DIVD-2021-00005 - Pulse Secure PreAuth RCE
Our reference | DIVD-2021-00005 |
Case lead | Matthijs Koot |
Researcher(s) |
|
CVE(s) | |
Product | Pulse Connect Secure |
Versions | >=9.0R3 and <9.1R11.4 |
Recommendation | The solution for these vulnerabilities is to upgrade the Pulse Connect Secure server software version to the 9.1R.11.4. |
Status | Closed |
Last modified | 12 Aug 2022 11:21 CEST |
Samenvatting
Pulse Secure (Ivanti) heeft op 20 april 2021 een advies gepubliceerd [0] naar aanleiding van recent ontdekte kritieke kwetsbaarheden in het (VPN-)product Pulse Connect Secure (PCS), versie >=9.0R3. Die kwetsbaarheden zijn aan het licht gekomen nadat ze in de VS actief zijn uitgebuit door buitenlandse statelijke actoren [1]. DIVD doet sinds 21 april onderzoek naar alle Nederland-gelinkte PCS-systemen die op die dag vindbaar waren in Shodan en/of BinaryEdge. Op basis hiervan heeft DIVD na het verschijnen van de (beveiligings)update van Pulse Secure notificaties uitgestuurd.
Wat kunt u doen?
Indien u een PCS-versie draait >=9.0R3 én <9.1R11.4 en nog geen maatregelen hebt genomen, kunt u nu direct alsnog de tijdelijke maatregel nemen die de leverancier op 20 april adviseerde, om daarna zo snel mogelijk de nieuwe PCS-versie te (laten) installeren (9.1R11.4 (Build 12319)) [0].
Er is geen publieke informatie beschikbaar over uitbuiting van deze kwetsbaarheden elders dan de VS (zoals Nederland). Er is voor zover ons bekend vooralsnog ook geen sprake van grootschalige uitbuiting, dit in tegenstelling tot wat gebeurde met een kritieke kwetsbaarheid in PCS die in 2019 bekend werd (CVE-2019-11510). Deze is wel grootschalig uitgebuit, onder meer voor ransomware, cryptomining en (bedrijfs)spionage.
Niettemin kan het, afhankelijk van het risicoprofiel van uw organisatie, verstandig zijn om PCS-systemen te (laten) onderzoeken op sporen van mogelijk misbruik. Voor de technische details verwijzen we naar het blog van FireEye [3].
Wat doen wij?
Wij voeren sinds 21 april dagelijks onderzoek uit naar PCS-systemen die actief zijn op IP-adressen die gelinkt zijn aan Nederland. Daarbij wordt getest of de tijdelijke maatregel aanwezig is en of een PCS-versie actief is die kwetsbaar is. De versie wordt afgeleid via de methode die op 23 april is beschreven door Fox IT / NCC Group [4].
DIVD stuurt meldingen uit over PCS-systemen waarvan op analytische basis is geconcludeerd dat deze momenteel (waarschijnlijk) kwetsbaar zijn, namelijk systemen waarop: een PCS-versie actief >=9.0R3 én <9.1R11.4, én de tijdelijke maatregel niet aanwezig lijkt. Dit is getest door de HTTP-responses te observeren op vijf url-paden waarvan de leverancier adviseerde deze tijdelijk te blokkeren:
- /dana/meeting
- /dana/fb/smb
- /dana-cached/fb/smb
- /dana-ws/namedusers
- /dana-ws/metric Indien de server hierop een 40x-statuscode terugstuurde, is geconcludeerd dat de maatregel aanwezig was. Indien een andere statuscode werd gestuurd, is geconcludeerd dat de maatregel (waarschijnlijk) afwezig is.
Het is aannemelijk dat er een (beperkt aantal) PCS-systemen zijn die buiten het zicht vallen van DIVD, omdat we ons hebben beperkt tot systemen die in Shodan en/of BinaryEdge vindbaar waren. Bij sommige onderzoeken voert DIVD bredere scans uit, wat een hogere mate van volledigheid geeft. Omdat er in dit geval nog geen openbare Proof of Concept (PoC) exploitcode is, hebben we dat bij dit onderzoek vooralsnog niet gedaan in onze afweging van noodzaak en proportionaliteit.
Timeline
datum | Omschrijving |
---|---|
20-04-2021 | Pulse Secure (Ivanti) publiceert advies met een tijdelijke maatregel (workaround). |
20-04-2021 | FireEye publiceert uitgebreide technische details. |
20-04-2021 | NCSC publiceert de initiële versie van beveiligingsadvies NCSC-2021-0345. |
21-04-2021 | DIVD start onderzoek |
21-04-2021 | DIVD deelt op verzoek een initiële (ongeëvalueerde) lijst van ~650 Nederland-gelinkte PCS-systemen, waarop de tijdelijke maatregel nog niet actief is, met de Nederlandse CERT-community. |
03-05-2021 | Pulse Secure (Ivanti) maakt nieuwe PCS-versie beschikbaar aan alle PCS-klanten. |
10-05-2021 | DIVD stuurt eerste gerichte notificaties uit over systemen waarop een kwetsbare PCS-versie actief is zonder de tijdelijke maatregel. |
06-06-2021 | Tweede ronde notificaties verstuurd door DIVD CSIRT. |
16-06-2021 | DIVD deelt data met het DTC zodat zij eigenaren van nog kwetsbare systemen kunnen benaderen. |
15-07-2021 | DIVD deelt data over laatste nog kwetsbare systemen met een reseller van Pulse software in Nederland in de hoop dat zij nog een aantal achterblijvers kunnen bereiken. |
01-08-2021 | Case gesloten. Na 4 notificatie pogingen via verschillende kanalen kunnen wij hier verder niet veel meer doen. |
Dankwoord
DIVD is Fox IT / NCC Group zeer dankbaar voor de hulp die ze hebben geboden bij de versiedetectie. Zonder hun hulp had DIVD voor (vele) tientallen systemen geen gerichte notificatie kunnen sturen.
Referenties
- [0] https://kb.pulsesecure.net/articles/Pulse_Secure_Article/SA44784/
- [1] https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
- [2] https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-0345
- [3] https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
- [4] https://research.nccgroup.com/2021/04/23/a-census-of-deployed-pulse-connect-secure-pcs-versions/
- [5] https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/malware-targeting-pulse-secure-devic
English
Summary
On 20 April 2021, Pulse Secure (Ivanti) published an advisory [0] due to recently discovered critical vulnerabilities in the (VPN) product Pulse Connect Secure (PCS), version >=9.0R3. These vulnerabilities came to light after they were already actively exploited in PCS systems in the U.S. by foreign state actors [1]. Since 21 April, DIVD is assessing all Netherlands-linked PCS systems that on that day were indexed in Shodan en/of BinaryEdge. On the basis thereof, DIVD has sent notifications about vulnerable systems following the release of the new (security) update by the vendor.
What you can do
If you run a PCS version >=9.0R3 and <9.1R11.4 and have not yet implemented measures (such as the workaround), you can implement the workaround that the vendor advised on 20 April, and then install the new PCS version as soon as possible (9.1R11.4 (Build 12319)) [0].
No public information is known about exploitation of these vulnerabilities outside the U.S. (such as in the Netherlands). To our best knowledge, no large-scale / untargeted exploitation has taken place yet. This is different from what happened with a critical vulnerability that was discovered in 2019 (CVE-2019-11510). That vulnerability has been exploited large-scale, among others for ransomware, cryptomining and (corporate) espionage.
Nonetheless, depending on the risk profile of your organization, it can be recommended to examine PCS systems for signs of potential abuse. For technical details, see the blog by FireEye [3].
What we are doing
Since 21 April, we run a daily scan on PCS systems that are active on IP addresses that are linked to the Netherlands. The scan involves a test to determine whether or not the temporary workaround is present and a test that attempts to identify the version of PCS that is running. The version detection is based on the method that Fox IT / NCC Group described in their blog of 23 April [4].
DIVD sends notifications about PCS systems for which it was analytically concluded that they are (likely) vulnerable, namely systems that:: run a PCS version >=9.0R3 and <9.1R11.4, and lack the temporary workaround. This was tested by observing HTTP responses to the five URL paths that the vendor advised to temporarily include in a blocklist:
- /dana/meeting
- /dana/fb/smb
- /dana-cached/fb/smb
- /dana-ws/namedusers
- /dana-ws/metric If the system returned a 40x-status code, it was concluded that the workaround was present. If a different status code was returned, it was concluded that the workaround is (likely) absent.
It is likely that a (limited) number of Netherlands-linked PCS systems were not included in our daily scans, because we limited our effort to PCS systems that could be found in Shodan and/or BinaryEdge on 21 April. In some cases, DIVD performs wider scans, which yields a higher degree of completeness. But in absence of public Proof of Concept (PoC) exploit code, we decided for reasons of proportionality and necessity to focus on the set of systems that could be found in Shodan and/or BinaryEdge..
Timeline
Date | Description |
---|---|
20 Apr 2021 | Pulse Secure (Ivanti) publishes an advisory with a temporary measure(workaround). |
20 Apr 2021 | FireEye publishes a blog with in-depth technical details. |
20 Apr 2021 | NCSC publishes the initial version of advisory NCSC-2021-0345. |
21 Apr 2021 | DIVD starts an assessment |
21 Apr 2021 | At request, DIVD shares an (unevaluated) list of ~650 Netherlands-linked PCS systems that lack the temporary measure with the Dutch CERT community. |
03 May 2021 | Pulse Secure (Ivanti) releases a new version of PCS to all PCS customers. |
10 May 2021 | DIVD sends first notifications about systems that run a PCS system without the workaround present while running a PCS version that is vulnerable according to the vendor’s advisory. |
06 Jun 2021 | Second round of notifications sent by DIVD CSIRT. |
16 Jun 2021 | DIVD shares data with DTC so they can reach out to owners of systems that are still vulnerable. |
15 Jul 2021 | DIVD shares data about the last few vulnerable systems with a reseller of Pulse software in the Netherlands, in the hope that they can reach a few of the people responsible. |
01 Aug 2021 | Case closed. After 4 attempts to reach system owners via various channels we exhausted our means to remediate this further. |
Acknowledgements
DIVD is very grateful to Fox IT / NCC Group for their assistence in version detection. Withouth their help, DIVD could not have sent out targeted notifications..
References
- [0] https://kb.pulsesecure.net/articles/Pulse_Secure_Article/SA44784/
- [1] https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
- [2] https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-0345
- [3] https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
- [4] https://research.nccgroup.com/2021/04/23/a-census-of-deployed-pulse-connect-secure-pcs-versions/
- [5] https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/malware-targeting-pulse-secure-devic