Zeer kritieke en actief aangevallen zerodaylek in VPN software Pulse Secure

Gepubliceerd op 20 april 2021 om 20:10
Zeer kritieke en actief aangevallen zerodaylek in VPN software Pulse Secure

Pulse Secure waarschuwt voor een zeer kritiek en actief aangevallen zerodaylek in de vpn-software van het bedrijf waardoor aanvallers op afstand kwetsbare vpn-servers kunnen overnemen. Een beveiligingsupdate is nog niet voorhanden en volgens Pulse Secure vormt het beveiligingslek een zeer groot risico voor organisaties. De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10.

Pulse Connect Secure gehackt

Onlangs ontdekte Pulse Secure dat bij een 'beperkt aantal klanten' de Pulse Connect Secure (PCS) vpn-server was gecompromitteerd. Bij het grootste deel van de aanvallen waren drie bekende kwetsbaarheden gebruikt, namelijk CVE-2019-11510, CVE-2020-8243 en CVE-2020-8260. Voor deze beveiligingslekken zijn al beveiligingsupdates beschikbaar.

De aanvallers maakten echter ook gebruik van een onbekende kwetsbaarheid die nu als CVE-2021-22893 wordt aangeduid en het mogelijk maakt om op afstand en zonder authenticatie code op kwetsbare servers uit te voeren. Het beveiligingslek is volgens Pulse Secure tegen een 'zeer beperkt aantal klanten' ingezet. Er wordt nu aan een beveiligingsupdate gewerkt die begin mei moet klaar zijn. Tevens is er een workaround gepubliceerd en een tool waarmee klanten kunnen kijken of hun vpn-server is gecompromitteerd.

Modus operandi

Securitybedrijf Mandiant heeft een blogpost over de aanvallen gepubliceerd. Via de kwetsbaarheid stelen de aanvallers inloggegevens van Pulse Secure vpn-servers, waardoor ze via legitieme accounts zich lateraal binnen aangevallen omgevingen kunnen bewegen. Om toegang tot de vpn-server te behouden maken de aanvallers gebruik van aangepaste Pulse Secure-bestanden en scripts op de vpn-server.

Organisaties die van de vpn-software gebruikmaken wordt opgeroepen om de tijdelijke mitigaties wanneer mogelijk door te voeren. Tevens wordt opgeroepen om de Pulse Secure Integrity Assurance tool te draaien. Wanneer blijkt dat de vpn-server gecompromitteerd is moet er contact met Pulse Secure worden opgenomen.

The Pulse Secure Team Recently Discovered That A Limited Number Of Customers Have Experienced Evidence Of Exploit Behavior On Their Pulse Connect Secure
PDF – 147,0 KB 274 downloads
Threat Research
PDF – 2,6 MB 319 downloads

Bron: fireeye.com, pulsesecure.net, security.nl

 

Tips of verdachte activiteiten gezien? Meld het hier.

Hacking gerelateerde berichten

Het einde van ISDN is in zicht, overstappen op VOIP? Pas op voor PBX Hacking!

KPN wil de gebruikers echter graag op VoIP telefonie laten overschakelen, waarbij het internet de drager is van de gesprekken, en het uitdelen van nummers en het routeren van de gesprekken eenvoudig met software kan worden geregeld. ISDN onderhouden vindt KPN te duur, dus is aangekondigd dat ISDN gaat stoppen. Op 1 september 2019 is ISDN-2 aan de beurt, de ISDN-15, 20 en 30 verbindingen mogen nog een jaar langer blijven, tot 1 oktober 2021. Het aantal gewone telefoonaansluitingen, ISDN of analoog, is van 2008 tot 2016 gedaald van 7 miljoen naar minder dan 1 miljoen. Ongeveer 20% hiervan was ISDN, althans op het hoogtepunt. Met zo'n grote daling klinkt het natuurlijk logisch dat een goedkopere infrastructuur wordt aangeboden.

Lees meer »

Nederland levert Oekraïense hack verdachte uit aan VS

Nederland heeft een verdachte in een grote hack zaak uitgeleverd aan de Verenigde Staten. De Oekraïner Oleksii Petrovitsj Ivanov (31) zou miljoenen computers over de hele wereld hebben besmet met schadelijke software (malware) via besmette advertenties, zogeheten malvertising. Hij zit vast in de staat New Jersey, aldus het Amerikaanse ministerie van Justitie.

Lees meer »