Numéro : AL21-008 – MISE À JOUR 1
Date : 21 avril 2021
Mise à jour : 3 mai 2021
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés. Les destinataires de la présente information peuvent redistribuer celle-ci au sein de leurs organismes respectifs.
OBJET
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
VUE D’ENSEMBLE
Le 20 avril 2021, Pulse Secure a publié un bulletin de sécurité pour faire état d’une vulnérabilité critique d’exécution de code à distance liée à son produit Pulse Connect Secure (PCS). Un rapport de source ouverte indique que l’exploitation active de cette vulnérabilité et de vulnérabilités antérieures liées à Pulse Secure a été observée.
DÉTAILS
Le 20 avril 2021, Pulse Secure a publié un bulletin de sécurité pour faire état d’une vulnérabilité critique d’exécution de code à distance liée à son appliance RPV PCS, touchant la version 9.0R3 et les versions antérieures. Un auteur de menace non authentifié distant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur l’appareil touché. Selon l’analyse menée par Pulse Secure, cette vulnérabilité (CVE-2021-22893) est activement exploitée pour obtenir l’accès aux réseaux privés. Pour l’instant, une seule solution de contournement est disponible pour atténuer les répercussions de la vulnérabilité CVE-2021-22893. [1] Un dernier correctif pour cette vulnérabilité devrait être publié au début mai. En plus de la solution de contournement, Pulse Secure a récemment publié un outil de vérification d’intégrité PCS qui vérifie l’intégrité du système de fichiers de Pulse Connect Secure afin de détecter les fichiers additionnels ou les fichiers modifiés. [2]
MISE À JOUR : Le 3 mai 2021, Pulse Secure a publié un correctif pour la vulnérabilité CVE-2021-22893 [1]. De plus, le bulletin de sécurité a été mis à jour afin de faire état de vulnérabilités supplémentaires liées aux appareils PCS, dont les vulnérabilités suivantes : CVE-2021-22894, CVE-2021-22899 et CVE-2021-22900. Les deux premières vulnérabilités sont critiques. Ces vulnérabilités sont aussi corrigées par le correctif.
Pulse Secure a collaboré étroitement avec Mandiant pour corriger les récentes fuites liées aux appareils RPV Pulse Secure. Les détails concernant ces fuites se trouvent dans le blogue de Mandiant. [3] Le blogue fait mention qu’en plus de la vulnérabilité CVE-2021-22893, les auteurs de menace tirent aussi parti d’autres vulnérabilités de 2019 et de 2020 pour exploiter les appareils PCS non corrigés. Mandiant a offert une analyse technique et les indicateurs de compromission afin d’aider à la détection des outils utilisés par ces auteurs de menace. [3][4]
MESURES RECOMMANDÉES
Le Centre pour la cybersécurité recommande aux organisations qui utilisent les appareils PCS de :
- MISE À JOUR : appliquer les correctifs nécessaires;
- passer en revue les indicateurs de compromission publiés par Mandiant afin de détecter les signes de compromission; [4]
- vérifier l’intégrité du système de fichiers de PCS avec l’outil de vérification d’intégrité PCS.
Si une activité correspondant au contenu de cette alerte est détectée, les destinataires sont encouragés à contacter le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).
RÉFÉRENCES
[1] SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893) :
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/?kA23Z000000boUWSAY (en anglais seulement)
[2] KB44755 - Pulse Connect Secure (PCS) Integrity Assurance :
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755 (en anglais seulement)
[3] Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day :
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html (en anglais seulement)
[4] Github Pulse Secure Exploitation Countermeasures :
https://github.com/fireeye/pulsesecure_exploitation_countermeasures (en anglais seulement)
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences qui en découlent. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.