Pulse Secure fixer VPN 0-dagssårbarhed

Aktivt udnyttet 0-dagssårbarhed endelig rettet.

Pulse Secure har rettet en 0-dagssårbarhed i deres Pulse Connect Secure (PCS) SSL VPN produkt, der aktivt udnyttes til at kompromittere det interne netværk af forsvarsfirmaer og regeringsenheder. Det skriver Security Affairs m.fl.

I sidste uge afslørede cybersikkerhedsfirmaet FireEye, at trusselaktører aktivt udnyttede 0-dags­sårbarheden, nummereret CVE-2021-22893, til at distribuere malware på Pulse Secure enheder. Dette gør det muligt at stjæle legitimationsoplysninger og give bagdørsadgang til kompromitterede netværk.

US Cybersecurity and Infrastructure Security Agency (CISA) udstedte derefter et nøddirektiv, der pålagde føderale agenturer at lukke for sårbarheden inden for to dage ved at deaktivere funktionerne i Windows File Share Browser og Pulse Secure Collaboration. Pulse Secure har ligeledes frigivet Pulse Connect Secure Integrity Tool der kan bruges til at kontrollere, om hackere har ændret filer på  Pulse Secure-installationer.

Sikkerhedsopdatering frigivet til CVE-2021-22893

Pulse Secure har frigivet en sikkerhedsopdatering til CVE-2021-22893 og anbefaler alle brugere straks at installere opdateringen. Organisationer, der kører Pulse Connect Secure 9.0RX & 9.1RX, skal straks opdatere til Pulse Connect Secure 9.1R11.4, hvilket fjerner sårbarheden.

Før installation af opdateringen tilrådes det, at man kører Pulse Secure Integrity Tool for at afgøre om ens enheder er kompromitterede, så man kan reagere i overensstemmelse hermed.

Pulse Secure advarer også om, at hvis man opgraderer Pulse Connect versioner før 9.1R8.x, kan man støde på problemer i browserens VPN-klient på grund af et udløbet certifikat.

Pulse Secure udgav i sidste måned en vejledning med instruktioner om, hvordan dette problem kan løses.

Links:

https://www.bleepingcomputer.com/news/security/pulse-secure-fixes-vpn-zero-day-used-to-hack-high-value-targets/

https://securityaffairs.co/wordpress/117484/hacking/pulse-connect-secure-zeroday.html

https://www.securityweek.com/pulse-secure-ships-belated-fix-vpn-zero-day