Pulse Connect Secure – Vulnerabilità ed Exploit pubblico. Disponibile la patch ufficiale

22/08/2019

exploit pulse VPN Vulnerabilità

Nella giornata di ieri è stato rilasciato un Proof of Concept come modulo Metasploit che permette di sfruttare la vulnerabilità CVE-2019-11510 sul popolare software di rete privata virtuale, Pulse Connect Secure (PCS), noto pure in passato come Juniper SSL Virtual Private Network (VPN). La vulnerabilità potrebbe consentire ad un utente malintenzionato remoto non autenticato di leggere il contenuto dei file presenti sul dispositivo remoto, comprese eventuali informazioni sensibili e configurazioni. La scoperta del bug è da attribuire al team di ricerca DEVCORE che ha condiviso i dettagli sull’argomento in occasione del BlackHat e DEFCON all’inizio di questo mese. 

Cosa comporta l’exploit 

Per sfruttare il problema, un utente malintenzionato può inviare una richiesta HTTP malevola contenente sequenze di directory path traversal insieme a un URI appositamente predisposto e accedere a qualsiasi file sul dispositivo. Ciò fornisce all’aggressore l’accesso a informazioni sensibili sul dispositivo e, come descritto dai ricercatori nel loro rapporto iniziale del problema, questo attacco potrebbe essere concatenato ad altre vulnerabilità scoperte in precedenza. 

Quando un utente accede all’interfaccia di amministrazione della VPN, la sua password di testo viene archiviata in /data/runtime/mtmp/lmdb/dataa/data.mdb. Utilizzando il metodo descritto nell’exploit, l’attaccante potrebbe ottenere il file, estrarre la password dell’utente e accedere al dispositivo. Una volta effettuato l’accesso, l’utente malintenzionato può sfruttare il CVE-2019-11539, una vulnerabilità di injection di comandi nell’interfaccia Web amministrativa. In alternativa, con le credenziali sottratte, l’utente malintenzionato potrebbe sfruttare il CVE-2019-11508, una vulnerabilità in Network File Share (NFS), che consente ad un utente autenticato di caricare un file dannoso e scrivere file arbitrari sull’host. 

Questa ricerca dimostra come un utente malintenzionato può trarre vantaggio da un difetto di pre-autenticazione e ottenere l’esecuzione dei comandi concatenando più vulnerabilità per compromettere un dispositivo vulnerabile. La cosa più preoccupante per questi exploit concatenati è che PCS viene utilizzato per limitare l’accesso esterno ad un ambiente e, eseguendo l’esecuzione dei comandi sul dispositivo, un utente malintenzionato potrebbe utilizzare questo accesso per armare il dispositivo e utilizzarlo per ulteriori scopi dannosi. 

Oltre alla preoccupazione per il potenziale di sfruttamento di questi difetti, una ricerca di Shodan elenca più di 42.000 dispositivi vulnerabili, di cui 546 italiani.

 

Il CERT-PA consiglia di applicare le patch di sicurezza come indicato nel bollettino ufficiale di Pulse Secure.