Elsőre nem sikerült patch-elni a kritikus hibát, új javítás érkezett a Pulse Secure VPN-hez!

 

A Pulse Secure biztonsági javítást adott ki a Connect Secure VPN termék összesen hat sebezhetőségének befoltozásához. A biztonsági hibák közül az egyik kritikus kockázatú sérülékenységet (CVE-2021-22937) a gyártó hivatalosan már 2020 októberében kijavította, azonban ─ mint arra az NCC Group rámutatott ─ a biztonsági frissítés csupán egyetlen paraméter megváltoztatásával megkerülhető. A kritikus sebezhetőség a már hozzáféréssel rendelkező támadók számára root-szintű távoli kódvégrehajtást tehet lehetővé, továbbá képesek lehetnek megkerülni a webes alkalmazáson érvényesített korlátozásokat, és tartós „hátsó ajtót” biztosítani önmaguknak. Az eredetileg CVE-2020-8260 számon nyilvántartott biztonsági hiba egyike volt annak a négy Pulse Secure hibának, amelyet 2021. április elején kiberbűnözők aktívan kihasználtak egy sor támadásra az Amerikai Egyesült Államok kormányzati és pénzügyi szervezetei ellen, hogy megkerüljék a többfaktoros hitelesítési védelmet, és betörjenek a vállalati hálózatokba. Az NBSZ NKI javasolja a Pulse Connect Secure 9.1R12 (vagy ennél újabb) verziójára történő frissítést.

(thehackernews.com)