Pulse Secure waarschuwt voor een zeer kritiek en actief aangevallen zerodaylek in de vpn-software van het bedrijf waardoor aanvallers op afstand kwetsbare vpn-servers kunnen overnemen. Een beveiligingsupdate is nog niet voorhanden en volgens Pulse Secure vormt het beveiligingslek een zeer groot risico voor organisaties. De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10.
Pulse Connect Secure gehackt
Onlangs ontdekte Pulse Secure dat bij een 'beperkt aantal klanten' de Pulse Connect Secure (PCS) vpn-server was gecompromitteerd. Bij het grootste deel van de aanvallen waren drie bekende kwetsbaarheden gebruikt, namelijk CVE-2019-11510, CVE-2020-8243 en CVE-2020-8260. Voor deze beveiligingslekken zijn al beveiligingsupdates beschikbaar.
De aanvallers maakten echter ook gebruik van een onbekende kwetsbaarheid die nu als CVE-2021-22893 wordt aangeduid en het mogelijk maakt om op afstand en zonder authenticatie code op kwetsbare servers uit te voeren. Het beveiligingslek is volgens Pulse Secure tegen een 'zeer beperkt aantal klanten' ingezet. Er wordt nu aan een beveiligingsupdate gewerkt die begin mei moet klaar zijn. Tevens is er een workaround gepubliceerd en een tool waarmee klanten kunnen kijken of hun vpn-server is gecompromitteerd.
Modus operandi
Securitybedrijf Mandiant heeft een blogpost over de aanvallen gepubliceerd. Via de kwetsbaarheid stelen de aanvallers inloggegevens van Pulse Secure vpn-servers, waardoor ze via legitieme accounts zich lateraal binnen aangevallen omgevingen kunnen bewegen. Om toegang tot de vpn-server te behouden maken de aanvallers gebruik van aangepaste Pulse Secure-bestanden en scripts op de vpn-server.
Organisaties die van de vpn-software gebruikmaken wordt opgeroepen om de tijdelijke mitigaties wanneer mogelijk door te voeren. Tevens wordt opgeroepen om de Pulse Secure Integrity Assurance tool te draaien. Wanneer blijkt dat de vpn-server gecompromitteerd is moet er contact met Pulse Secure worden opgenomen.
Bron: fireeye.com, pulsesecure.net, security.nl
Tips of verdachte activiteiten gezien? Meld het hier.
Hacking gerelateerde berichten
"Door illegaal te knoeien heeft de verdachte de veiligheid en gezondheid van de gemeenschap in gevaar gebracht"
Het Amerikaanse ministerie van Justitie verdenkt een 22-jarige man uit Kansas voor het saboteren van een publieke drinkwatervoorziening. Door het computernetwerk van het drinkwaterbedrijf binnen te dringen, bracht hij de veiligheid en gezondheid van de gemeenschap in gevaar. Als hij schuldig wordt bevonden, kan hij tot twintig jaar gevangenisstraf krijgen.
Hackers plaatsten achterdeur in 'Hypertext Preprocessor' (PHP)
Hackers zijn erin geslaagd om een backdoor te plaatsen in de officiële Git-repository van programmeertaal PHP. Ze voerden twee commando’s in die zich voordeden als kleine aanpassingen. In werkelijkheid konden ze door deze wijzigingen een 'remote code execution' uitvoeren. Daarmee is het mogelijk om websites die op PHP draaien aan te vallen. Het lek werd op tijd ontdekt en gedicht, zodat er geen websites die op PHP-draaien de dupe zijn van de backdoor.
Politie slaagt opnieuw erin om aanbieder van cryptografische versleuteldienst te kraken
De politie is opnieuw erin geslaagd om een aanbieder van een cryptografische versleuteldienst te kraken. Ditmaal gaat het om 'Sky ECC'. Naast Belgische opsporings- en handhavingsdiensten zouden ook Nederlandse overheidsinstanties betrokken zijn geweest bij het kraken van de dienst.
Noodinstructies afgegeven voor meerdere kritieke kwetsbaarheden in Microsoft Exchange!
Het 'Cybersecurity and Infrastructure Security Agency' (CISA) van het Amerikaanse ministerie van 'Homeland Security' heeft noodinstructies afgegeven voor meerdere kritieke kwetsbaarheden in Microsoft Exchange. Federale overheidsinstanties in de VS moeten de instructies voor morgenmiddag hebben uitgevoerd.
Niet alle 'Virtual Private Networks' zijn veilig
De persoonsgegevens van 21 miljoen gebruikers van SuperVPN, GeckoVPN en ChatVPN zijn buitgemaakt door een hacker. Hij biedt hun gegevens te koop aan op een populair forum voor hackers. Een klein deel van de gestolen gegevens was al opgenomen in de database van Have I Been Pwned.
"Credential stuffing zal een bedreiging vormen zolang we van gebruikers eisen dat ze zich online bij accounts aanmelden"
Het aantal jaarlijkse incidenten met inloggegevens is tussen 2016 en 2020 bijna verdubbeld. In dezelfde periode daalde echter de totale hoeveelheid aan gelekte data met 46 procent. Dit blijkt uit het nieuwste Credential Stuffing Report van 'F5'. De gemiddelde omvang van een datalek is ook afgenomen, van 63 miljoen records in 2016 tot 17 miljoen vorig jaar.