研究人员表示，有国家背景的黑客正在积极利用Pulse Secure 虚拟专用网的关键漏洞，以绕过2FA(双因素认证)保护，从而隐秘地进入属于美国国防工业和其他一系列组织的网络。

安全公司Mandiant在4月20日发布的报告中表示，被利用的漏洞中至少有一个是0day漏洞。这意味着当黑客开始积极利用它时，Pulse Secure的开发者和大多数研究人员难以察觉。

除了CVE-2021-22893这个被发现的0day之外，多个黑客组织也在利用2019年和2020年已被修复的几个Pulse Secure漏洞。

研究人员表示，Mandiant目前发现了12个恶意软件团伙正在利用Pulse Secure 虚拟专用网的漏洞。这些团伙都规避了认证并从后门访问了设备。但是团伙之间的关联性不大，并且他们都是在不同的调查中被发现的。因此，研究人员认为应该是多个黑客各自利用漏洞来进行攻击。

无论是单独利用还是团伙作案，这些漏洞都可以使攻击者绕过保护虚拟专用网设备的单因素和双因素认证，使黑客能够安装恶意软件。这些恶意软件即便用户升级虚拟专用网也依然存在，并通过webshell保持访问。

此外，在Mandiant发布的报告中还提到了，在过去的6个月中，多起入侵事件袭击了世界各地的国防、政府和金融组织。另外，美国网络安全和基础设施安全局表示，被袭击的目标还包括美国政府机构、关键基础设施实体和其他私营部门组织。

Mandiant提供了以下图表，显示各种认证绕过和日志访问的流程。