Zero-day kwetsbaarheid in Pulse Secure actief misbruikt en patch nog niet beschikbaar

Maakt jouw organisatie gebruik van de Pulse Connect Secure gateway in het bedrijfsnetwerk? Dan is het belangrijk dat je op de hoogte bent van een nieuw ontdekte kritieke zero-day authenticatie bypass kwetsbaarheid (CVE-2021-22893) met een CVSSv3 score van 10/10, welke op dit moment actief wordt misbruikt in het wil en er nog geen patch voor beschikbaar is.

Minimaal 2 threat actors zitten achter verschillende inbraakpogingen gericht op defensie, overheidsorganisaties en financiële organisaties in de VS en andere landen door misbruik te maken van kritieke kwetsbaarheden in Pulse Secure VPN devices om de multi-factor authenticatie beschermingen te omzeilen en in te breken bij bedrijfsnetwerken.

“Een combinatie van eerdere kwetsbaarheden en een nog onbekende kwetsbaarheid ontdekt in april 2021CVE-2021-22893, zijn verantwoordelijk voor de initiële infectie vector,” geeft cybersecurity FireEye aan in een onderzoek naar de dreiging. In dit onderzoek hebben ze 12 malware families ontdekt die gelinkt kunnen worden aan het misbruiken van kwetsbaarheden in Pulse Secure VPN appliances.

Threat clusters

FireEye volgt de activiteiten onder 2 threat clusters UNC2630 en UNC2717 (“UNC” staat voor Uncategorized). Waarbij het eerste cluster wordt gelinkt aan een inbraak bij U.S. Defense Industrial base (DIB) netwerken en het andere cluster was ontdekt met gerichte aanvallen op een Europese organisatie in maart 2021. Het onderzoek wijst UNC2630 toe aan actoren die werken voor de Chinese overheid, welke mogelijk ook banden hebben met APT5 op basis van overeenkomsten in inbraken.

Pulse Secure Zero-Day Flaw

LDAP authenticatie bypass. Bron FireEye.

 

Aanvallen door UNC2630 zijn naar alle waarschijnlijkheid begonnen in augustus 2020, voordat deze werden uitgebreid in oktober 2020. In deze maand begon UNC2717 dezelfde kwetsbaarheden te misbruiken om aangepaste malware te installeren op netwerken van overheidsinstanties in Europa en de VS.  Deze incidenten bleven doorgaan tot maart 2021, volgens FireEye.

Hieronder volgt een lijst met de verschillende malware families:

  • UNC2630 – SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE, and PULSECHECK
  • UNC2717 – HARDPULSE, QUIETPULSE, AND PULSEJUMP

Twee andere malware families STEADYPULSE en LOCKPICK, welke zijn uitgerold tijdens de inbraken kunnen niet gelinkt worden aan een specifieke groep, gezien hiervoor niet voldoende bewijs is.

Welke versies zijn kwetsbaar?

De volgende versies van Pulse Connect Secure zijn kwetsbaar voor CVE-2021-22893:

  • Pulse Connect Secure 9.0R3 en hogere versies

De kwetsbaarheden waar misbruik van wordt gemaakt

Er wordt misbruik gemaakt van meerdere Pulse Secure VPN kwetsbaarheden (CVE-2019-11510CVE-2020-8260CVE-2020-8243, en CVE-2021-22893). UNC2630 schijnt login credentials geharvest te hebben en gebruikt deze om lateraal te bewegen in kwetsbare omgevingen. Om persistentie te behouden bij gecompromitteerde netwerken, maakt de actor gebruik van legitieme, maar wel aangepaste Pulse Secure binaries en scripts om het uitvoeren van willekeurige code mogelijk te maken en daarnaast het injecteren van web shells, welke de mogelijkheid hebben om bestandsoperaties uit te voeren en het draaien van kwaadaardige code.

Workaround beschikbaar?

Het bedrijf achter Pulse Secure VPN, Ivanti, heeft een tijdelijke workaround uitgebracht om de willekeurige bestanduitvoering kwetsbaarheid CVE-2021-22893 aan te pakken.

Deze workaround werkt niet voor versies 9.0R1 – 9.0R4.1 of 9.1R1-9.1R2, gebruikers van deze versies wordt aangeraden om eerst te upgraden naar een hogere versie. Ook wordt er afgeraden om deze workaround te gebruiken op een licentie server.

Ivanti erkent verder dat de nieuwe kwetsbaarheid op dit moment impact heeft gehad op een beperkt aantal klanten en heeft daarnaast de  Pulse Connect Secure Integrity Tool uitgebracht voor klanten om te controleren of en signalen zijn dat hun omgeving is gecompromitteerd.

Update beschikbaar?

De update is op dit moment nog niet beschikbaar. Er wordt aangeraden om te updaten naar versie 9.1R.11.4 wanneer deze beschikbaar is. De verwachting is dat deze update begin mei 2021 beschikbaar is.

Advies NCSC

Het NCSC adviseert om de Pulse Connect Secure Integrity Tool bij voorkeur dagelijks te gebruiken om te controleren op ongeautoriseerde aanpassingen. Daarnaast adviseert het NCSC om deze tool eerst te draaien voordat de patches worden geïnstalleerd of gebruik wordt gemaakt van de workaround. Indien er door de tool aanpassingen zijn geconstateerd, wordt er geadviseerd om een onderzoek uit te voeren naar sporen of je mogelijke gecompromitteerd bent.

Advies

Er wordt aan iedereen geadviseerd die gebruik maakt van de Pulse Connect Secure gateway om eerst gebruik te maken van de Pulse Connect Secure Integrity Tool om te controleren om ongeautoriseerde aanpassingen. Indien er ongeautoriseerde aanpassingen zijn gevonden dient er onderzoek gedaan te worden of je mogelijke gecompromitteerd bent.

Zijn deze ongeautoriseerde aanpassingen niet gevonden wordt er aangeraden om de workaround te gebruiken, tenzij er nog gebruikt wordt gemaakt van een versie waarbij de workaround niet werkt, dan moet er eerst een upgrade gedaan worden naar een hogere versie.

Daarnaast is het ook belangrijk om bij voorkeur dagelijks de Pulse Connect Secure Integrity Tool te gebruiken om te controleren op ongeautoriseerde aanpassingen.

Installeer de update naar versie 9.1R.11.4, wanneer deze beschikbaar is naar verwachting begin mei 2021.

Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

IcedID trojaans paard wordt verspreid via contactformulieren van websites
FluBot Android banking malware verspreid zich snel door Europa

Gerelateerde berichten

Microsoft

Microsoft Patch Tuesday mei 2021 patcht 55 kwetsbaarheden

21Nails kwetsbaarheden in veel gebruikte Exim-mailservers

FluBot

FluBot Android banking malware verspreid zich snel door Europa

IcedID

IcedID trojaans paard wordt verspreid via contactformulieren van websites

VMware

Kritieke Cloud kwetsbaarheid in VMWare Carbon Black

Apple brengt urgente patch uit voor actief aangevallen zero-day kwetsbaarheid

f5 kwetsbaarheid

Kritieke F5 BIG-IP kwetsbaarheid na PoC actief aangevallen

Mirai

Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices

Een tikkende tijdbom

4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Microsoft

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

twintig + 4 =

Menu