Pulse Secure dicht actief misbruikte zero day

De zeroday - die gevolgd wordt via CVE-2021-22893 - zit in de Pulse Connec Secure appliance. Het gaat om een authentication-by-pass-kwetsbaarheid, waarmee aanvallers op afstand kunnen binnendringen in een apparaat en bestanden kunnen uitvoeren.

De fout werd in april ontdekt door beveiligingsbedrijf Mandiant, dat waarschuwde dat de fout onder meer door een Chinese hackgroep wordt misbruikt. De hackers misbruiken de zeroday in combinatie met drie oudere kwetsbaarheden om de authenticatie op VPN-apparaten te omzeilen. Daarbij weten ze ook tweestapsverificatie te omzeilen. Als de hackers binnen zijn, kunnen ze malware installeren die ook na software-upgrades aanwezig blijft. Daarnaast kunnen ze toegang houden tot de apparaten via webshells. 

Patches beschikbaar

Pulse Secure bracht in eerste instantie alleen een workaround uit voor de zero day, maar heeft nu ook een patch beschikbaar gesteld in een beveiligingsupdate. "We raden klanten aan de update snel te installeren om er zeker van te zijn dat ze beschermd zijn", aldus Pulse Secure in een aankondiging.

De drie andere kwetsbaarheden die misbruikt worden bij de aanvallen, zijn al ouder en al eerder gedicht. Het gaat om CVE-2019-11510 uit 2019, en CVE-2020-8243 en CVE-2020-8260 uit 2020. Het lek uit 2019 zorgde destijds ook voor ophef: bij veel bedrijven en het ministerie van Justitie en Veiligheid duurde het lang voor patches geïnstalleerd werden. Daardoor konden hackers lang hun gang gaan, wat waarschijnlijk tot diverse hacks zoals die bij GWK Travelex leidde. 

Uit de recente aanvallen blijkt echter dat diverse organisaties hun servers nog altijd niet gedicht hebben, aangezien de lekken nog steeds misbruikt worden voor aanvallen. Volgens Mandiant werden de afgelopen zes maanden organisaties binnen de defensie-, overheids- en financiële sector aangevallen, evenals Amerikaanse overheidsorganisaties en organisaties in de Amerikaanse kritieke infrastructuur.