# CVE-2020-8260 - Pulse Connect Secure: RCE Pós-Autenticação no Painel Admin > [!medium] CVE-2020-8260 é uma vulnerabilidade RCE pós-autenticação no Pulse Connect Secure (VPN) — um atacante com acesso ao painel administrativo pode executar código no servidor VPN, crítico por ser infraestrutura de acesso remoto corporativo amplamente explorada por APTs chineses. ## Visão Geral CVE-2020-8260 é uma vulnerabilidade de **execução remota de código** no **Pulse Connect Secure**, uma solução VPN SSL amplamente utilizada em ambientes corporativos. A falha reside no painel administrativo: um administrador autenticado pode fazer upload de templates Velocity maliciosos que são executados no servidor VPN. Embora requeira autenticação administrativa, esta CVE é frequentemente encadeada com outras vulnerabilidades do Pulse Secure (como CVE-2019-11510 — bypass de autenticação) ou com credenciais roubadas de campanhas anteriores. A combinação permite comprometimento completo do servidor VPN, dando ao atacante visibilidade sobre todo o tráfego VPN e acesso à rede interna corporativa. O grupo **APT5** (nexo chinês, também rastreado como Manganese/SODIUM) foi documentado explorando múltiplas vulnerabilidades Pulse Secure em 2021, incluindo esta, em campanhas de espionagem contra infraestrutura de telecomúnicações e defesa. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Template injection com RCE (Velocity) | | Requisito | Acesso ao painel administrativo | | Produto | Pulse Connect Secure VPN | | Impacto | Comprometimento do servidor VPN | | CVE relacionada | CVE-2019-11510 (bypass auth) | ## TTPs Relacionadas - [[t1133-external-remote-services|T1133]] - Comprometimento de servidor VPN - [[t1040-network-sniffing|T1040]] - Interceptação de tráfego VPN - [[t1552-unsecured-credentials|T1552]] - Extração de credenciais VPN - [[m1042-disable-or-remove-feature-or-program|M1042]] - Restringir acesso ao painel admin ## Contexto LATAM > [!latam] Pulse Secure é utilizado em empresas de telecomúnicações, mineradoras e organizações governamentais na América Latina. Comprometimentos de servidores VPN Pulse Secure foram documentados em múltiplos países da região, com foco em organizações de infraestrutura crítica que usam acesso remoto extensivamente. ## Detecção e Defesa **Mitigações recomendadas:** - Atualizar Pulse Connect Secure para 9.1R10+ - Restringir acesso ao painel admin por IP de gerenciamento - Revisar logs de acesso admin por atividade anômala - Usar a ferramenta Integrity Checker da Pulse Secure para detectar comprometimentos ## Referências - [Pulse Secure Security Advisory SA44787](https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44787/) - [NSA/CISA Advisory — Pulse Secure Vulnerabilities](https://www.cisa.gov/news-events/alerts/2021/04/20/nsa-and-cisa-recommend-immediate-action-reduce-exposure-across-operational) - [NVD CVE-2020-8260](https://nvd.nist.gov/vuln/detail/CVE-2020-8260)