Pulse Secure Zero-Day Exploits
Deze blog bevat informatie over de Pulse Secure kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details vind je onderaan deze blog.
T-Update
Deze blog bevat informatie over de Pulse Secure kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details vind je onderaan deze blog.
Update 4 mei 2021
10:00 | Er is een patch vrijgegeven voor deze kwetsbaarheid. Het advies is om deze zo snel mogelijk te installeren.
Update 22 april 2021
16:00 | Het belangrijkste advies blijft om de Pulse Security Integrity Checker te draaien, zoals al eerder aangegeven. Pulse beschrijft dit in KB44755. Mocht de Integrity Checker verdachte zaken vinden, dan zijn de te nemen stappen beschreven in KB44764. Daarnaast adviseert Tesorion om alle wachtwoorden te resetten en de configuratie te (laten) scannen op verdachte activiteiten die kunnen duiden op het ongeautoriseerd gebruik van service accounts. Mocht je twijfelen, neem dan contact op, ons CERT kan je helpen met het forensisch onderzoek.
Update 21 april 2021
11:00 | Er is recentelijk een nieuwe kwetsbaarheid in Pulse Secure VPN van Ivanti gevonden (CVE-2021-22893). Op dit moment zijn alle versies van Pulse Connect Secure 9.0R3 en hoger getroffen. Door gebruik te maken van Zero-Day exploits1 kan een aanvaller zonder te authentiseren mogelijk toegang krijgen tot de ‘Pulse Connect Secure gateway’ en daar willekeurige code uitvoeren.
Ivanti heeft een workaround tegen deze kwetsbaarheid gepubliceerd. In mei 2021 komt een volledige patch beschikbaar. Aangezien exploits al eerder circuleerden is het mogelijk dat kwetsbare systemen al in een eerder stadium zijn aangevallen.
Achtergrond
Deze kwetsbaarheid heeft CVE-nummer CVE-2021-22893 toegekend gekregen. Alle versies van Pulse Secure vanaf 9.0R3 zijn kwetsbaar. Bij succesvol misbruik van deze kwetsbaarheid kan een aanvaller volledige toegang tot een Pulse Secure systeem krijgen. Ook kan een aanvaller aanhoudende toegang tot stand brengen en malware installeren, waardoor er later verdere acties uitgevoerd kunnen worden. Als workaround heeft Pulse Secure een XML bestand gemaakt dat geïmporteerd kan worden op de Pulse Secure appliance. Dit bestand schakelt de volgende functionaliteit uit op het systeem: Windows File Share Browser Pulse Secure Collaboration Verder zijn er URIs vrijgegeven die met deze kwetsbaarheid te maken hebben – deze URIs kunnen op netwerkniveau worden geblokkeerd: ^/+dana/+meeting ^/+dana/+fb/+smb ^/+dana-cached/+fb/+smb ^/+dana-ws/+namedusers ^/+dana-ws/+metric Wanneer de patch is geïnstalleerd adviseert de leverancier om de workaround terug te draaien.
Risico
Tesorion adviseert om zo snel mogelijk de workarounds te implementeren. Ook het blokkeren van de boven genoemde URI’s kan extra bescherming aanbieden. Daarnaast is het advies om alle wachtwoorden te resetten en de configuratie te (laten) scannen op verdachte activiteiten die kunnen duiden op het ongeautoriseerd gebruik van service accounts.
Pulse Secure heeft een tool beschikbaar gemaakt om te scannen op het gebruik van deze kwetsbaarheid. Deze tool controleert op de integriteit van het filesystem en vindt eventuele additionele of aangepaste bestanden. De tool is hier beschikbaar:
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
Let op: Het integriteitstool is alleen beschikbaar voor versies 9.1R1+ en 8.3R7.1. Niet voor versie 9.0, deze versie is echter wel kwetsbaar!
Er wordt verder aangeraden om in mei, zodra de patches beschikbaar zijn, alle Pulse Secure systemen te updaten.
Advies
Bronnen
Schrijf je in voor T-Updates
Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail
More than 1,000 organisations have already joined us.
