Remote Code Execution: Angriffe auf VPN-Geräte von Pulse Secure

Produkte von Pulse Secure sind von einer kritischen Sicherheitslücke betroffen, für die es keinen Patch gibt. Angriffe finden bereits statt.

Artikel veröffentlicht am ,
Code ausführen übers Netzwerk: Geräte von Pulse Secure sind für eine extrem kritische Sicherheitslücke anfällig.
Code ausführen übers Netzwerk: Geräte von Pulse Secure sind für eine extrem kritische Sicherheitslücke anfällig. (Bild: Disk Depot Ltd./Wikimedia Commons/CC-BY-SA 4.0)

Die zu Fireeye gehörende Firma Mandiant berichtet über zahlreiche Angriffe auf Behörden und Firmen über Sicherheitslücken in VPN-Produkten der Firma Pulse Secure. Dabei wurde auch eine bisher unbekannte Zero-Day-Sicherheitslücke entdeckt, mit der ein Angreifer Code auf den VPN-Geräten aus der Produktreihe Pulse Connect Secure ausführen kann.

Stellenmarkt
  1. Risikomanager (m/w/d) Schwerpunkt operationelle Risiken
    Hannover Rück SE, Hannover
  2. Product Owner (w/m/d) Process Modelling and Process Mining
    Wacker Chemie AG, München
Detailsuche

Mandiant hat insgesamt zwölf verschiedene Malware-Familien bei betroffenen Nutzern gefunden. Der Bericht geht davon aus, dass hinter den Angriffen chinesische Gruppen stecken. In der Beschreibung von Mandiant werden Hashsummen von Dateien und Dateipfade genannt, mit deren Hilfe betroffene Administratoren ihre möglicherweise kompromittierten Geräte untersuchen können.

Die gefundene Sicherheitslücke wird unter der Kennung CVE-2021-22893 geführt. Von Pulse Secure gibt es bislang kein Update der Gerätefirmware, allerdings wird ein Workaround bereitgestellt.

Betroffene Nutzer müssen vorerst Workaround importieren

Technische Details gibt es zu der Lücke bislang kaum. Aus der Ankündigung von Pulse Secure geht allerdings hervor, dass durch den Workaround der Windows File Share Browser und die Funktion Pulse Secure Collaboration deaktiviert werden. Außerdem werden bestimmte URLs blockiert.

Golem Karrierewelt
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    12./13.12.2022, virtuell
  2. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    18./19.01.2023, Virtuell
Weitere IT-Trainings

Betroffene Nutzer können den Workaround über ein Kundeninterface von Pulse Secure herunterladen. Die Konfigurationsänderungen werden als XML-Datei bereitgestellt und können über das Interface der Geräte importiert werden. Angesichts des Berichts von Mandiant sollten Nutzer aber davon ausgehen, dass sie bereits kompromittiert sein können.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

In vielen Aspekten erinnert der Vorfall an die Sicherheitslücke Shitrix, die im vergangenen Frühjahr für Aufsehen sorgte. Auch da gab es lange Zeit keinen Patch und nur einen Workaround, selbst nachdem bereits Exploits öffentlich zirkulierten. Die Netze vieler Institutionen und Firmen wurden damals über diese Lücke kompromittiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bayern
Arbeitszeit von mehr als 10 Stunden am Tag gefordert

Die bayerische Arbeitsministerin plädiert für mehr Flexibilität am Arbeitsplatz und will mehr als zehn Stunden Arbeit pro Tag erlauben.

Bayern: Arbeitszeit von mehr als 10 Stunden am Tag gefordert
Artikel
  1. 1.000 kWh: Elektrischer Autotransporter von Designwerk und Kässbohrer
    1.000 kWh
    Elektrischer Autotransporter von Designwerk und Kässbohrer

    Designwerk liefert in Kooperation mit Kässbohrer ab 2023 einen Autotransporter mit Elektroantrieb für den internationalen Markt aus.

  2. El-Ali-Meteorit: Forscher entdecken zwei neue Minerale in einem Meteoriten
    El-Ali-Meteorit
    Forscher entdecken zwei neue Minerale in einem Meteoriten

    In einer Probe aus einem in Somalia niedergegangenen Meteoriten wurden zwei Mineralien entdeckt, die auf der Erde so bisher nicht gefunden wurden.

  3. Recruiting: Personalauswahl mit KI kann Unternehmen schaden
    Recruiting
    Personalauswahl mit KI kann Unternehmen schaden

    Software ist objektiv und kennt keine Vorurteile, das macht Künstliche Intelligenz interessant für die Personalauswahl. Ist KI also besser als Personaler? Die Bewerber sind skeptisch und die Wissenschaft liefert keinen Beweis dafür.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /