21 april, 2021

Kritisk sårbarhet i Pulse Secure

En sårbarhet med högsta allvarlighetsgraden är upptäckt i Pulse Connect Secures programvara, som många företag använder i sina VPN-lösningar. Här är vad vi vet om bristen hittills.

Igår, den 20:e april, publicerade Pulse Secure en bloggpost där de tillkännagav en ny brist (CVE-2021-22893) funnen i Pulse Connect Secure (PCS)-applikationen. De fick informationen av Mandiant, ett amerikanskt cybersäkerhetsföretag. Mandiant noterar att ett antal organisationer, däribland det amerikanska försvaret, amerikanska regeringen och ospecificerade finansiella organisationer blev attackerade genom denna nyfunna brist i början av 2021. Utöver det noteras det även att en serie äldre brister från 2019 och 2020 har använts som del av dessa attacker.

Pulse Secure har för tillfället släppt en temporär så kallad “workaround” till deras senaste version av applikationen medan de arbetar på en patch. De tillhandahåller även ett verktyg kallat “The Pulse Security Integrity Checker Tool”, som kan ge insikt i om miljöer riskerar att utsättas för den här attacken.

Exakta tekniska detaljer är fortfarande bristfälliga då de vill undvika ytterligare attacker, men bristen har givits en CVSS-gradering på 10.0, vilket är den högsta på skalan.

Bristbeskrivning

Bristen berör Pulse Connect Secure (PCS) 9.0R3 och senare versioner. Sårbarheten tillåter en oautentiserad angripare att ta kontroll över servrar som agerar gateway för VPN-lösningen. En VPN-gateway utgörs ofta av en publikt exponerad server som används för att autentisera externa användare och ge dessa åtkomst till resurser på ett internt nätverk. Att en VPN-gateway ofta är nåbar över internet utan restriktioner, i kombination med att sårbarheten inte kräver någon autentisering, har gjort att bristen har tilldelats sin höga allvarlighetsgrad. 

Med hjälp av sårbarheten kan en angripare tillskansa sig användarnamn och lösenord för användare i det interna nätverket, för att därigenom ta över deras användarkonton. Dessa konton kan i sin tur utnyttjas för få tillgång till känslig information eller som ett första steg till fördjupade attacker mot resurser på det interna nätverket. 

Hur vet jag om jag är drabbad?

Genom att köra verktyget Pulse Secure Integrity Assurance kan anomalier i VPN-mjukvaran detekteras, vilket indikerar kompromettering av din installation av Pulse Connect Secure. En annan indikator är förekomsten av exekverbara filer som ger en angripare fjärråtkomst till en sårbar VPN-gateway. Dessa skadliga filer är åtkomliga för angriparen genom det administrativa webbgränssnittet för PCS, och tillhandahåller fjärråtkomst till den komprometterade servern och kallas för “webbskal”. 

FireEye har sammanställt olika kännetecken på angrepp i en artikel här.

Enligt artikeln har det upptäckts två typer av webbskal som går under namnen “RADIALPULSE” samt “PULSECHECK. Hittar du dessa filer lagrade på din Pulse Connect Secure gateway har du blivit utsatt för ett angrepp.

RADIALPULSE är ett Perl-script som används av en angripare för att spara användaruppgifter, såsom användarnamn och lösenord till följande fil: /tmp/dsstartssh.statementcounters. Detta script har filsignaturen:

SHA256:d72daafedf41d484f7f9816f7f076a9249a6808f1899649b7daa22c0447bb37b

PULSECHECK har filnamnet secid_canceltoken.cgi och är också ett Perl-script som används för fjärrstyrning av en VPN-gateway. Detta script har filsignaturen:

SHA256:a1dcdf62aafc36dd8cf64774dea80d79fb4e24ba2a82adf4d944d9186acd1cc1 

Den skadliga koden exekveras om scriptet tar emot ett specifikt HTTP-anrop mot en URL innehållandes filnamnet. Anropet har följande kännetecken:

  • HTTP request method är POST
  • HTTP header HTTP_X_KEY förekommer
  • HTTP header HTTP_X_CMD förekommer
  • HTTP header HTTP_X_CNT förekommer

HTTP-headern HTTP_X_KEY är en nyckel som måste överensstämma med scriptets nyckel. Om så är fallet så kommer kommandot i headern HTTP_X_CMD att exekveras. Detta kommando är krypterat med algoritmen RC4 och sedan kodat med Base64. Nyckeln för att scriptet ska kunna dekryptera kommandot skickas i headern HTTP_X_CNT. Vid ett lyckat anrop visas därefter output för angriparen.

För ytterligare detaljer och kännetecken på angrepp hänvisar vi till artikeln från FireEye.

Rekommenderade säkerhetsåtgärder

Vi rekommenderar att de som använder Pulse Connect Secure uppdaterar sin mjukvara till senaste tillgängliga versionen för att åtgärda andra äldre brister, som även de har utnyttjats som del av den här attacken. Den senaste tillgängliga versionen (9.0R3) innehåller dock fortfarande säkerhetshål.

Pulse Secure noterar att de kommer att släppa en patch för att korrigera denna brist i början av maj. Tills dess har de en tillgänglig workaround som kan användas i samband med den senaste versionen för att undvika samtliga kända brister. 

Denna workaround har getts ut i form utav en XML-fil som ska importeras för att svartlista tillgång till den sårbara funktionaliteten. XML-filen finns tillgänglig via Pulse Secures Download Center. Detaljerade instruktioner kring installation och användning finns att hitta under ”Workaround”.

I samma advisory har de även noterat de URL:erna som används för attacken, så att de kan blockeras mot extern tillgång. De matchar följande regular expressions;

^/+dana/+meeting

^/+dana/+fb/+smb

^/+dana-cached/+fb/+smb

^/+dana-ws/+namedusers

^/+dana-ws/+metric

Tillhör du ett av de drabbade företagen?  

Är du, eller misstänker du att du är drabbad av sårbarheten i Pulse Connect Secure? Våra tekniska experter har erfarenhet av att vägleda företag genom situationer som dessa, och kan hjälpa dig att reda ut läget.  

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

Ta kontroll över din säkerhet

Boka kostnadsfri rådgivning

I samråd med dig pratar vi om din organisations säkerhetsutmaningar och diskuterar hur vi på Sentor kan hjälpa dig att uppnå dina mål. Om du hellre vill bli kontaktad, ange dina uppgifter i kontaktformuläret.