CISA rilascia le analisi sui malware che sfruttano le vulnerabilità di Pulse Connect VPN.
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
Redhotcyber Banner Sito 970x120px Uscita 101125
Banner Ransomfeed 320x100 1
CISA rilascia le analisi sui malware che sfruttano le vulnerabilità di Pulse Connect VPN.

CISA rilascia le analisi sui malware che sfruttano le vulnerabilità di Pulse Connect VPN.

Redazione RHC : 31 Agosto 2021 06:36

Nell’ambito della continua risposta di CISA alle compromissioni di Pulse Secure, CISA ha analizzato cinque campioni di malware relativi ai dispositivi Pulse Secure sfruttati. CISA incoraggia gli utenti e gli amministratori a rivedere i seguenti cinque rapporti di analisi del malware (MAR) per le tattiche, le tecniche e le procedure (TTP) degli attori delle minacce e gli indicatori di compromissione (IOC) e a rivedere l’avviso CISA, lo sfruttamento delle vulnerabilità sicure di Pulse Connect , per ulteriori informazioni informazione.

Gli aggressori prendono di mira i dispositivi Pulse Connect Secure VPN sfruttando varie vulnerabilità, tra le quali le CVE-2021-22893 e CVE-2021-22937 .

Due campioni di malware, secondo CISA, sono file Pulse Secure modificati ricevuti da dispositivi infetti. I file funzionano come raccoglitori di credenziali.

  1. Il primo file funge anche da backdoor, fornendo agli aggressori l’accesso remoto a un dispositivo compromesso.
  2. Il secondo contiene invece uno script di shell dannoso in grado di registrare nomi utente e password.

  1. Il terzo esempio includeva diversi file, incluso uno script di shell che modifica il file Pulse Secure per farlo diventare una shell web.
  2. Il quarto file è stato progettato per intercettare l’autenticazione a più fattori basata su certificati e analizzare i dati dalle richieste Web in arrivo.
  3. Il quinto esempio consisteva in due script Perl per eseguire i comandi dell’aggressore, una libreria Perl, uno script Perl e uno script di shell per la gestione e l’esecuzione del file ‘/bin/umount’.

Cinque rapporti CISA Malware Analysis (MAR) forniscono informazioni dettagliate su tattiche, tecniche e procedure (TTP) utilizzate dagli aggressori, nonché indicatori di compromissione.

Fonte

https://us-cert.cisa.gov/ncas/current-activity/2021/08/24/cisa-releases-five-pulse-secure-related-mars

https://us-cert.cisa.gov/ncas/alerts/aa21-110a

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
L’interruzione di Cloudflare del 5 dicembre 2025 dovuta alle patch su React Server. L’analisi tecnica
Di Redazione RHC - 07/12/2025

Cloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...

Immagine del sito
GlobalProtect di Palo Alto Networks è sotto scansioni Attive. Abilitate la MFA!
Di Redazione RHC - 07/12/2025

Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali V...

Immagine del sito
Rilasciata FreeBSD 15.0: ecco le novità e i miglioramenti della nuova versione
Di Redazione RHC - 06/12/2025

Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...

Immagine del sito
React2Shell: due ore tra la pubblicazione dell’exploit e lo sfruttamento attivo
Di Redazione RHC - 06/12/2025

Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...

Immagine del sito
Cloudflare dichiara guerra a Google e alle AI. 416 miliardi di richieste di bot bloccate
Di Redazione RHC - 05/12/2025

Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...