Pulse Secure VPN: La Puerta Abierta de la Pandemia (2019-2021)

Cuando la VPN se convierte en el enemigo

El 24 de abril de 2019, Pulse Secure publicó un parche para CVE-2019-11510, una vulnerabilidad que permitía a cualquier atacante remoto leer archivos arbitrarios de sus appliances VPN sin necesidad de autenticarse. La puntuación CVSS fue 10.0, la máxima posible. El parche estaba disponible. La documentación era clara. El problema parecía resuelto.

Once meses después, en marzo de 2020, la Organización Mundial de la Salud declaró la pandemia de COVID-19. Millones de trabajadores pasaron al teletrabajo de la noche a la mañana. Las VPN corporativas, que antes servían a un porcentaje reducido de la plantilla, se convirtieron en la arteria principal de comunicación empresarial. Y miles de appliances Pulse Secure seguían sin parchear.

Lo que siguió fue una de las campañas de explotación masiva más prolongadas de la historia reciente. Grupos de ransomware como REvil (Sodinokibi), APTs chinos y decenas de actores oportunistas encontraron en CVE-2019-11510 la puerta de entrada perfecta: un exploit trivial, miles de objetivos expuestos y organizaciones demasiado ocupadas gestionando la crisis sanitaria como para actualizar su infraestructura de red.

El fallo técnico: path traversal en el corazón de la VPN

Cómo funciona Pulse Connect Secure

Pulse Connect Secure (PCS) es un appliance de VPN SSL que permite a empleados remotos conectarse a la red corporativa a través de un navegador web o un cliente VPN dedicado. El dispositivo expone una interfaz web HTTPS para autenticación y gestión, accesible desde Internet por diseño.

Internamente, PCS ejecuta un servidor web personalizado sobre un sistema operativo Linux embebido. Las rutas web se organizan bajo prefijos como /dana-na/ (autenticación), /dana/ (aplicaciones) y /dana-ws/ (servicios web). El sistema usa un mecanismo de control de acceso que determina qué rutas requieren autenticación y cuáles son públicas.

La vulnerabilidad: path traversal pre-autenticación

CVE-2019-11510 reside en un fallo de validación de rutas en el servidor web de PCS. El sistema permitía incluir secuencias de directory traversal (../) en la URL, y ciertas rutas públicas (que no requerían autenticación) podían combinarse con estas secuencias para acceder a archivos arbitrarios del sistema de archivos.

El payload típico era una petición HTTP GET con esta estructura:

GET /dana-na/../dana/html5acc/guacamole/../../../../../../etc/passwd?/dana/html5acc/guacamole/ HTTP/1.1
Host: vpn.victima.com

El truco era elegante en su simplicidad. La ruta /dana-na/../dana/html5acc/guacamole/ era accesible sin autenticación porque el servidor evaluaba el path parcialmente antes de resolver los ../. Al añadir más secuencias de traversal, el atacante escapaba del directorio web y accedía a cualquier archivo del sistema operativo subyacente.

Lo que un atacante podía leer

La lectura arbitraria de archivos no suena tan dramática como una ejecución remota de código (RCE), pero en el contexto de un appliance VPN los archivos accesibles eran devastadores:

Base de datos de credenciales en caché:

/data/runtime/mtmp/lmdb/dataa/data.mdb

Este archivo contenía las credenciales en caché de todos los usuarios que habían iniciado sesión recientemente, incluyendo contraseñas en texto claro de usuarios autenticados contra LDAP o Active Directory. No hashes, no derivaciones criptográficas: texto plano.

Session cookies activos:

/data/runtime/mtmp/system

Los tokens de sesión de usuarios actualmente conectados a la VPN. Con uno de estos tokens, un atacante podía secuestrar una sesión VPN activa sin conocer las credenciales del usuario, evitando completamente la autenticación multifactor (MFA).

Configuración del appliance:

/data/runtime/mtmp/lmdb/randomVal/data.mdb

Contenía la configuración completa del dispositivo, incluyendo la topología de red interna, pools de direcciones IP, rutas y políticas de acceso.

La cadena de ataque completa

El path traversal era solo el primer eslabón de una cadena que conducía al compromiso total de la red:

1. Escaneo masivo de Internet (Shodan, Censys)
   → Identificar appliances Pulse Secure en el puerto 443

2. Exploit CVE-2019-11510
   → Leer data.mdb con credenciales en caché
   → Leer session cookies activos

3. Autenticación legítima en la VPN
   → Con credenciales robadas o session hijacking
   → MFA evadido si se usa un session cookie válido

4. Acceso a la red interna
   → Enumeración de Active Directory
   → Identificación de Domain Controllers

5. Movimiento lateral
   → RDP, SMB, PsExec, WMI
   → Compromiso de cuentas privilegiadas

6. Impacto final
   → Despliegue de ransomware (REvil, Sodinokibi)
   → Exfiltración de datos
   → Persistencia a largo plazo (APTs)

La pandemia como catalizador

El problema del appliance sin parchear

En condiciones normales, la ventana de parcheo de una vulnerabilidad crítica en un dispositivo de perímetro debería medirse en días, no en meses. Pero los appliances VPN presentan un desafío operativo único: son dispositivos de alta disponibilidad que requieren reinicio para aplicar actualizaciones de firmware, y un reinicio significa desconectar a todos los usuarios VPN activos.

Antes de la pandemia, este inconveniente era manejable. Las organizaciones podían programar ventanas de mantenimiento nocturnas con impacto limitado. Pero cuando el 100% de la plantilla dependía de la VPN para trabajar, cualquier interrupción era inaceptable para muchos equipos de IT.

El resultado fue un cálculo de riesgo perverso: los administradores sabían que debían parchear, pero temían que el reinicio causara más daño operativo inmediato que la vulnerabilidad teórica. Este razonamiento habría sido incorrecto incluso sin la pandemia, pero con millones de organizaciones en la misma situación, la escala del problema se volvió masiva.

Cronología de la explotación

Abril 2019: Pulse Secure publica el parche para CVE-2019-11510 junto con CVE-2019-11539 (command injection post-auth). Los investigadores Devcore (Orange Tsai y Meh Chang) presentan los detalles técnicos.

Agosto 2019: Bad Packets detecta los primeros escaneos masivos buscando appliances vulnerables. Identifican más de 14.500 servidores Pulse Secure expuestos a Internet sin el parche aplicado.

Octubre 2019: CISA publica la alerta AA19-339A advirtiendo sobre la explotación activa. El FBI emite alertas similares.

Enero 2020: CISA alerta que los actores de amenazas están usando credenciales robadas mediante CVE-2019-11510 para acceder a redes gubernamentales y corporativas, incluso en organizaciones que ya habían parcheado, porque las credenciales exfiltradas antes del parche seguían siendo válidas.

Marzo 2020: Comienza la pandemia. El uso de VPN corporativa se dispara. Muchas organizaciones despliegan appliances Pulse Secure adicionales sin actualizar el firmware a la versión parcheada.

Junio 2020 en adelante: REvil (Sodinokibi) y otros grupos de ransomware adoptan CVE-2019-11510 como vector de acceso inicial preferido. Los ataques se multiplican.

Abril 2021: Se descubre CVE-2021-22893, un zero-day completamente nuevo en Pulse Secure, explotado por APTs chinos. CISA emite la Directiva de Emergencia ED 21-03.

REvil y el ransomware a través de la VPN

El grupo de ransomware REvil (también conocido como Sodinokibi) fue uno de los más prolíficos en explotar Pulse Secure. Su modelo de negocio como Ransomware-as-a-Service (RaaS) significaba que múltiples afiliados independientes usaban las mismas herramientas, y CVE-2019-11510 se convirtió en el vector de acceso inicial favorito de varios de estos afiliados.

El patrón de ataque de REvil a través de Pulse Secure era consistente:

1. Acceso inicial: Explotación de CVE-2019-11510 para obtener credenciales.
2. Establecimiento: Conexión VPN legítima con las credenciales robadas.
3. Reconocimiento: Enumeración de Active Directory usando herramientas como ADRecon, BloodHound o PowerView.
4. Elevación de privilegios: Compromiso de cuentas de Domain Admin mediante Mimikatz, Kerberoasting o ataques Pass-the-Hash.
5. Preparación: Desactivación de antivirus, eliminación de shadow copies (vssadmin delete shadows), exfiltración de datos sensibles.
6. Detonación: Despliegue del ransomware REvil/Sodinokibi en todos los sistemas accesibles simultáneamente.
7. Extorsión: Doble extorsión: demanda de rescate por descifrado más amenaza de publicar los datos exfiltrados.

Travelex, la empresa de cambio de divisas, fue una de las víctimas más notorias de este patrón. En enero de 2020, REvil cifró sus sistemas tras explotar una instancia Pulse Secure sin parchear, forzando a la empresa a cerrar sus operaciones durante semanas y pagando un rescate reportado de 2,3 millones de dólares.

CVE-2021-22893: el segundo golpe

Cuando la industria empezaba a recuperarse de la oleada de explotación de CVE-2019-11510, en abril de 2021 Mandiant (entonces FireEye) reveló una nueva vulnerabilidad zero-day en Pulse Connect Secure: CVE-2021-22893.

Una vulnerabilidad diferente, actores diferentes

A diferencia de CVE-2019-11510 (path traversal para lectura de archivos), CVE-2021-22893 era una vulnerabilidad de ejecución remota de código (RCE) pre-autenticación basada en un fallo de use-after-free. Con CVSS 10.0, permitía a un atacante ejecutar código arbitrario en el appliance sin ninguna credencial.

Los atacantes que la explotaron también eran diferentes. Mandiant identificó dos clusters de actividad:

UNC2630: Vinculado al grupo APT5 (también conocido como Manganese), operando presumiblemente en nombre del gobierno chino. Sus objetivos incluían agencias gubernamentales estadounidenses y europeas, así como organizaciones del sector defensa.

UNC2717: Otro grupo con nexos chinos que operaba de forma independiente, dirigido contra organizaciones gubernamentales globales.

Ambos grupos desplegaron familias de malware personalizadas en los appliances comprometidos:

• SLOWPULSE: Modificación del software legítimo de Pulse Secure para interceptar credenciales y evadir la autenticación, incluyendo bypass de MFA.
• RADIALPULSE: Webshell que proporcionaba acceso persistente al dispositivo.
• THINBLOOD: Utilidad para limpiar logs y borrar evidencia forense.
• ATRIUM / PACEMAKER: Herramientas adicionales para recolección de credenciales y acceso persistente.

La directiva de emergencia de CISA

La gravedad de la situación llevó a CISA a emitir la Directiva de Emergencia ED 21-03, que obligaba a todas las agencias del poder ejecutivo federal a:

1. Ejecutar la Pulse Secure Integrity Tool en todos los appliances.
2. Reportar los resultados a CISA en un plazo de 5 días hábiles.
3. Si se detectaban indicadores de compromiso, desconectar el appliance inmediatamente y reportar el incidente.

Era la primera vez que CISA emitía una directiva de emergencia específica para un dispositivo VPN, un indicador de la gravedad del compromiso en redes gubernamentales.

El patrón: dispositivos de perímetro como vector de acceso

Pulse Secure no fue un caso aislado. La explotación masiva de appliances VPN durante 2019-2021 expuso un problema estructural en la seguridad corporativa: los dispositivos de perímetro de red se habían convertido en el eslabón más débil.

La lista de vulnerabilidades paralelas

Fortinet SSL VPN (CVE-2018-13379): Path traversal que permitía leer archivos del sistema, incluyendo credenciales en texto claro. Revelada en mayo de 2019, fue explotada masivamente en paralelo a Pulse Secure. En noviembre de 2020, un atacante publicó una lista con credenciales de 49.577 dispositivos Fortinet vulnerables.

Citrix ADC/Gateway (CVE-2019-19781): Directory traversal que permitía ejecución remota de código. Revelada en diciembre de 2019, afectó a más de 80.000 organizaciones en 158 países. Grupos como REvil y DoppelPaymer la explotaron para desplegar ransomware.

F5 BIG-IP (CVE-2020-5902): RCE en la interfaz de gestión TMUI. CVSS 9.8. Explotada activamente por múltiples grupos de amenazas, incluyendo actores iraníes.

Ivanti Connect Secure (CVE-2023-46805 + CVE-2024-21887): Authentication bypass encadenado con command injection. Ivanti es el sucesor de Pulse Secure (adquirida en 2020), lo que demuestra que el problema persistía incluso bajo nueva gestión. Explotada por UNC5221, otro grupo con nexos chinos.

¿Por qué los appliances VPN son tan vulnerables?

Varios factores estructurales explican por qué estos dispositivos se convirtieron en el vector de acceso inicial más explotado durante la pandemia:

Exposición por diseño: Un appliance VPN debe estar accesible desde Internet para cumplir su función. No se puede ocultar detrás de un firewall sin anular su propósito. Esto lo convierte en un objetivo permanente.

Software propietario opaco: Los appliances de red ejecutan sistemas operativos y aplicaciones propietarias que los clientes no pueden auditar. Las vulnerabilidades se descubren por reverse engineering externo, no por revisión de código por la comunidad.

Ciclos de parcheo lentos: A diferencia de un servidor Linux donde un apt upgrade toma minutos, actualizar el firmware de un appliance VPN requiere planificación, ventanas de mantenimiento y pruebas de compatibilidad. Muchas organizaciones parchean estos dispositivos trimestralmente, no semanalmente.

Superficie de ataque privilegiada: Un appliance VPN comprometido no es equivalente a un servidor web comprometido. El atacante obtiene acceso directo a la red interna, credenciales de Active Directory, y visibilidad sobre toda la topología de red.

Falta de EDR y monitorización: Los appliances de red tradicionalmente no ejecutan agentes de endpoint detection and response (EDR). Los equipos de seguridad monitorizan PCs y servidores, pero los dispositivos de red quedan en un punto ciego.

Lecciones y mitigaciones

Para las organizaciones

La crisis de Pulse Secure dejó lecciones claras que siguen siendo relevantes:

Parcheo de emergencia para dispositivos de perímetro. Los appliances expuestos a Internet deben parchearse en horas o días, no en semanas o meses. Si el proceso de actualización es demasiado complejo o arriesgado, eso es un problema que debe resolverse antes de que llegue el próximo CVE.

Rotación de credenciales post-parche. Parchear el appliance no invalida las credenciales que ya fueron robadas. Después de aplicar el parche de CVE-2019-11510, era necesario forzar el cambio de contraseña de todos los usuarios que hubieran iniciado sesión en el dispositivo, revocar todos los tokens de sesión, y rotar los certificados.

Monitorización de accesos VPN. Las conexiones VPN legítimas realizadas con credenciales robadas son invisibles para la mayoría de sistemas de detección. Es necesario monitorizar patrones anómalos: conexiones desde geolocalizaciones inusuales, horarios atípicos, uso de múltiples cuentas desde la misma IP, y reconocimiento de Active Directory inmediatamente después de la conexión.

Arquitectura Zero Trust. La pandemia aceleró la adopción de modelos Zero Trust que reducen la dependencia de VPN tradicionales. En lugar de otorgar acceso completo a la red interna, soluciones como BeyondCorp, Zscaler Private Access o Cloudflare Access verifican la identidad y el contexto en cada petición, limitando el impacto de un compromiso.

Para la industria

Integrity verification tools. Después de CVE-2021-22893, Pulse Secure (ya Ivanti) distribuyó una herramienta de verificación de integridad del firmware. Esta práctica debería ser estándar para todos los fabricantes de appliances de red, permitiendo a los administradores verificar que el software del dispositivo no ha sido modificado.

Secure by design para appliances. Los fabricantes necesitan adoptar prácticas de desarrollo seguro que incluyan revisiones de código regulares, programas de bug bounty, y arquitecturas que minimicen el impacto de una vulnerabilidad individual. La historia de Pulse Secure (múltiples CVEs críticos en pocos años) sugiere problemas sistémicos en el proceso de desarrollo.

El legado de Pulse Secure

CVE-2019-11510 es un caso de estudio sobre cómo una vulnerabilidad conocida y parcheada puede causar daños masivos cuando las condiciones externas cambian. El parche existía 11 meses antes de la pandemia. Las alertas de CISA y el FBI eran públicas. Las herramientas de detección estaban disponibles.

Pero la pandemia cambió el cálculo de riesgo para miles de organizaciones, y los atacantes supieron aprovecharlo. REvil, Sodinokibi y otros grupos de ransomware encontraron en los appliances VPN sin parchear un filón que explotaron durante más de dos años.

Hoy, Pulse Secure ya no existe como empresa independiente (fue adquirida por Ivanti en diciembre de 2020), pero el problema que representó persiste. Cada vez que un fabricante de appliances de red publica un parche para una vulnerabilidad crítica, la pregunta no es si los atacantes intentarán explotar los dispositivos sin parchear, sino cuánto tardarán en hacerlo. La respuesta, consistentemente, es horas.

La puerta abierta de la pandemia nunca fue solo Pulse Secure. Fue la ilusión de que un dispositivo de perímetro, por el simple hecho de ser un appliance comercial, era inherentemente seguro. Esa ilusión se rompió entre 2019 y 2021, y la industria aún está lidiando con las consecuencias.