Beheer

Security
Patch

Pulse Secure dicht actief misbruikte zero day

Zero day als zeer kritiek beoordeeld.

© CC0 - Pixabay Ulleo
4 mei 2021

Zero day als zeer kritiek beoordeeld.

Pulse Secure heeft een patch uitgebracht voor een zero day die het half april ontdekte. De zero day werd op beperkte schaal actief misbruikt in combinatie met drie oudere, al gedichte kwetsbaarheden. Het nieuw gevonden gat kreeg een maximale score qua ernst: 10 op een schaal van 10.

De zeroday - die gevolgd wordt via CVE-2021-22893 - zit in de Pulse Connec Secure appliance. Het gaat om een authentication-by-pass-kwetsbaarheid, waarmee aanvallers op afstand kunnen binnendringen in een apparaat en bestanden kunnen uitvoeren.

De fout werd in april ontdekt door beveiligingsbedrijf Mandiant, dat waarschuwde dat de fout onder meer door een Chinese hackgroep wordt misbruikt. De hackers misbruiken de zeroday in combinatie met drie oudere kwetsbaarheden om de authenticatie op VPN-apparaten te omzeilen. Daarbij weten ze ook tweestapsverificatie te omzeilen. Als de hackers binnen zijn, kunnen ze malware installeren die ook na software-upgrades aanwezig blijft. Daarnaast kunnen ze toegang houden tot de apparaten via webshells. 

Patches beschikbaar

Pulse Secure bracht in eerste instantie alleen een workaround uit voor de zero day, maar heeft nu ook een patch beschikbaar gesteld in een beveiligingsupdate. "We raden klanten aan de update snel te installeren om er zeker van te zijn dat ze beschermd zijn", aldus Pulse Secure in een aankondiging.

De drie andere kwetsbaarheden die misbruikt worden bij de aanvallen, zijn al ouder en al eerder gedicht. Het gaat om CVE-2019-11510 uit 2019, en CVE-2020-8243 en CVE-2020-8260 uit 2020. Het lek uit 2019 zorgde destijds ook voor ophef: bij veel bedrijven en het ministerie van Justitie en Veiligheid duurde het lang voor patches geïnstalleerd werden. Daardoor konden hackers lang hun gang gaan, wat waarschijnlijk tot diverse hacks zoals die bij GWK Travelex leidde. 

Uit de recente aanvallen blijkt echter dat diverse organisaties hun servers nog altijd niet gedicht hebben, aangezien de lekken nog steeds misbruikt worden voor aanvallen. Volgens Mandiant werden de afgelopen zes maanden organisaties binnen de defensie-, overheids- en financiële sector aangevallen, evenals Amerikaanse overheidsorganisaties en organisaties in de Amerikaanse kritieke infrastructuur. 

SPEEL DE SECURITY GAME!

Heb je de Security Game van AG Connect op donderdag 22 april gemist? Geen nood! Het spel valt nog te spelen. Ga de strijd aan met hackers in een echte security escaperoom, speciaal ontworpen voor AG Connect. De game-elementen worden afgewisseld met inhoudelijke sessies over security. Ga naar de website, meld je aan en speel mee. Voor security!

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.