas con Pulse Connect Secure son:
- CVE-2021-22933
- CVE-2021-22934
- CVE-2021-22935
- CVE-2021-22936
- CVE-2021-22938
Recomendacion de Seguridad
- Instalar el parche de seguridad liberado por el fabricante desde:
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44858. - Bloquear el tráfico que provenga desde la red TOR.
Referencias
Threat Researcher en CronUp Ciberseguridad
Líder Red Team & Cyber Threat Intelligence.
