Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vulnérabilité zero-day dans le VPN SSL Pulse Connect Secure (PCS) - commentaire Tenable

avril 2021 par Scott Caveza, Research Engineering Manager chez Tenable

Mardi 20 avril, Pulse Secure a publié une alerte de sécurité relative à une vulnérabilité zero-day dans le VPN SSL Pulse Connect Secure (PCS).

Scott Caveza, Research Engineering Manager chez Tenable, propose l’analyse suivante :

« CVE-2021-22893 est une vulnérabilité zero-day critique de contournement du processus d’authentification qui donne aux cybercriminels un point d’entrée dans les appliances VPN SSL Pulse Connect Secure (PCS). Il semble qu’en plus de CVE-2021-22893, les attaquants exploitent également trois vulnérabilités précédemment connues et corrigées dans PCS en 2019 et 2020 : CVE-2019-11510, CVE-2020-8243 et CVE-2020-8260.

CVE-2019-11510, exploitée dans la nature depuis que les détails de cette vulnérabilité ont été rendus publics en août 2019, était l’une des 5 principales vulnérabilités mises en avant dans le rapport 2020 "Threat Landscape Retrospective" (TLR) de Tenable, en raison de son exploitation à la fois simple et généralisée.

S’agissant d’une vulnérabilité zero-day, et parce que le calendrier de publication d’un correctif n’est pas encore connu, la CVE-2021-22893 constitue un outil précieux pour les attaquants. Ces derniers cherchent en effet à accéder aux ressources clés utilisées par de nombreuses organisations, en particulier à la suite du basculement général des employés en télétravail l’année dernière.

Les attaquants peuvent utiliser cette faille pour compromettre davantage le dispositif PCS, implanter des backdoors et compromettre les habilitations. Bien que Pulse Secure ait noté une utilisation limitée de la vulnérabilité zero-day dans le cadre d’attaques ciblées, ce n’est qu’une question de temps avant qu’une preuve de concept (PoC) ne devienne accessible au public. Ce qui, selon nous, conduira à une exploitation généralisée, comme nous l’avons observé avec CVE- 2019-11510. »




Voir les articles précédents

    

Voir les articles suivants