CVE-2021-22893 is geclassificeerd als een kritieke zero-day in Pulse Secure VPN-apparaten, en het is uitgebuit door hackers van de nationale staten bij aanvallen op de Amerikaanse verdediging, financiën, en regeringsdoelstellingen. Ook zijn er aanvallen op Europese doelen geconstateerd, volgens een Pulse Secure-advies.
CVE-2021-22893 Technisch overzicht
De zero-day staat toe uitvoering aanvallen externe code met toegang op beheerdersniveau tot kwetsbare apparaten. De kwetsbaarheid wordt begin mei aangepakt, en tot dan, betrokken partijen kunnen de Pulse Connect Secure Integrity Tool om ervoor te zorgen dat hun systemen veilig zijn. De tool is gemaakt met de hulp van Ivanti, Het moederbedrijf van Pulse Secure.
Het door de onderzoekers uitgevoerde onderzoek bracht vier kwetsbaarheden aan het licht die aanvallers proberen te misbruiken. Drie van hen waren gefixeerd 2019 en 2020. Gelukkig, de nieuwe zero-day heeft gevolgen voor een klein aantal klanten. Niettemin, het probleem is kritiek, met een score 10 van 10 volgens de CVSS-schaal. Wat de kwetsbaarheid echt gevaarlijk maakt, is het feit dat er misbruik van kan worden gemaakt zonder tussenkomst van de gebruiker.
Voordat de patch arriveert, gebruikers kunnen de beschikbare oplossingen proberen, waarbij een bestand met de naam "Workaround-2104.xml" moet worden geïmporteerd,”Waaruit kan worden gehaald de officiële adviesorgaan. Het bestand schakelt de Windows File Share Browser en Pulse Secure Collaboration-functies op het kwetsbare apparaat uit.
Een andere beperkende optie is het gebruik van de blacklisting-functie om URL-gebaseerde aanvallen uit te schakelen door deze URI's te blokkeren:
^ / + dana / + vergadering
^ / + dana / + fb / + smb
^ / + dana-cached / + fb / + smb
^ / + dana-ws / + namedusers
^ / + dana-ws / + statistiek
'Mandiant volgt momenteel 12 malwarefamilies die verband houden met de exploitatie van Pulse Secure VPN-apparaten. Deze families hebben te maken met het omzeilen van authenticatie en achterdeurtoegang tot deze apparaten, maar ze zijn niet noodzakelijkerwijs aan elkaar gerelateerd en zijn in afzonderlijke onderzoeken waargenomen. Het is waarschijnlijk dat meerdere actoren verantwoordelijk zijn voor het creëren en inzetten van deze verschillende codefamilies,”Mandiant onderzoek onthuld.
Mandiant, Ivanti, Pulse veilig, Microsoft Threat Intelligence Center, en de overheid en wetshandhavingsinstanties blijven de CVE-2021-22893-dreiging onderzoeken om maatregelen te ontwikkelen voor de getroffen eigenaren van Pulse Secure VPN-apparaten.
Eerdere aanvallen waarbij misbruik werd gemaakt van VPN-fouten om toegang te krijgen tot overheidsnetwerken
Dit is niet het eerste geval van bedreigingsactoren die VPN en andere tekortkomingen misbruiken om verschillende netwerken te doorbreken. In oktober vorig jaar, we meldden aanvallen die VPN- en Windows-kwetsbaarheden combineren dat gaf toegang tot de staat, lokaal, tribaal, en territoriale overheidsnetwerken.
Twee specifieke beveiligingsfouten waren aan elkaar geketend - CVE-2018-13379 en CVE-2020-1472. De eerste kwetsbaarheid bevindt zich in de Fortinet FortiOS Secure Socker Layer (SSL) VPN. De applicatie is een on-premise VPN-server die dient als een veilige gateway voor toegang tot bedrijfsnetwerken vanaf externe locaties. Het is een kwetsbaarheid voor het doorlopen van paden in de FortiOS SSL VPN-webportal waardoor niet-geverifieerde aanvallers bestanden kunnen downloaden via speciaal vervaardigde HTTP-bronverzoeken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: