# CVE-2020-8243 - Pulse Connect Secure: Execução de Código via Upload Arbitrário > [!medium] CVE-2020-8243 é uma vulnerabilidade de execução de código via upload arbitrário de arquivo no Pulse Connect Secure VPN — explorada por APTs como vetor de persistência em servidores VPN corporativos, frequentemente combinada com outros CVEs Pulse Secure para comprometimento completo. ## Visão Geral CVE-2020-8243 é uma vulnerabilidade de **upload arbitrário de arquivo** no painel administrativo do **Pulse Connect Secure**. Um atacante com acesso de administrador ao painel pode fazer upload de arquivos arbitrários que são então executados no servidor, resultando em comprometimento completo do servidor VPN. Esta CVE é parte de um cluster de vulnerabilidades críticas no Pulse Secure descobertas entre 2019 e 2021, frequentemente encadeadas por grupos APT em campanhas de espionagem industrial e governamental. O Pulse Secure VPN, por ser ponto de entrada de redes corporativas, é alvo de alto valor — seu comprometimento permite intercepção de credenciais, tráfego e acesso direto à rede interna. O grupo **APT5** (SODIUM) documentou uso de múltiplas CVEs Pulse Secure, incluindo esta, em campanhas de espionagem contra organizações de telecomúnicações, defesa e governo documentadas pela NSA e CISA em 2021. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Arbitrary file upload + code execution | | Requisito | Acesso administrativo ao painel | | Produto | Pulse Connect Secure VPN | | Relacionadas | CVE-2020-8260, CVE-2019-11510 | | Impacto | Persistência e controle do servidor VPN | ## TTPs Relacionadas - [[t1133-external-remote-services|T1133]] - Comprometimento de infraestrutura VPN - [[t1505-003-web-shell|T1505.003]] - Upload de web shell no servidor VPN - [[t1040-network-sniffing|T1040]] - Sniffing de credenciais VPN - [[m1026-privileged-account-management|M1026]] - Controlar acesso de administração VPN ## Contexto LATAM > [!latam] Servidores VPN Pulse Secure comprometidos foram identificados em organizações de telecomúnicações e energia em países como Brasil, Chile e Argentina. A cadeia de exploit Pulse Secure (CVE-2019-11510 + CVE-2020-8243/8260) foi usada em operações de espionagem contra infraestrutura crítica regional. ## Detecção e Defesa **Mitigações recomendadas:** - Atualizar Pulse Connect Secure para 9.1R8+ - Usar a ferramenta oficial Pulse Secure Integrity Checker para detectar arquivos não autorizados - Revogar e renovar certificados SSL do servidor VPN - Habilitar autenticação multifator para acesso ao painel administrativo ## Referências - [Pulse Secure Security Advisory SA44588](https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44588/) - [CISA — Continued Exploitation of Pulse Connect Secure](https://www.cisa.gov/news-events/alerts/2021/04/20/nsa-and-cisa-recommend-immediate-action-reduce-exposure-across-operational) - [NVD CVE-2020-8243](https://nvd.nist.gov/vuln/detail/CVE-2020-8243)