Actief misbruikte kwetsbaarheid verholpen in Pulse Connect Secure
Deze pagina gebruikt slimmigheden om officiële advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
| Publicatie | Kans | Schade | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Versie 1.03 | 03-05-2021 | NCSC-2021-0345 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 03-05-2021 |
high
|
high
|
NCSC-2021-0345 [1.03] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Kenmerken |
|
||||||||||||||||||||||||||||||||||||
| Omschrijving |
Er zijn kwetsbaarheden verholpen in Pulse Connect Secure. De kwetsbaarheden stellen een ongeauthenticeerde kwaadwillende op afstand in staat om authenticatie te omzeilen en willekeurige code uit te voeren op het Pulse Connect Secure-systeem. De kwetsbaarheid met CVE-kernmerk CVE-2021-22893 heeft een CVSS3.1-score van 10. Pulse Secure geeft aan dat de kwetsbaarheden op beperkte schaal actief wordt misbruikt in combinatie met CVE-2019-11510, CVE-2020-8243 en CVE-2020-8260. Zie ook [Link] Het NCSC heeft in advisories met kenmerk NCSC-2019-0353, NCSC-2020-0760 en NCSC-2020-0874 reeds aandacht besteed aan deze eerdere kwetsbaarheden. Door FireEye Indicators of Compromise (IoC's) gedeeld. Voor meer informatie over deze IoC's alsmede de wijze waarop de kwetsbaarheden worden misbruikt, zie [Link] |
||||||||||||||||||||||||||||||||||||
| Bereik |
|
||||||||||||||||||||||||||||||||||||
| Oplossingen |
Pulse Secure heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen. Wanneer u eerder de mitigerende maatregelen heeft toegepast middels het XML workaround bestand dient u deze eerst ongedaan te maken alvorens deze update toe te passen. Zorgt u ervoor dat gedurende de periode van het ongedaan maken van de mitigerende maatregelen en het toepassen van de update, de dienst afgekoppeld is van niet vertrouwede netwerken om alsnog misbruik te voorkomen. Voor meer informatie over de update en eerder gepubliceerde mitigerende maatregelen, zie [Link] Pulse Secure heeft tevens een tool beschikbaar gesteld waarmee de integriteit van bestanden op de Pulse Connect Secure-server kan worden gecontroleerd. Het wordt met klem geadviseerd om deze tool te gebruiken alvorens de updates toe te passen. Gelet op het belang van een VPN server is het aan te raden om periodiek de integriteit van uw Pulse Connect Secure instanties te controleren middels deze tool. Daarnaast roept Pulse Secure klanten op om de wachtwoorden van gebruikers te resetten wanneer misbruik is geconstateerd. [Link] |
||||||||||||||||||||||||||||||||||||
| CVE’s |
CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900 |
||||||||||||||||||||||||||||||||||||
| Kans |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.
|
||||||||||||||||||||||||||||||||||||
| Schade |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.
|
||||||||||||||||||||||||||||||||||||
| Versie 1.03 | 03-05-2021 | NCSC-2021-0345 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 03-05-2021 |
high
|
high
|
NCSC-2021-0345 [1.03] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Pulse Secure heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Tevens voegt deze update drie extra CVE-kenmerken toe: CVE-2021-22894, CVE-2021-22899, CVE-2021-22900, alsmede een nieuwe vorm van schade: "Manipulatie van gegevens". |
||||||||||||||||||||||||||||||||||||
| Versie 1.02 | 21-04-2021 | NCSC-2021-0345 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 21-04-2021 |
high
|
high
|
NCSC-2021-0345 [1.02] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Deze update voegt het "Pulse Secure Appliance (PSA)" product toe aan dit beveiligingsadvies. Tevens is bij "Mogelijke oplossingen" toegevoegd dat het advies voor het dagelijks draaien van de Integrity Tool is gebaseerd op de momenteel onbekende effectiviteit van de gepubliceerde mitigerende maatregelen. |
||||||||||||||||||||||||||||||||||||
| Versie 1.01 | 20-04-2021 | NCSC-2021-0345 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 20-04-2021 |
high
|
high
|
NCSC-2021-0345 [1.01] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
De Pulse Connect Secure Integrity Tool kan worden gebruikt om te bepalen of op uw Pulse Connect Secure-appliance misbruik is gemaakt van de in deze advisory beschreven kwetsbaarheden. Het dringende advies luidt om deze tool te gebruiken alvorens andere (mitigerende) maatregelen te treffen. Daarnaast wordt aanbevolen om de tool periodiek, bij voorkeur ten minste dagelijks, opnieuw uit te voeren. Houdt er bij het uitvoeren van de tool rekening mee dat het Pulse Connect Secure-systeem opnieuw wordt opgestart. |
||||||||||||||||||||||||||||||||||||
| Versie 1.00 | 20-04-2021 | NCSC-2021-0345 | |||||||||||||||||||||||||||||||||||
|
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 20-04-2021 |
high
|
high
|
NCSC-2021-0345 [1.00] | Signed-PGP → | |||||||||||||||||||||||||||||||||
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.