# CVE-2021-22893 > [!critical] RCE CVSS 10.0 no Pulse Connect Secure - Exploração por APT5 > CVE-2021-22893 é uma vulnerabilidade crítica de execução remota de código não autenticada no Pulse Connect Secure VPN. Com score CVSS máximo de 10.0, foi explorada ativamente pelo grupo APT5 (UNC2630) ligado à China para comprometer redes governamentais e de defesa nos EUA e Europa. ## Visão Geral CVE-2021-22893 afeta o **Pulse Connect Secure**, solução VPN SSL amplamente utilizada por governos, empresas de defesa e infraestrutura crítica. A vulnerabilidade permite execução remota de código completamente sem autenticação, com o CVSS máximo de 10.0 refletindo a gravidade máxima possível. A falha foi explorada pelo grupo **APT5** (também rastreado como UNC2630), associado ao Ministério da Segurança do Estado da China. As operações ocorreram antes do patch disponível (zero-day), comprometendo redes do governo dos EUA, contratantes de defesa e organizações na Europa. A Mandiant e a CISA emitiram alertas conjuntos sobre a exploração ativa. O impacto vai além da execução de código: com acesso ao concentrador VPN, os atacantes obtêm visibilidade total do tráfego de rede, credenciais de acesso remoto e capacidade de movimento lateral para toda a rede corporativa sem gerar alertas no perímetro. > [!latam] Relevância para Brasil e LATAM > Soluções Pulse Connect Secure são utilizadas por empresas multinacionais com presença no Brasil e por órgãos governamentais de países da região para acesso remoto seguro. A exploração desta CVE por atores estatais chineses em infraestrutura crítica representa ameaça direta a filiais de corporações afetadas na América Latina. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Remote Code Execution (pre-auth, zero-day) | | Produto | Pulse Connect Secure VPN | | CVSS | 10.0 (máximo) | | Exploração | Zero-day ativo antes do patch | | Atores identificados | APT5 / UNC2630 (China) | | CISA KEV | Sim (2021-11-03) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] ## Mitigação - Atualizar imediatamente para Pulse Connect Secure 9.1R11.4 ou superior - Executar a Pulse Secure Integrity Tool para verificar comprometimento do dispositivo - Resetar todas as credenciais de usuários que acessaram via VPN - Habilitar autenticação multifator para todos os usuários de VPN - Implementar [[m1016-vulnerability-scanning|M1016 - Vulnerability Scanning]] e [[m1051-update-software|M1051 - Update Software]] com prioridade máxima para appliances VPN ## Referências - [Mandiant - UNC2630 Pulse Secure](https://www.mandiant.com/resources/blog/suspected-apt-targets-pulse-secure) - [CISA Alert AA21-110A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-110a) - [CISA KEV - CVE-2021-22893](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2021-22893](https://nvd.nist.gov/vuln/detail/CVE-2021-22893)