Root-Lücke in VPN-Lösung Pulse Connect Secure als Schadcode-Schlupfloch
Ein wichtiges Sicherheitsupdates schließt Schwachstellen in der Fernzugriff-Software Pulse Connect Secure.
Admins, die in Firmen den Fernzugriff auf Computer mit Pulse Connect Secure von Ivanti realisieren, sollten aus Sicherheitsgründen die aktuelle Version installieren. Geschieht dies nicht, könnten Angreifer Systeme attackieren und im schlimmsten Fall Schadcode mit Root-Rechten ausführen.
Systeme vollständig kompromittieren
Wie aus einer Warnmeldung hervorgeht, haben die Entwickler insgesamt sechs Sicherheitslücken geschlossen. Zwei davon (CVE-2021-22935, CVE-2021-22937) sind mit dem Bedrohungsgrad "kritisch" eingestuft. Sind Attacken erfolgreich, könnten Angreifer der Analyse eines Sicherheitsforschers zufolge eigenen Code mit Root-Rechten im zugrundeliegenden Betriebssystem ausführen. In so einer Position gelten Systeme in der Regel als vollständig kompromittiert. So könnten Angreifer etwa eine Hintertür hinterlassen oder VPN-Verbindungen belauschen.
Für eine erfolgreiche Attacke muss ein Angreifer der offiziellen Warnmeldung zufolge aber bereits als Admin Zugriff auf Pulse Connect Secure haben. Ist das der Fall, könnte er aufgrund von mangelnden Prüfungen ein präpariertes GZIP-Archiv entpacken und so Schadcode auf Systeme bringen. Weitere Details zu dieser Attacke findet man im Bericht des Sicherheitsforschers.
Unvollständiger Patch
Eigentlich wurde dieses Schadcode-Schlupfloch bereits mit einem Patch (CVE-2020-8260) gestopft. Doch diese Variante des Angriffs umgeht den Schutz, erläutert der Sicherheitsforscher. Um Systeme abzusichern, sollten Admins Pulse Connect Secure 9.1R12 installieren. Alle vorigen Ausgaben sollen verwundbar sein.
Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad "hoch" eingestuft. Auch hier könnten Angreifer nach erfolgreichen Attacken eigene Befehle auf Systemen ausführen. XSS-Attacken sind ebenfalls vorstellbar.
(des)