Kritische zero-day Verwundbarkeiten in Pulse Secure und SonicWall Produkten

21.04.2021 - Am 20. April wurden kritische Verwundbarkeiten in zwei Sicherheits-Produkten bekannt, welche die Hersteller Pulse Secure und SonicWall betreffen. Gemäss den uns vorliegenden Informationen werden die Verwundbarkeiten vereinzelt bereits aktiv von Akteuren ausgenutzt, um Zugang zu Unternehmensnetzwerken zu erhalten (zero day exploitation). 

Betroffen sind folgende Produkte:

Hersteller: SonicWall

Produkt: SonicWall Email Security (ES)

Verwundbarkeiten:
CVE-2021-20021        Unauthorized administrative account creation
CVE-2021-20022        Post-authentication arbitrary file upload
CVE-2021-20023        Post-authentication arbitrary file read

Das NCSC empfiehlt Betreiber/innen des besagten Produktes dringend, das aktuellste Sicherheits-Update rasch möglichst einzuspielen (Hotfix 10.0.9.6173 bzw. 10.0.9.6177).

Weitere Information vom Hersteller zu den besagten Verwundbarkeiten finden sich hier:
https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/

Hersteller: Pulse Secure

Produkt: Pulse Connect Secure

Verwundbarkeit:
CVE-2021-22893        Remote Code Execution (RCE)

Leider existiert noch kein Sicherheits-Update für die besagte Verwundbarkeit in Pulse Connect Secure. Der Hersteller hat jedoch einen Workaround veröffentlicht. Das NCSC empfiehlt daher Betreiber/innen des besagten Produktes dringend, rasch möglichst den auf der Hersteller-Seite erwähnten Workaround zu implementieren:
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

Zusätzlich empfiehlt das NCSC, das «Pulse Connect Secure Integrity Tool» auf den entsprechenden Geräten laufen zu lassen:
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755

Das NCSC weist zudem explizit darauf hin, dass ähnliche Verwundbarkeiten in den vergangenen Monaten von Akteuren dazu verwendet wurden, in Unternehmens-Netzwerke einzudringen und diese mittels Ransomware zu verschlüsseln und grosse Datenbestände zu entwenden, mit welchen das Opfer zusätzlich erpresst werden konnte. Das NCSC schätzt die Gefahr durch die genannten Verwundbarkeiten daher als "sehr hoch" ein.

Unabhängig vom eingesetzten Produkt macht das NCSC für Remote-Zugänge wie VPN, Citrix oder Web-Mail folgende Empfehlungen:

  • Solche müssen in jedem Falle mit einem zweiten Faktor abgesichert werden (2-Faktor-Authentisierung). Einfache Logins mit lediglich einem Faktor (Benutzername, Password) müssen technisch unterbunden werden
  • Die entsprechenden Produkte müssen so konfiguriert werden, dass sowohl erfolgreiche wie auch fehlgeschlagene Zugriffsversuche aufgezeichnet werden (logging)

Letzte Änderung 21.04.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/pulse-secure-sonicwall.html