Skip to the content.

DIVD-2021-00005 - Pulse Secure PreAuth RCE

Our referenceDIVD-2021-00005
Case leadMatthijs Koot
Researcher(s)
CVE(s)
ProductPulse Connect Secure
Versions >=9.0R3 and <9.1R11.4
Recommendation The solution for these vulnerabilities is to upgrade the Pulse Connect Secure server software version to the 9.1R.11.4.
StatusOpen

English below

Samenvatting

Pulse Secure (Ivanti) heeft op 20 april 2021 een advies gepubliceerd [0] naar aanleiding van recent ontdekte kritieke kwetsbaarheden in het (VPN-)product Pulse Connect Secure (PCS), versie >=9.0R3. Die kwetsbaarheden zijn aan het licht gekomen nadat ze in de VS actief zijn uitgebuit door buitenlandse statelijke actoren [1]. DIVD doet sinds 21 april onderzoek naar alle Nederland-gelinkte PCS-systemen die op die dag vindbaar waren in Shodan en/of BinaryEdge. Op basis hiervan heeft DIVD na het verschijnen van de (beveiligings)update van Pulse Secure notificaties uitgestuurd.

Wat kunt u doen?

Indien u een PCS-versie draait >=9.0R3 én <9.1R11.4 en nog geen maatregelen hebt genomen, kunt u nu direct alsnog de tijdelijke maatregel nemen die de leverancier op 20 april adviseerde, om daarna zo snel mogelijk de nieuwe PCS-versie te (laten) installeren (9.1R11.4 (Build 12319)) [0].

Er is geen publieke informatie beschikbaar over uitbuiting van deze kwetsbaarheden elders dan de VS (zoals Nederland). Er is voor zover ons bekend vooralsnog ook geen sprake van grootschalige uitbuiting, dit in tegenstelling tot wat gebeurde met een kritieke kwetsbaarheid in PCS die in 2019 bekend werd (CVE-2019-11510). Deze is wel grootschalig uitgebuit, onder meer voor ransomware, cryptomining en (bedrijfs)spionage.

Niettemin kan het, afhankelijk van het risicoprofiel van uw organisatie, verstandig zijn om PCS-systemen te (laten) onderzoeken op sporen van mogelijk misbruik. Voor de technische details verwijzen we naar het blog van FireEye [3].

Wat doen wij?

Wij voeren sinds 21 april dagelijks onderzoek uit naar PCS-systemen die actief zijn op IP-adressen die gelinkt zijn aan Nederland. Daarbij wordt getest of de tijdelijke maatregel aanwezig is en of een PCS-versie actief is die kwetsbaar is. De versie wordt afgeleid via de methode die op 23 april is beschreven door Fox IT / NCC Group [4].

DIVD stuurt meldingen uit over PCS-systemen waarvan op analytische basis is geconcludeerd dat deze momenteel (waarschijnlijk) kwetsbaar zijn, namelijk systemen waarop: een PCS-versie actief >=9.0R3 én <9.1R11.4, én de tijdelijke maatregel niet aanwezig lijkt. Dit is getest door de HTTP-responses te observeren op vijf url-paden waarvan de leverancier adviseerde deze tijdelijk te blokkeren:

Het is aannemelijk dat er een (beperkt aantal) PCS-systemen zijn die buiten het zicht vallen van DIVD, omdat we ons hebben beperkt tot systemen die in Shodan en/of BinaryEdge vindbaar waren. Bij sommige onderzoeken voert DIVD bredere scans uit, wat een hogere mate van volledigheid geeft. Omdat er in dit geval nog geen openbare Proof of Concept (PoC) exploitcode is, hebben we dat bij dit onderzoek vooralsnog niet gedaan in onze afweging van noodzaak en proportionaliteit.

Timeline

datumOmschrijving
20-04-2021 Pulse Secure (Ivanti) publiceert advies met een tijdelijke maatregel (workaround).
20-04-2021FireEye publiceert uitgebreide technische details.
20-04-2021 NCSC publiceert de initiële versie van beveiligingsadvies NCSC-2021-0345.
21-04-2021DIVD start onderzoek
21-04-2021 DIVD deelt op verzoek een initiële (ongeëvalueerde) lijst van ~650 Nederland-gelinkte PCS-systemen, waarop de tijdelijke maatregel nog niet actief is, met de Nederlandse CERT-community.
03-05-2021 Pulse Secure (Ivanti) maakt nieuwe PCS-versie beschikbaar aan alle PCS-klanten.
10-05-2021 DIVD stuurt eerste gerichte notificaties uit over systemen waarop een kwetsbare PCS-versie actief is zonder de tijdelijke maatregel.
06-06-2021Tweede ronde notificaties verstuurd door DIVD CSIRT.

Dankwoord

DIVD is Fox IT / NCC Group zeer dankbaar voor de hulp die ze hebben geboden bij de versiedetectie. Zonder hun hulp had DIVD voor (vele) tientallen systemen geen gerichte notificatie kunnen sturen.

Referenties

[0] https://kb.pulsesecure.net/articles/Pulse_Secure_Article/SA44784/
[1] https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
[2] https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-0345
[3] https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
[4] https://research.nccgroup.com/2021/04/23/a-census-of-deployed-pulse-connect-secure-pcs-versions/


English

Summary

On 20 April 2021, Pulse Secure (Ivanti) published an advisory [0] due to recently discovered critical vulnerabilities in the (VPN) product Pulse Connect Secure (PCS), version >=9.0R3. These vulnerabilities came to light after they were already actively exploited in PCS systems in the U.S. by foreign state actors [1]. Since 21 April, DIVD is assessing all Netherlands-linked PCS systems that on that day were indexed in Shodan en/of BinaryEdge. On the basis thereof, DIVD has sent notifications about vulnerable systems following the release of the new (security) update by the vendor.

What you can do

If you run a PCS version >=9.0R3 and <9.1R11.4 and have not yet implemented measures (such as the workaround), you can implement the workaround that the vendor advised on 20 April, and then install the new PCS version as soon as possible (9.1R11.4 (Build 12319)) [0].

No public information is known about exploitation of these vulnerabilities outside the U.S. (such as in the Netherlands). To our best knowledge, no large-scale / untargeted exploitation has taken place yet. This is different from what happened with a critical vulnerability that was discovered in 2019 (CVE-2019-11510). That vulnerability has been exploited large-scale, among others for ransomware, cryptomining and (corporate) espionage.

Nonetheless, depending on the risk profile of your organization, it can be recommended to examine PCS systems for signs of potential abuse. For technical details, see the blog by FireEye [3].

What we are doing

Since 21 April, we run a daily scan on PCS systems that are active on IP addresses that are linked to the Netherlands. The scan involves a test to determine whether or not the temporary workaround is present and a test that attempts to identify the version of PCS that is running. The version detection is based on the method that Fox IT / NCC Group described in their blog of 23 April [4].

DIVD sends notifications about PCS systems for which it was analytically concluded that they are (likely) vulnerable, namely systems that:: run a PCS version >=9.0R3 and <9.1R11.4, and lack the temporary workaround. This was tested by observing HTTP responses to the five URL paths that the vendor advised to temporarily include in a blocklist:

It is likely that a (limited) number of Netherlands-linked PCS systems were not included in our daily scans, because we limited our effort to PCS systems that could be found in Shodan and/or BinaryEdge on 21 April. In some cases, DIVD performs wider scans, which yields a higher degree of completeness. But in absence of public Proof of Concept (PoC) exploit code, we decided for reasons of proportionality and necessity to focus on the set of systems that could be found in Shodan and/or BinaryEdge..

Timeline

DateDescription
20-04-2021 Pulse Secure (Ivanti) publishes an advisory with a temporary measure(workaround).
20-04-2021FireEye publishes a blog with in-depth technical details.
20-04-2021 NCSC publishes the initial version of advisory NCSC-2021-0345.
21-04-2021DIVD starts an assessment
21-04-2021 At request, DIVD shares an (unevaluated) list of ~650 Netherlands-linked PCS systems that lack the temporary measure with the Dutch CERT community.
03-05-2021 Pulse Secure (Ivanti) releases a new version of PCS to all PCS customers.
10-05-2021 DIVD sends first notifications about systems that run a PCS system without the workaround present while running a PCS version that is vulnerable according to the vendor’s advisory.
06-06-2021Second round of notifications sent by DIVD CSIRT.

Acknowledgements

DIVD is very grateful to Fox IT / NCC Group for their assistence in version detection. Withouth their help, DIVD could not have sent out targeted notifications..

References

[0] https://kb.pulsesecure.net/articles/Pulse_Secure_Article/SA44784/
[1] https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
[2] https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-0345
[3] https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
[4] https://research.nccgroup.com/2021/04/23/a-census-of-deployed-pulse-connect-secure-pcs-versions/