Af Eskil Sørensen, 21/04/21
Skal man tro de aktuelle skriverier, har Pulse Secure-organisationen travlt med at rette den nyligt fundne og aktuelt ’in-the-wild’-udnyttede 0-dagssårbarhed. Men ikke kun Pulse Secure bør have travlt. Også systemadministratorer med Pulse Secure VPN-enheder i deres portefølje bør have travlt, eftersom advarslerne fra bl.a. CISA handler om gamle sårbarheder, hvoraf den ældste, CVE-2019-11510, der har en CVSS-score på 10, blev patched helt tilbage i 2019. To andre fejl, CVE-2020-8243 og CVE-2020-8260, der begge har en CVSS-score på 7,2, blev patched sidste år.
Da mange organisationer ikke har implementeret de tilgængelige rettelser, fortsætter angrebene. Dårligt vedligholdt og ikke opdateret software er et tilbagevendende problem, som i stor stil udnyttes af cyberkriminelle. Ifølge Security Week oplyser FireEye, at der i øjeblikket er 12 malware-familier, der er aktivt involveret i udnyttelsen af sårbare Pulse Secure VPN-enheder.
Løsningen til håndtering af de tre sårbarheder er således opdatering af systemerne.
0-dagssårbarhed
Den sidste sårbarhed (CVE-2021-22893) er blevet opdaget her i april 2021 og bliver efter det oplyste ikke patchet før begyndelsen af maj. Derfor kan systemadministratorer ikke implementere rettelsen.
Fejlen har en score på 10. Problemet er omgåelse af godkendelse, dvs. 'authentification bypass', der gør det muligt for uautoriserede angribere at afvikle vilkårlig kode eksternt på Pulse Connect Secure gateways. Pulse skrive selv i sin advisory, at den udgør en ‘significant risk to your deployment’.
Anbefalingen fra Pulse Secure’s advisory er at 'mitigere', dvs. afbøde risikoen. Dette kan ske ved at importere en Workaround-2104.xml fil, der er tilgængelig via på Pulse Secure’s advisory.
Links:
https://www.securityweek.com/pulse-secure-zero-day-flaw-actively-exploited-attacks
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784