Die Security-Firma Mandiant berichtet von Angriffen auf Firmen, die SSL-VPN-Appliances Pulse Connect Secure einsetzen. Die Angreifer nutzen unter anderem eine bislang unbekannte Sicherheitslücke aus. Der Hersteller Pulse Secure hat ein Security-Advisory mit Workarounds veröffentlicht und stellt baldige Updates in Aussicht, die die Lücke schließen sollen.
Pulse Secure spricht von einem "Authentication Bybass" – also der Möglichkeit an der Anmeldung vorbei auf die Geräte zuzugreifen und Code auszuführen. Folgerichtig stuft der Hersteller die Lücke CVE-2021-22893 in der höchstmöglichen Stufe "kritisch" ein (CVSS 10/10). Einen Patch beziehungsweise eine fehlerbereinigte Version der Firmware gibt es noch nicht.
Workaround verfügbar
Stattdessen beschreibt Pulse Secure einen Workaround, der die betroffenen Pulse Connect Secure Appliances temporär absichern soll. Das deaktiviert den Windows File Share Browser und Pulse Secure Collaboration. Darüber hinaus soll ein Blacklisting bestimmte für die Angriffe genutzte URLs sperren. Mit einem speziellen Tool namens Pulse Connect Secure Integrity Assurance sollen Kunden auch überprüfen können, ob ihre VPN-Appliance bereits kompromittiert wurde.
Die Lücke wird bereits aktiv ausgenutzt. Mandiant berichtet von mindestens zwei verschiedenen Gruppen namens UNC2630 und UNC2717, die darüber 12 verschiedene Schadprogramme installieren. Dabei handelt es sich unter anderem um Backdoors in Form von Webshells. Die Opfer finden sich vor allem im militärisch-industriellen Komplex der USA (Mandiant spricht von U.S. Defense Industrial base); aber auch europäische Organisationen seien betroffen.
Notwendiger Check
Der Vorfall erinnert in gewisser Hinsicht an die Sicherheitslücken in Citrix VPNs (#Shitrix). Auch da wurde eine Zero-Day-Lücke ausgenutzt, bevor es Patches gab und es gelang den Angreifern, Hintertüren zu installieren. Wurden diese beim Einspielen der Patches nicht entdeckt, gab es später ein böses Erwachen. So kämpfte die Uniklinik Düsseldorf über Monate hinweg mit einem Erpressungstrojaner. Admins sollten also nicht nur ihre Pulse Connect Secure Appliances zügig abdichten, sondern auch nach unerwünschten Hinterlassenschaften möglicher Angreifer suchen.
Siehe dazu auch:
- SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893 Security-Advisory von Pulse Secure
- Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day Blog-Beitrag von Mandiant u.a. mit relevanten IoCs
- KB44755 - Pulse Connect Secure (PCS) Integrity Assurance Tool zum Testen von PCS-Appliances