Criminelen verspreiden ransomware via lek in Pulse Secure vpn-software

[Captain Kirk]

Criminelen maken gebruik van een bekend beveiligingslek in de Pulse Secure vpn-software om bedrijven en organisaties met ransomware te infecteren, zo heeft Pulse Secure zelf bekendgemaakt. Geldwisselaar Travelex, die onlangs door ransomware werd getroffen, had verschillende Pulse Secure-servers niet gepatcht, aldus beveiligingsonderzoeker Kevin Beaumont.

De kwetsbaarheid in Pulse Secure werd vorig jaar april gepatcht. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Ook werd het lek tijdens de afgelopen Black Hat-conferentie uitgeroepen tot het "beste server-side beveiligingslek" van het afgelopen jaar. De Pulse Secure vpn-oplossing laat werknemers op afstand verbinding met een bedrijfsnetwerk maken. Via de kwetsbaarheid in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients.

Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende om de kwetsbaarheid uit te buiten. Pulse Secure patchte het lek op 24 april. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats, aldus Beaumont. Sinds 22 augustus wordt er ook op grote schaal naar kwetsbare endpoints gezocht, zo liet onderzoeker Troy Mursch vorig jaar weten. De onderzoeker vond ruim 14.000 kwetsbare vpn-servers, waaronder 420 in Nederland.

"Het beveiligingslek is echt zeer ernstig. Het laat mensen zonder geldige gebruikersnaam en wachtwoord op afstand verbinding met het bedrijfsnetwerk maken, wat het apparaat juist zou moeten voorkomen, multifactorauthenticatie uitschakelen, op afstand logs en gecachte wachtwoorden in plain text bekijken, waaronder Active Directory-wachtwoorden", merkt Beaumont op.

De onderzoeker ontdekte vorige week twee incidenten waarbij criminelen het lek in Pulse Secure hadden gebruikt om organisaties met ransomware te infecteren. Beide organisaties hadden ongepatchte vpn-servers. De kwetsbaarheid gaf de aanvallers toegang tot het bedrijfsnetwerk. Vervolgens wisten die domeinbeheerderrechten te verkrijgen en schakelden aanwezige beveiligingssoftware uit. Hierna werd de Sodinokibi-ransomware op alle systemen geïnstalleerd.

Geldwisselaar Travelex, die op 31 december door dezelfde ransomware werd geïnfecteerd, had zeven ongepatchte Pulse Secure vpn-servers, claimt Beaumont. Organisaties die de update nog niet hebben geïnstalleerd krijgen het advies om dit alsnog te doen. Naar aanleiding van het lek liet minister Grapperhaus van Justitie en Veiligheid nog weten dat organisaties die het installeren van beveiligingsupdates uitstellen ongelofelijke oliebollen zijn.

 

 

bron: security.nl