Pulse Secure veröffentlichte ein Security Advisory für eine Zero-Day-Schwachstelle in Pulse Connect Secure (PCS) SSL VPN – Scott Caveza, Research Engineering Manager bei Tenable, kommentierte dazu.
„CVE-2021-22893 ist eine kritische Zero-Day-Schwachstelle zur Umgehung der Authentifizierung, die Angreifern einen Einstiegspunkt in Pulse Connect Secure (PCS) SSL VPN-Appliances bietet. Zusätzlich zu CVE-2021-22893 scheinen Angreifer auch drei bereits bekannte und gepatchte Schwachstellen in PCS aus den Jahren 2019 und 2020 auszunutzen. Es handelt sich hierbei um CVE-2019-11510, CVE-2020-8243 und CVE-2020-8260. Davon war CVE-2019-11510, die seit dem Bekanntwerden der Details im August 2019 in freier Wildbahn ausgenutzt wurde, eine der Top-5-Schwachstellen im Tenable-Report 2020 Threat Landscape Retrospective, da sie leicht auszunutzen und weit verbreitet ist. Da es sich um eine Zero-Day-Schwachstelle handelt und der Zeitplan für die Veröffentlichung eines Patches noch nicht bekannt ist, gibt CVE-2021-22893 Angreifern ein wertvolles Werkzeug an die Hand. Damit können sie sich Zugang zu einer wichtigen Ressource verschaffen, die von vielen Unternehmen genutzt wird, vor allem im Zuge der Umstellung auf Remote-Arbeit im vergangenen Jahr. Angreifer können diese Schwachstelle nutzen, um die PCS-Appliance weiter zu kompromittieren, Backdoors zu implantieren und Zugangsdaten zu kompromittieren. Pulse Secure hat zwar festgestellt, dass diese Zero-Day-Schwachstelle bisher nur in begrenztem Umfang für gezielte Angriffe genutzt wurde. Es ist aber nur eine Frage der Zeit, bis ein Proof-of-Concept öffentlich verfügbar sein wird. Dies wird unserer Einschätzung nach zu einer weit verbreiteten Ausnutzung führen, wie wir es bei CVE-2019-11510 bereits beobachtet haben.“
https://de.tenable.com/