Het is volgende week vrijdag 24 april precies een jaar geleden dat er een beveiligingsupdate verscheen voor een zeer ernstige kwetsbaarheid in de Pulse Secure vpn-software. Nu een jaar later zijn er nog altijd organisaties die de patch niet hebben uitgerold, maar ook organisaties die wel zijn gepatcht kunnen risico lopen als aanvallers voor het updaten toegang tot de vpn-omgeving hebben gekregen. Dat laat het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid weten.
Volgens de overheidsinstantie heeft het meerdere incidenten gezien waarbij vpn-wachtwoorden die via de kwetsbaarheid waren gestolen maanden nadat organisaties de update hadden uitgerold werden misbruikt. Het beveiligingslek in de vpn-software van Pulse Secure is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Via de kwetsbaarheid kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende.
Ondanks de beschikbaarheid van de update eind april waren de vpn-servers van duizenden organisaties maanden later nog altijd ongepatcht. Vorig jaar augustus werden de eerste aanvallen waargenomen die misbruik van de kwetsbaarheid maakten. Het installeren van de beveiligingsupdate alleen is mogelijk niet voldoende als dit niet tijdig gebeurde, waarschuwt CISA.
"CISA is bij meerdere incidenten bij de Amerikaanse overheid en bedrijven betrokken geweest waarbij aanvallers het Pulse Secure-lek gebruikten om toegang tot de netwerken van slachtoffers te krijgen. Hoewel Pulse Secure in april 2019 patches voor het lek uitbracht, heeft CISA incidenten gezien waarbij gecompromitteerde Active Directory-inloggegevens maanden nadat getroffen organisaties hun vpn-server patchten werden gebruikt", aldus de Amerikaanse overheidsinstantie.
CISA heeft in een testomgeving aangetoond dat aanvallers Active Directory-inloggegevens in plaintext kunnen stelen, alsmede het lokale beheerderswachtwoord van de vpn-server. Deze gegevens kunnen vervolgens, wanneer organisaties de wachtwoorden niet wijzigden, worden gebruikt om toegang tot de omgeving van slachtoffers te krijgen.
Zodra aanvallers toegang tot de omgeving van een slachtoffer hebben verkregen installeren ze malware om toegang te behouden, stelen ze gegevens en installeren ransomware, zo blijkt uit de incidenten die CISA onderzocht. Aangezien organisaties die de Pulse Secure-update hebben geïnstalleerd nog steeds risico op misbruik lopen door aanvallen die voor de installatie van de patch plaatsvonden, heeft het CISA nieuwe detectiemethoden en een tool ontwikkeld waarmee beheerders kunnen controleren of hun omgeving mogelijk al is gecompromitteerd.
Verder krijgen organisaties die de update nog niet hebben uitgerold het advies om dit alsnog te doen. Wanneer blijkt dat de vpn-omgeving is gecompromitteerd wordt aangeraden om de wachtwoorden van alle Active Directory-accounts te wijzigen, waaronder die van beheerders en service-accounts. Ook moet er worden gekeken naar de aanwezigheid van ongeautoriseerde applicaties en geplande taken in de omgeving.
Deze posting is gelocked. Reageren is niet meer mogelijk.