Deze blog bevat informatie over de Pulse Secure kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details vind je onderaan deze blog.
Update 4 mei 2021
10:00 | Er is een patch vrijgegeven voor deze kwetsbaarheid. Het advies is om deze zo snel mogelijk te installeren.
Update 22 april 2021
16:00 | Het belangrijkste advies blijft om de Pulse Security Integrity Checker te draaien, zoals al eerder aangegeven. Pulse beschrijft dit in KB44755. Mocht de Integrity Checker verdachte zaken vinden, dan zijn de te nemen stappen beschreven in KB44764. Daarnaast adviseert Tesorion om alle wachtwoorden te resetten en de configuratie te (laten) scannen op verdachte activiteiten die kunnen duiden op het ongeautoriseerd gebruik van service accounts. Mocht je twijfelen, neem dan contact op, ons CERT kan je helpen met het forensisch onderzoek.
Update 21 april 2021
11:00 | Er is recentelijk een nieuwe kwetsbaarheid in Pulse Secure VPN van Ivanti gevonden (CVE-2021-22893). Op dit moment zijn alle versies van Pulse Connect Secure 9.0R3 en hoger getroffen. Door gebruik te maken van Zero-Day exploits1 kan een aanvaller zonder te authentiseren mogelijk toegang krijgen tot de ‘Pulse Connect Secure gateway’ en daar willekeurige code uitvoeren.
Ivanti heeft een workaround tegen deze kwetsbaarheid gepubliceerd. In mei 2021 komt een volledige patch beschikbaar. Aangezien exploits al eerder circuleerden is het mogelijk dat kwetsbare systemen al in een eerder stadium zijn aangevallen.
Aanleiding en achtergrond van deze blog
Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.
Potentieel risico
Deze kwetsbaarheid heeft CVE-nummer CVE-2021-22893 toegekend gekregen. Alle versies van Pulse Secure vanaf 9.0R3 zijn kwetsbaar.
Bij succesvol misbruik van deze kwetsbaarheid kan een aanvaller volledige toegang tot een Pulse Secure systeem krijgen. Ook kan een aanvaller aanhoudende toegang tot stand brengen en malware installeren, waardoor er later verdere acties uitgevoerd kunnen worden.
Als workaround heeft Pulse Secure een XML bestand gemaakt dat geïmporteerd kan worden op de Pulse Secure appliance. Dit bestand schakelt de volgende functionaliteit uit op het systeem:
- Windows File Share Browser
- Pulse Secure Collaboration
Verder zijn er URIs vrijgegeven die met deze kwetsbaarheid te maken hebben – deze URIs kunnen op netwerkniveau worden geblokkeerd:
- ^/+dana/+meeting
- ^/+dana/+fb/+smb
- ^/+dana-cached/+fb/+smb
- ^/+dana-ws/+namedusers
- ^/+dana-ws/+metric
Wanneer de patch is geïnstalleerd adviseert de leverancier om de workaround terug te draaien.
Detailinfo
Tesorion adviseert om zo snel mogelijk de workarounds te implementeren. Ook het blokkeren van de boven genoemde URI’s kan extra bescherming aanbieden. Daarnaast is het advies om alle wachtwoorden te resetten en de configuratie te (laten) scannen op verdachte activiteiten die kunnen duiden op het ongeautoriseerd gebruik van service accounts.
Pulse Secure heeft een tool beschikbaar gemaakt om te scannen op het gebruik van deze kwetsbaarheid. Deze tool controleert op de integriteit van het filesystem en vindt eventuele additionele of aangepaste bestanden. De tool is hier beschikbaar:
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
Let op: Het integriteitstool is alleen beschikbaar voor versies 9.1R1+ en 8.3R7.1. Niet voor versie 9.0, deze versie is echter wel kwetsbaar!
Er wordt verder aangeraden om in mei, zodra de patches beschikbaar zijn, alle Pulse Secure systemen te updaten.
Achtergrond
- Zero-day exploits: Exploits waarvoor er nog geen patch is beschikbaar.
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.