Pulse Secure waarschuwt voor actief misbruik zeroday

Mandiant zegt momenteel twaalf malwarefamilies te volgen die gebruikt worden om binnen te dringen in Pulse Secure VPN-apparaten, schrijft Ars Technica. Deze malwarefamilies - die niet allemaal aan elkaar gerelateerd zijn - misbruiken vier verschillende kwetsbaarheden om authenticatie op VPN-apparaten te omzeilen. Daarbij weten de aanvallers ook om tweestapsverificatie heen te komen.

Als de hackers eenmaal binnen zijn, kunnen ze malware installeren die ook aanwezig blijft na software-upgrades. De hackers kunnen tevens toegang houden tot de apparaten via webshells; browser-gebaseerde interfaces waarmee hackers op afstand apparaten kunnen aansturen. 

Volgens Mandiant zijn er in de afgelopen zes maanden aanvallen geweest bij organisaties wereldwijd binnen de defensie-, overheids- en financiële sector. Ook zijn diverse Amerikaanse overheidsorganisaties aangevallen, evenals organisaties in de Amerikaanse kritieke infrastructuur en bedrijven uit de private sector in het land. De aanvallen zijn door zeker twee hackersgroepen uitgevoerd. Waarschijnlijk is één van hen een nieuwe groep Chinese staatshackers, die de naam UNC2630 heeft gekregen. 

Zeroday en oudere lekken

De hackers gebruiken in ieder geval een zeroday die deze maand ontdekt werd om binnen te komen, die gevolgd wordt onder CVE-2021-22893. Dit is een authentication-by-pass-kwetsbaarheid, waarmee aanvallers op afstand bestanden kunnen uitvoeren op de Pulse Connect Secure gateway. Pulse Secure geeft deze nieuw gevonden kwetsbaarheid de maximale score qua ernst: 10 op een schaal van 10. Het bedrijf benadrukt in een blogbericht echter dat de kwetsbaarheid een zeer gelimiteerd aantal klanten raakt. Daar verwijst het bedrijf ook naar een workaround. Aan patches wordt nog gewerkt. 

De hackers misbruiken echter ook drie oudere kwetsbaarheden: twee uit 2020 en één uit 2019. Het gaat dan om CVE-2019-11510, CVE-2020-8243 en CVE-2020-8260. Die kwetsbaarheden zijn al enige bekend en ook al gedicht. Zeker het lek uit 2019 zorgde voor veel ophef: het duurde bij veel bedrijven en bij het ministerie van Justitie en Veiligheid lang voor de patches geïnstalleerd werden. Daardoor konden hackers lang hun gang gaan. Waarschijnlijk werd onder meer GWK Travelex daardoor getroffen door een ransomware-aanval.

Nu blijkt dus dat een aantal organisaties zijn servers nog altijd niet gepatcht heeft, aangezien deze drie lekken nog altijd misbruikt worden in aanvallen. Pulse Secure raadt bedrijven dan ook aan om de Pulse Security Integrity Checker Tool te gebruiken. Deze tool laat gebruikers hun productinstallaties inspecteren om te zien of ze getroffen zijn door de problemen.