Nowości

Błąd wykonania kodu w Pulse Secure VPN zagraża laggardom na całym świecie

Błąd wykonania kodu w Pulse Secure VPN zagraża laggardom na całym świecie

Organizacje, które jeszcze nie zainstalowały najnowszej wersji Pulse Secure VPN, mają dobry powód, aby zaprzestać ditheringu – luki w zabezpieczeniach wykonywania kodu, która umożliwia atakującym przejęcie kontroli nad sieciami używającymi tego produktu.

Śledzona jako CVE-2020-8218 luka w zabezpieczeniach wymaga, aby osoba atakująca miała uprawnienia administracyjne na komputerze z uruchomioną siecią VPN. Naukowcy z GoSecure, firmy, która odkryła lukę, znaleźli łatwy sposób na pokonanie tej przeszkody: nakłonienie administratora do kliknięcia złośliwego łącza osadzonego w wiadomości e-mail lub innego rodzaju wiadomości.

Sezon phishingowy właśnie się oficjalnie rozpoczął

„Chociaż wymaga uwierzytelnienia” – napisał badacz GoSecure Jean-Frédéric Gauron w poście, odnosząc się do exploita, „fakt, że może zostać wywołany przez prosty atak phishingowy na właściwą ofiarę, powinien stanowić wystarczający dowód, że ta luka w zabezpieczeniach nie należy go ignorować ”.

Chociaż ataki phishingowe są stare, stanowią jedne z najskuteczniejszych sposobów naruszenia ochrony nie tylko konsumentów, ale także organizacji Fortune 500 i rządowych. Stawka jest jeszcze wyższa, biorąc pod uwagę obecny schemat pracy w domu spowodowany pandemią COVID-19.

W zeszłym miesiącu napastnicy przejęli kontrolę nad wewnętrznymi systemami Twittera, wykorzystując szczegółowe dane osobowe pobrane z serwisów społecznościowych w celu nakłonienia zdalnego pracownika do wprowadzenia danych uwierzytelniających na fałszywej stronie. Według KrebsOnSecurity, FBI oraz Agencja ds. Cyberbezpieczeństwa i Infrastruktury ostrzegły niedawno, że podobne ataki miały miejsce w całym kraju.

Sieci VPN, będące skrótem od wirtualnych sieci prywatnych, pozwalają firmom na kryptograficzne uwierzytelnianie pracowników łączących się z siecią i szyfrowanie całej komunikacji. W ciągu ostatnich 18 miesięcy sieci VPN stały się kluczowym punktem wyjścia dla hakerów do przebijania się przez dokładnie chronione granice sieci.

Ulubiony cel

W zeszłym roku napastnicy stojący za ransomware REvil uzyskali dostęp do sieci wymiany walut Travelex, najprawdopodobniej przez jedną lub więcej krytycznych luk w zabezpieczeniach Pulse Secure, które administratorzy pozostawili niezałatane. Włamanie nastąpiło osiem miesięcy po wydaniu łatek i cztery miesiące po ostrzeżeniach, że luka była aktywnie wykorzystywana na maszynach, które nie zostały załatane. Dla Travelex było to kosztowne przeoczenie. Według BBC, napastnicy zażądali 6 milionów dolarów na przywrócenie danych firmy.

Na początku tego roku szereg in-the-wild ataków wykorzystywał luki dnia zerowego w Citrix VPN, dopóki firmie nie udało się je naprawić.

W poście opublikowanym w środę Gauron powiedział, że CVE-2020-8218 to jedna z czterech luk wykrytych w Pulse Secure VPN. Firma zgłosiła je w połowie czerwca, a Pulse Secure wypuściło łatkę cztery tygodnie temu.

Badacz firmy Julien Pineault powiedział w e-mailu, że GoSecure znalazł luki w zabezpieczeniach w imieniu klienta, który chciał sprawdzić, czy jego nowe wdrożenie Pulse Secure VPN jest podatne na jakiekolwiek istniejące ataki. Po znalezieniu błędu polegającego na wstrzykiwaniu poleceń, przestudiowali ten post od badacza Orange Tsai, aby uzyskać wskazówki, jak ominąć środki bezpieczeństwa wprowadzone przez programistów Pulse Secure.

Współpraca z klientem nie pozwoliła GoSecure na faktyczne włamanie się do sieci. Byli jednak w stanie potwierdzić, że taki atak był możliwy w środowisku laboratoryjnym.

Pineault powiedział, że CVE-2020-8218 jest najpoważniejszą z czterech luk znalezionych przez jego firmę. Powiedział, że GoSecure planuje podać szczegółowe informacje na temat innych luk w zabezpieczeniach, gdy Pulse Secure je naprawi.

CVE-2020-8218 został poprawiony w wersji 9.1R8 Pulse Connect. Ze względu na słabe wyniki branży w zakresie łatania w połączeniu z poważnymi konsekwencjami, które mogą z tego wyniknąć, warto sprawdzić ten.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook