Pulse Secure waarschuwt voor een zeer kritiek en actief aangevallen zerodaylek in de vpn-software van het bedrijf waardoor aanvallers op afstand kwetsbare vpn-servers kunnen overnemen. Een beveiligingsupdate is nog niet voorhanden en volgens Pulse Secure vormt het beveiligingslek een zeer groot risico voor organisaties. De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10.
Pulse Connect Secure gehackt
Onlangs ontdekte Pulse Secure dat bij een 'beperkt aantal klanten' de Pulse Connect Secure (PCS) vpn-server was gecompromitteerd. Bij het grootste deel van de aanvallen waren drie bekende kwetsbaarheden gebruikt, namelijk CVE-2019-11510, CVE-2020-8243 en CVE-2020-8260. Voor deze beveiligingslekken zijn al beveiligingsupdates beschikbaar.
De aanvallers maakten echter ook gebruik van een onbekende kwetsbaarheid die nu als CVE-2021-22893 wordt aangeduid en het mogelijk maakt om op afstand en zonder authenticatie code op kwetsbare servers uit te voeren. Het beveiligingslek is volgens Pulse Secure tegen een 'zeer beperkt aantal klanten' ingezet. Er wordt nu aan een beveiligingsupdate gewerkt die begin mei moet klaar zijn. Tevens is er een workaround gepubliceerd en een tool waarmee klanten kunnen kijken of hun vpn-server is gecompromitteerd.
Modus operandi
Securitybedrijf Mandiant heeft een blogpost over de aanvallen gepubliceerd. Via de kwetsbaarheid stelen de aanvallers inloggegevens van Pulse Secure vpn-servers, waardoor ze via legitieme accounts zich lateraal binnen aangevallen omgevingen kunnen bewegen. Om toegang tot de vpn-server te behouden maken de aanvallers gebruik van aangepaste Pulse Secure-bestanden en scripts op de vpn-server.
Organisaties die van de vpn-software gebruikmaken wordt opgeroepen om de tijdelijke mitigaties wanneer mogelijk door te voeren. Tevens wordt opgeroepen om de Pulse Secure Integrity Assurance tool te draaien. Wanneer blijkt dat de vpn-server gecompromitteerd is moet er contact met Pulse Secure worden opgenomen.
Bron: fireeye.com, pulsesecure.net, security.nl
Tips of verdachte activiteiten gezien? Meld het hier.
Hacking gerelateerde berichten
Duizenden koelkasten van ziekenhuizen en supermarktketens simpel te hacken
Beveiligingsonderzoekers van Safety Detective schrijven op basis van onderzoek dat gemakkelijk valt in te breken in duizenden koelkasten.
Kieskompas.nl gehackt, Cybercriminelen plaatsen linkjes naar malafide streamingsite
Hackers hebben Kieskompas.nl overgenomen. De cybercriminelen hebben volgens de stemhulp geen toegang gehad tot stemdata, maar plaatsten wel honderden linkjes op de website die verwijzen naar een malafide streamingdienst die creditcards leegtrekt.
Dertig maanden cel voor man van 25 jaar, voor hacking, oplichting en sextortion
Een 25 jarige man is maandag (21 jan. 2019) veroordeeld tot een gevangenisstraf van dertig maanden, waarvan tien voorwaardelijk. De man is veroordeeld voor het meermalen plegen van computervredebreuk ofwel hacken, diefstal, oplichting en witwassen. Ook is hij veroordeeld voor het hacken van het Dropbox account van een jonge vrouw en het dreigen een filmpje van haar openbaar te maken tenzij zij daarvoor betaalde. Hij heeft de feiten grotendeels bekend.
Nieuwe truc cybercriminelen Sim-swapping met 06-nummers
Gehackt worden via je telefoonnummer. Het kan, en dit jaar zijn al honderden Nederlanders slachtoffer geworden van deze nieuwe hackmethode 'Sim-swapping' genoemd.
Facebookers slachtoffer van cyberaanval
Facebook heeft een lek gevonden in zijn sociale netwerk waardoor hackers toegang hadden tot persoonlijke informatie van 50 miljoen gebruikers. Het aandeel van de site dook na de bekendmaking van het nieuws 3 procent lager.
Mijn Facebook account is gehackt, wat nu?
Wat kun je doen als je denkt dat je Facebook account gehackt is en hoe kun je controleren of iemand anders toegang heeft tot jouw profiel?