image

Pulse Secure waarschuwt voor actief aangevallen zerodaylek in vpn-software

dinsdag 20 april 2021, 17:57 door Redactie, 9 reacties

Pulse Secure waarschuwt voor een zeer kritiek en actief aangevallen zerodaylek in de vpn-software van het bedrijf waardoor aanvallers op afstand kwetsbare vpn-servers kunnen overnemen. Een beveiligingsupdate is nog niet voorhanden en volgens Pulse Secure vormt het beveiligingslek een zeer groot risico voor organisaties. De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10.

Onlangs ontdekte Pulse Secure dat bij een "beperkt aantal klanten" de Pulse Connect Secure (PCS) vpn-server was gecompromitteerd. Bij het grootste deel van de aanvallen waren drie bekende kwetsbaarheden gebruikt, namelijk CVE-2019-11510, CVE-2020-8243 en CVE-2020-8260. Voor deze beveiligingslekken zijn al beveiligingsupdates beschikbaar.

De aanvallers maakten echter ook gebruik van een onbekende kwetsbaarheid die nu als CVE-2021-22893 wordt aangeduid en het mogelijk maakt om op afstand en zonder authenticatie code op kwetsbare servers uit te voeren. Het beveiligingslek is volgens Pulse Secure tegen een "zeer beperkt aantal klanten" ingezet. Er wordt nu aan een beveiligingsupdate gewerkt die begin mei moet klaar zijn. Tevens is er een workaround gepubliceerd en een tool waarmee klanten kunnen kijken of hun vpn-server is gecompromitteerd.

Securitybedrijf Mandiant heeft een blogpost over de aanvallen gepubliceerd. Via de kwetsbaarheid stelen de aanvallers inloggegevens van Pulse Secure vpn-servers, waardoor ze via legitieme accounts zich lateraal binnen aangevallen omgevingen kunnen bewegen. Om toegang tot de vpn-server te behouden maken de aanvallers gebruik van aangepaste Pulse Secure-bestanden en scripts op de vpn-server.

Organisaties die van de vpn-software gebruikmaken wordt opgeroepen om de tijdelijke mitigaties wanneer mogelijk door te voeren. Tevens wordt opgeroepen om de Pulse Secure Integrity Assurance tool te draaien. Wanneer blijkt dat de vpn-server gecompromitteerd is moet er contact met Pulse Secure worden opgenomen.

Reacties (9)
20-04-2021, 18:01 door Anoniem
En wat leren we hieruit?
Nooit de term Secure in je productnaam zetten, dat wekt (valse) verwachtingen...
20-04-2021, 19:21 door Anoniem
Door Anoniem: En wat leren we hieruit?
Nooit de term Secure in je productnaam zetten, dat wekt (valse) verwachtingen...
Pulse Dildo VPN Connect had ook lek geweest. Zelfde code toch? en het was niet uilokken bij claim, het was meer een "vaak gebruikt en hangt aan internet" kind of mass RCE exploitation.
20-04-2021, 19:24 door Anoniem
Door Anoniem: En wat leren we hieruit?
Nooit de term Secure in je productnaam zetten, dat wekt (valse) verwachtingen...
Maar het verkoopt beter, dus wel erin zetten.
20-04-2021, 20:28 door Anoniem
Door Anoniem: En wat leren we hieruit?
Nooit de term Secure in je productnaam zetten, dat wekt (valse) verwachtingen...
Inderdaad. Ik kan mij een XP installatie scherm nog herinneren: Nu nog veiliger!
20-04-2021, 21:14 door Anoniem
Het lijkt erop dat Pulse alles uitbesteedt als het gaat om encryptie, certificaten en de implementatie ervan. Daarbij ook de hosting volledig aan derden overlatend, op 'goed vertrouwen' ?

Genoeg bandbreedte kunnen inkopen/verschaffen ('lekker snel..!') en klantvriendelijk zijn is de feitelijke basis van hun verdienmodel, zo lijkt gezien de afgelopen jaren.
21-04-2021, 08:35 door Anoniem
Door Anoniem:
Door Anoniem: En wat leren we hieruit?
Nooit de term Secure in je productnaam zetten, dat wekt (valse) verwachtingen...
Inderdaad. Ik kan mij een XP installatie scherm nog herinneren: Nu nog veiliger!
Dat is een relatieve claim. Het was inderdaad veiliger dan 98/ME.
21-04-2021, 11:56 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: En wat leren we hieruit?
Nooit de term Secure in je productnaam zetten, dat wekt (valse) verwachtingen...
Inderdaad. Ik kan mij een XP installatie scherm nog herinneren: Nu nog veiliger!
Dat is een relatieve claim. Het was inderdaad veiliger dan 98/ME.
Deze claim wordt bij iedere nieuwe Windows versie weer gemaakt. Het is ook altijd NU veilig en de vorige versie is niet
veilig, terwijl die toch "de veiligste Windows ooit!" was toen die uitkwam.
Zeg dan liever eerlijk "sorry mensen het is niet veilig, we proberen er alles aan te doen maar het is vechten tegen de bierkaai"
dan weten je klanten tenminste wat ze kunnen verwachten.

Idem met Pulse Secure kennelijk. Misschien moeten de autoriteiten dit soort claims als "misleidend" kwalificeren?
22-04-2021, 10:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: En wat leren we hieruit?
Nooit de term Secure in je productnaam zetten, dat wekt (valse) verwachtingen...
Inderdaad. Ik kan mij een XP installatie scherm nog herinneren: Nu nog veiliger!
Dat is een relatieve claim. Het was inderdaad veiliger dan 98/ME.
Deze claim wordt bij iedere nieuwe Windows versie weer gemaakt. Het is ook altijd NU veilig en de vorige versie is niet
veilig, terwijl die toch "de veiligste Windows ooit!" was toen die uitkwam.
Zeg dan liever eerlijk "sorry mensen het is niet veilig, we proberen er alles aan te doen maar het is vechten tegen de bierkaai"
dan weten je klanten tenminste wat ze kunnen verwachten.

Idem met Pulse Secure kennelijk. Misschien moeten de autoriteiten dit soort claims als "misleidend" kwalificeren?
Flinke boetes opleggen, net als ze bij de telecom providers hebben gedaan bij misleiding.
24-04-2021, 10:12 door Anoniem
Grr tot vannacht 0030 nog bezig geweest hiermee Alle Java en Activex shit ombouwen en ook weer tegen leuke nieuwe bugs aanlopen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.