Pulse Secure VPNs erhalten ein neues dringendes Update für eine schlecht gepatchte kritische Schwachstelle

  • Pulse Secure hat einen Fix für eine kritische Post-Authentication Remote Code Execution (RCE)-Schwachstelle in seinen Connect Secure Virtual Private Network (VPN)-Appliances ausgeliefert, um einen unvollständigen Patch für eine aktiv ausgenutzte Schwachstelle zu beheben, die es bereits im Oktober 2020 behoben hatte.

    “Die Pulse Connect Secure Appliance leidet unter einer unkontrollierten Archivextraktionsschwachstelle, die es einem Angreifer ermöglicht, beliebige Dateien zu überschreiben, was zu einer Remote Code Execution als root führt”, teilte Richard Warren von der NCC Group am Freitag mit. “Diese Schwachstelle ist eine Umgehung des Patches für CVE-2020-8260.”

    [Blocked Image: https://thehackernews.com/images/-UHcDw0TZuOc/YMt1nZpazaI/AAAAAAAA4Qs/d1jlOI8xheYWIFx_O8QJFzDxJI5tRuD7ACLcBGAsYHQ/s300-e100/free-ad-8-300.png]

    “Ein Angreifer mit einem solchen Zugriff ist in der Lage, alle über die Webanwendung erzwungenen Beschränkungen zu umgehen und das Dateisystem neu zu mounten, was es ihm ermöglicht, eine dauerhafte Hintertür zu erstellen, Anmeldedaten zu extrahieren und zu entschlüsseln, VPN-Clients zu kompromittieren oder in das interne Netzwerk einzudringen”, so Warren weiter.

    Die Enthüllung erfolgt wenige Tage nachdem Ivanti, das Unternehmen hinter Pulse Secure, am 2. August einen Hinweis auf sechs Sicherheitslücken veröffentlicht hat, in dem die Kunden aufgefordert werden, schnellstmöglich auf die Version 9.1R12 von Pulse Connect Secure zu aktualisieren, um sich gegen jegliche Ausnutzungsversuche dieser Schwachstellen zu schützen.

    Die als CVE-2021-22937 (CVSS-Score: 9.1) verfolgte Schwachstelle könnte es einem authentifizierten Administrator ermöglichen, über ein böswillig erstelltes Archiv, das in die Administrator-Weboberfläche hochgeladen wird, eine Datei zu schreiben”, so Pulse Secure. CVE-2020-8260 (CVSS-Kernwert: 7.2), der einen Fehler bei der Ausführung von beliebigem Code durch unkontrollierte gzip-Extraktion betrifft, wurde im Oktober 2020 mit Version 9.1R9 behoben.

    Die Sicherheitslücke ist auf einen Fehler in der Art und Weise zurückzuführen, wie Archivdateien (.TAR) in der Administrator-Webschnittstelle extrahiert werden. Während weitere Prüfungen zur Validierung der TAR-Datei hinzugefügt wurden, um die Ausnutzung von CVE-2020-8260 zu verhindern, ergab eine zusätzliche Varianten- und Patch-Analyse, dass es möglich ist, dieselbe Extraktionsschwachstelle in dem Teil des Quellcodes auszunutzen, der Profiler-Gerätedatenbanken handhabt, wodurch die eingeführten Abhilfemaßnahmen effektiv umgangen werden.

    “Während dieses Problem durch Hinzufügen einer Validierung zu extrahierten Dateien behoben wurde, gilt diese Validierung nicht für Archive vom Typ ‘Profiler'”, so Warren. “Daher kann der Patch umgangen und Code ausgeführt werden, indem der ursprüngliche CVE-2020-8260-Exploit einfach so modifiziert wird, dass der Archivtyp in ‘profiler’ geändert wird.

    [Blocked Image: https://thehackernews.com/images/-azy2o-jUy8I/YLy9OO3scVI/AAAAAAAA4BY/75hsq3eOBOQsJbLGxKzF4tx3ZGV010RVwCLcBGAsYHQ/s728-e100/ransomware_728.jpg]

    Es ist erwähnenswert, dass CVE-2020-8260 eine der vier Schwachstellen in Pulse Secure war, die Anfang April dieses Jahres aktiv von Bedrohungsakteuren ausgenutzt wurde, um eine Reihe von Angriffen auf Verteidigungs-, Regierungs- und Finanzeinrichtungen in den USA und darüber hinaus zu starten, um den Schutz der Multi-Faktor-Authentifizierung zu umgehen und in Unternehmensnetzwerke einzudringen. Angesichts der Möglichkeit einer realen Ausnutzung wird ein Upgrade auf Pulse Connect Secure (PCS) 9.1R12 oder höher dringend empfohlen.

    “Eine strenge Codeüberprüfung ist nur einer der Schritte, die wir unternehmen, um unsere Sicherheit weiter zu verbessern und unsere Kunden zu schützen”, sagte Daniel Spicer, Vice President of Security bei Invanti. “Wir bauen zum Beispiel auch unsere bestehenden internen Ressourcen für die Produktsicherheit weiter aus, um das Tempo und die Intensität der Tests für bestehende Produkte sowie für die Produkte von Unternehmen oder Systemen, die wir in Ivanti integrieren, zu erhöhen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com