image

Lek in Fortinet en Pulse Secure ssl vpn's actief aangevallen

vrijdag 23 augustus 2019, 11:05 door Redactie, 9 reacties

Twee beveiligingslekken in de ssl vpn's van Fortinet en Pulse Secure worden op het moment actief aangevallen. Daarvoor waarschuwt de Britse beveiligingsonderzoeker Kevin Beaumont. Voor beide kwetsbaarheden zijn updates beschikbaar, maar online zijn nog tal van kwetsbare systemen te vinden.

Het beveiligingslek in de ssl vpn van Pulse Secure is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Ook werd het lek tijdens de afgelopen Black Hat-conferentie uitgeroepen tot het "beste server-side beveiligingslek" van het afgelopen jaar. Via de kwetsbaarheid kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Pulse Secure patchte het lek op 24 april. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats, aldus Beaumont.

De kwetsbaarheid in de Fortinet ssl vpn firewalls maakt het mogelijk voor een aanvaller om op afstand de inloggegevens te bemachtigen. De apparaten worden als "perimeter security" ingezet, wat het een gevaarlijk beveiligingslek maakt, merkt Beaumont op. Voor dit beveiligingslek verscheen op 24 mei een update, gevolgd door twee exploits op 14 en 17 augustus. Sinds 21 augustus wordt de kwetsbaarheid actief aangevallen. Volgens de Britse onderzoeker zijn er een half miljoen van deze vpn-apparaten op internet te vinden. Beheerders die de beveiligingsupdate nog niet hebben geïnstalleerd krijgen het advies dit zo snel als mogelijk te doen.

Reacties (9)
23-08-2019, 13:32 door Anoniem
Tja als de exploit eenmaal in Metasploit zit is er ook zo goed als geen kennis meer nodig om er misbruik te maken.

Je hoopt alleen dat gevoelige software zoals dit toch (beter) getest wordt op mogelijke kwetsbaarheden.
23-08-2019, 15:11 door Anoniem
Door Anoniem: Tja als de exploit eenmaal in Metasploit zit is er ook zo goed als geen kennis meer nodig om er misbruik te maken.

Je hoopt alleen dat gevoelige software zoals dit toch (beter) getest wordt op mogelijke kwetsbaarheden.
Niet dat je ongelijk hebt, maar bugs happen, het was gedeeld met de vendor en die heeft het gepatched.

Je mag ook van de eigenaar verwachten dat hij zijn perimeter security up to date houdt.
23-08-2019, 21:31 door Anoniem
Een fabrikant zou altijd de mogelijkheid moeten bieden om critical updates automatisch te laten installeren, desnoods een
alert gevolgd door automatische install na een aantal dagen.
Tuurlijk wil iedere beheerder het allemaal eerst zelf testen, tuurlijk is een downtime ergens midden in de nacht een drama
waar het bedrijf nooit van zal recoveren, maar helaas zijn beheerders vaak druk en hebben geen tijd om iedere aankondiging
te bekijken en op waarde te schatten, en beter beveiligd tegen een lek dan 100.000000% up.
25-08-2019, 11:49 door Anoniem
Door Anoniem:
Door Anoniem: Tja als de exploit eenmaal in Metasploit zit is er ook zo goed als geen kennis meer nodig om er misbruik te maken.

Je hoopt alleen dat gevoelige software zoals dit toch (beter) getest wordt op mogelijke kwetsbaarheden.
Niet dat je ongelijk hebt, maar bugs happen, het was gedeeld met de vendor en die heeft het gepatched.

Je mag ook van de eigenaar verwachten dat hij zijn perimeter security up to date houdt.

maar bugs happen:
Tuurlijk...

Fortinet == DO_NOT_USE.
De echte security experts snappen dit.
De hippe consultancy lui niet.

Een kritische blik op eerdere exploits en fixes daarop zou voldoende moeten zijn, verdere argumentatie niet eens nodig.
25-08-2019, 13:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tja als de exploit eenmaal in Metasploit zit is er ook zo goed als geen kennis meer nodig om er misbruik te maken.

Je hoopt alleen dat gevoelige software zoals dit toch (beter) getest wordt op mogelijke kwetsbaarheden.
Niet dat je ongelijk hebt, maar bugs happen, het was gedeeld met de vendor en die heeft het gepatched.

Je mag ook van de eigenaar verwachten dat hij zijn perimeter security up to date houdt.

maar bugs happen:
Tuurlijk...

Fortinet == DO_NOT_USE.
De echte security experts snappen dit.
De hippe consultancy lui niet.

Een kritische blik op eerdere exploits en fixes daarop zou voldoende moeten zijn, verdere argumentatie niet eens nodig.


Dus helemaal wegblijven bij Ciso en massaal overstappen op Huawei.
26-08-2019, 08:50 door Bitje-scheef
Dus helemaal wegblijven bij Ciso en massaal overstappen op Huawei.

Cisco heeft zijn eigen "backdoor" en Huawei waarschijnlijk ook. Alleen politiek gezien mag die van Cisco wel en van Huawei niet. Want de VS is "onze vriend" en China "The Great Evil Empire". Je moet gewoon zorgen dat hoe dan ook, ongeacht welke vriend of vijand je netwerk in de lucht blijft. Dus richt je alles onafhankelijk in, met een killswitch waar de andere/buitenlandse partijen niet bij kunnen.

Geloof me als politiek erbij komt, is het 50% van de tijd gekronkel en krakeel. Politiek heeft helaas baat bij leugens en manipulatie.
26-08-2019, 16:47 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tja als de exploit eenmaal in Metasploit zit is er ook zo goed als geen kennis meer nodig om er misbruik te maken.

Je hoopt alleen dat gevoelige software zoals dit toch (beter) getest wordt op mogelijke kwetsbaarheden.
Niet dat je ongelijk hebt, maar bugs happen, het was gedeeld met de vendor en die heeft het gepatched.

Je mag ook van de eigenaar verwachten dat hij zijn perimeter security up to date houdt.

maar bugs happen:
Tuurlijk...

Fortinet == DO_NOT_USE.
De echte security experts snappen dit.
De hippe consultancy lui niet.

Een kritische blik op eerdere exploits en fixes daarop zou voldoende moeten zijn, verdere argumentatie niet eens nodig.
En waarom zouden alleen de echte security experts dit snappen?
We gebruiken het oa ook bij ons bedrijf, en werkt goed. En we zijn toch echt een security driven bedrijf met heel veel gebruikers.

#so please enlighten me
26-08-2019, 17:37 door Anoniem
Door Bitje-scheef:
Dus helemaal wegblijven bij Ciso en massaal overstappen op Huawei.

Cisco heeft zijn eigen "backdoor" en Huawei waarschijnlijk ook. Alleen politiek gezien mag die van Cisco wel en van Huawei niet. Want de VS is "onze vriend" en China "The Great Evil Empire". Je moet gewoon zorgen dat hoe dan ook, ongeacht welke vriend of vijand je netwerk in de lucht blijft. Dus richt je alles onafhankelijk in, met een killswitch waar de andere/buitenlandse partijen niet bij kunnen.

Geloof me als politiek erbij komt, is het 50% van de tijd gekronkel en krakeel. Politiek heeft helaas baat bij leugens en manipulatie.
Bij Cisco is het bewezen en bij Huawei nog steeds NIET!
27-08-2019, 10:48 door Anoniem
Door Anoniem:
Door Bitje-scheef:
Dus helemaal wegblijven bij Ciso en massaal overstappen op Huawei.

Cisco heeft zijn eigen "backdoor" en Huawei waarschijnlijk ook. Alleen politiek gezien mag die van Cisco wel en van Huawei niet. Want de VS is "onze vriend" en China "The Great Evil Empire". Je moet gewoon zorgen dat hoe dan ook, ongeacht welke vriend of vijand je netwerk in de lucht blijft. Dus richt je alles onafhankelijk in, met een killswitch waar de andere/buitenlandse partijen niet bij kunnen.

Geloof me als politiek erbij komt, is het 50% van de tijd gekronkel en krakeel. Politiek heeft helaas baat bij leugens en manipulatie.
Bij Cisco is het bewezen en bij Huawei nog steeds NIET!
\
En welk bewijs bedoel je precies van Cisco?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.