Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till Enheten för operativ cybersäkerhetsförmåga, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 19 oktober.

Publicerad - Sårbarhet, Pulse Secure, VPN, RCE

Kritiska sårbarheter i Pulse Secure VPN utnyttjas nu aktivt

Har ni inte uppdaterat sedan 24 april så gör det omgående.

Pulse Secure levererade säkerhetsuppdateringar till sina produkter Pulse Connect Secure (PCS) and Pulse Policy Secure (PPS) den 24 april 2019. Uppdateringarna åtgärdade flera kritiska eller allvarliga sårbarheter [1].

Efter att säkerhetsforskare föredragit [2] sina fynd vid konferensen Black Hat den 7 augusti så har skanningar av liknande SSL-baserade VPN-lösningar tagit fart [3] och sårbarheterna utnyttjas nu aktivt. Exempelkod för utnyttjande finns fritt tillgänglig. Kombinerat utnyttjande av filåtkomst utan autentisering (CVE-2019-11510) för att läsa lösenordsfilen och privata nycklar plus kommandoinjektion (CVE-2019-11539) kan leda till fjärrexekvering av kod enligt säkerhetsforskarna [4][5].

Sårbarheterna består i godtycklig filåtkomst utan autentisering, stacköverfyllning, kommandoinjektion, sessionskapning med mera och upptäcktes av säkerhetsforskarna som uppmärksammade Pulse Secure på bristerna den 22 mars i år. En påminnelse om att uppdatera skickades den 26 juni ut till kunderna av Pulse Secure. Deras VPN-produkter är ofta använda av större företag och myndigheter samt IT-tjänsteleverantörer.

Sårbara versioner

För respektive produktversion är releaser tidigare än nedan sårbara. 

Connect 9.0R3.4 
Connect 8.3R7.1 
Connect 8.2R12.1
Connect 8.1R15.1
Policy 9.0R3.2 
Policy 5.4R7.1
Policy 5.3R12.1
Policy 5.2R12.1
Policy 5.1R15.1

Uppdateringar finns hos tillverkaren [6].

Rekommendationer

Såväl Pulse Secure som CERT-SE rekommenderar starkt att omedelbart uppdatera era system.
Vi rekommenderar också att ni efter uppdateringen byter lösenord till användar- och administratörskonton.
Dito gäller för lösenord till LDAP, RADIUS, AD med mera som lagras i VPN-produkten.

Eftersom sannolikheten är stor att ett intrång redan har skett i icke uppdaterade produkter rekommenderas systemadministratörer att söka efter spår av intrång i sina system och nätverk. Detta kan till exempel ske med logganalys.

Generellt rekommenderar CERT-SE alltid att använda flerfaktorsautentisering där det är möjligt.
I detta fall rekommenderar säkerhetsforskarna också autentisering till VPN med klientcertifikat, fullständig loggning och att prenumerera på tillverkarens säkerhetsmeddelanden.

Jonas Lejon har skrivit en lista med övriga goda rekommendationer under rubriken Åtgärder i en informativ artikel om SSL-VPN [7].

Källor

[1] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101
[2] https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf
[3] https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/
[4] https://duo.com/decipher/attackers-targeting-vulnerability-in-pulse-secure-vpn
[5] https://www.securityweek.com/enterprise-vpn-vulnerabilities-expose-organizations-hacking-espionage
[6] https://my.pulsesecure.net/
[7] https://kryptera.se/attacker-mot-ssl-vpns/