Gepatchte Sicherheitslücken in Pulse Secure VPN werden weiterhin ausgenutzt

 

Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine dringende Warnung ausgegeben. Laut Erkenntnissen der US-amerikanischen Behörde sind Hacker weiterhin in der Lage, eine bekannte Schwachstelle in einer beliebten VPN-Anwendung auszunutzen, und das obwohl der Hersteller die Lücke angeblich bereits vor einem Jahr schloss.

Die meisten Nutzer von Pulse Secure VPN haben den im April 2019 veröffentlichten Patch installiert. Doch tausende von Servern sind weiterhin anfällig für Angriffe über diese Schwachstelle, da viele Unternehmen den Patch zwar installiert haben, aber versäumt haben, ihre Zugangsdaten zu ändern.

„CISA gibt diese Warnung aus, um Administratoren darauf aufmerksam zu machen, dass Hacker, die in der Vergangenheit über die Schwachstelle CVE-2019-11510 Zugangsdaten eines Unternehmens abgegriffen haben, auch weiterhin in der Lage sind, auf das Netzwerk dieses Unternehmens zuzugreifen und dort laterale Bewegungen auszuführen, sofern das Unternehmen die gestohlenen Zugangsdaten nicht geändert hat“, heißt es in der Warnung der Behörde.

über die Schwachstelle CVE-2019-1150 kann ein nicht authentisierter Angreifer mithilfe eines speziell vorbereiteten URI aus der Ferne beliebige Lesevorgänge starten. Die betroffenen Versionen sind Pulse Connect Secure (PCS) 8.2 vor 8.2R12.1, 8.3 vor 8.3R7.1 und 9.0 vor 9.0R3.4.

Berichten zufolge haben Angreifer diese Sicherheitslücke bereits dazu ausgenutzt, sich Zugriff zu Kernsystemen von Unternehmen zu verschaffen, dort Malware zu installieren und laterale Bewegungen auszuführen.

Die CISA stellt jetzt neue Erkennungsmechanismen für diese Art von Angriffen zur Verfügung, darunter ein Tool zur Identifizierung von Angriffsindikatoren (IOC), die auf ein Ausnutzen der Schwachstelle hindeuten. Für Unternehmen, die bereits Opfer solcher Angriffe waren, werden auch Abhilfemaßnahmen angeboten.

„CISA empfiehlt Netzwerkadministratoren, der Auswirkungen von Angriffen über CVE-2019-11510 gewahr zu bleiben und die in diesem Bericht empfohlenen Präventions- und Abhilfemaßnahmen umzusetzen, um ihr Netzwerk zu schützen“, so die Meldung weiter.

rn