Hacker nutzen Zero-Day-Lücke bei Pulse Secure aus

21. April 2021, 11:31
image

Unternehmen und Behörden in den USA aber auch Europa werden über Schwachstellen in den Pulse Connect Secure VPN Appliances angegriffen.

Pulse Secure warnt vor einer Zero-Day-Schwachstelle in der Pulse Connect Secure (PCS) SSL-VPN-Appliance, die aktiv ausgenutzt wird. Einen Patch gibt es noch nicht.
Um die Schwachstelle zu entschärfen, rät der Anbieter den Kunden mit Gateways, auf denen PCS 9.0R3 und höher läuft, ein Upgrade der Server-Software auf die Version 9.1R.11.4 durchzuführen. Die Schwachstelle CVE-2021-22893 wird mit einem maximalen Schweregrad (10/10) beurteilt.
Die Schwachstelle werde ausgenutzt, um in die Systeme "einer sehr begrenzten Anzahl von Kunden" einzubrechen, schreibt der IT-Anbieter und Pulse-Secure-Besitzer Ivanti. 
Von den Angriffen betroffen sind "US-Behörden, kritische Infrastrukturen und andere Organisationen des privaten Sektors", schreibt die amerikanische IT-Sicherheitsbehörde CISA. Einer oder mehrere Bedrohungsakteure hätten im Juni 2020 oder früher damit begonnen, Schwachstellen in bestimmten Ivanti PCS-Produkten auszunutzen. Gemäss einem Report der Security-Firma Fireeye sind auch Unternehmen und Behörden in Europa betroffen.
Die Angreifer nutzen laut CISA mehrere Schwachstellen aus, um einen ersten Zugang in die Systeme der Opfer zu erhalten. Neben der neu bekannt gewordenen Lücke CVE-2021-22893 sind das CVE-2019-11510, CVE-2020-8260  und CVE-2020-8243. Die letzten drei Schwachstellen wurden 2019 und 2020 entdeckt und sind gepatcht.
Den Kunden wird dringend empfohlen, die Sicherheitshinweise zu befolgen und alle Passwörter in der Umgebung zu ändern.  Für die neue Lücke soll im Mai ein Security-Update publiziert werden. Neben den ersten Abhilfemassnahmen steht Kunden ein Integrity Tool, zur Verfügung. Mit diesem sollen sie feststellen können, ob ihre Systeme betroffen sind. 

Chinesische Angreifer vermutet

Ivanti macht keine Angaben dazu, wer hinter den Angriffen stecken könnte. Fireeye schreibt in einem Advisory, dass man 12 Malware-Familien im Auge habe, die sich auf die Umgehung von Authentifizierung und die Bereitstellung von Backdoor-Zugang konzentrieren und mit der Ausnutzung von Pulse-Secure-VPN-Geräten in Verbindung gebracht wurden.
Mehrere Bedrohungsakteure würden diese Malware-Familien einsetzen, mindestens zwei werden hinter den aktuellen Angriffen vermutet.
Im Fireeye-Bericht wird UNC2630 erwähnt, eine Gruppe mit bekannten Bemühungen, die Netzwerke von US-Regierungs-, Verteidigungs- und Privatunternehmen anzugreifen. UNC2630, so ein Sprecher der Security-Firma gegenüber 'The Register', steht im Verdacht, Verbindungen zu APT5 zu haben, einer Gruppe von Cyber-Spionen, die mit Unterstützung von Behörden in China operieren soll. 
Lücken der VPN-Lösung würden ausgenutzt, um in Dutzende von Organisationen, Regierungsbehörden, Finanzinstitute und Verteidigungsunternehmen in den Vereinigten Staaten und im Ausland einzudringen. "Wir vermuten, dass diese Einbrüche mit den Zielen der Daten- und Geheimdienstsammlung durch China übereinstimmen", so das Unternehmen. 
Ein Sprecher der chinesischen Botschaft weist die Vorwürfe zurück. China lehne alle Formen von Cyberangriffen entschieden ab und gehe dagegen vor. Die Anschuldigungen von Fireeye seien "unverantwortlich und böswillig", so der Sprecher der Botschaft gegenüber 'Reuters'. 

Loading

Mehr zum Thema

image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023
image

Intel-Zahlen rasseln in den Keller

Im vergangenen Quartal fiel der Umsatz im Jahresvergleich um 32% auf 14 Milliarden Dollar. Unter dem Strich steht sogar eine rote Zahl.

publiziert am 27.1.2023
image

Cyberkrimineller erbeutet Meldedaten fast aller Österreicher

Ein Fauxpas bei einem Wiener IT-Unternehmen machte einen grossen Datendiebstahl möglich. Die Spuren führen in die Niederlande.

publiziert am 26.1.2023