Een beveiligingslek in de vpn-software van Pulse Secure maakt het mogelijk voor aanvallers om willekeurige code uit te voeren. Voorwaarde is wel dat een beheerder eerst een malafide link opent. Via een andere kwetsbaarheid kan een aanvaller het Google Time-based One-time Password (TOTP) omzeilen.

Pulse Secure bracht vorige maand beveiligingsupdates voor de kwetsbaarheden uit. Details over één van de verholpen beveiligingslekken is nu online verschenen. Het gaat om een lek aangeduid als CVE-2020-8218. Op een schaal van 1 tot en met 10 wat betreft de impact is de kwetsbaarheid beoordeeld met een 7,2. Dit komt omdat het beveiligingslek alleen door een geauthenticeerde aanvaller is te misbruiken.

Zodra een aanvaller beheerdersrechten heeft kan die via een cgi-bestand op het systeem, bedoeld om de licentie te controleren, zijn eigen code aanroepen en uitvoeren. "Hoewel een aanvaller geauthenticeerd moet zijn, is het feit dat de kwetsbaarheid via een eenvoudige phishingaanval op het juiste slachtoffer is te misbruiken, voldoende bewijs dat dit beveiligingslek niet moet worden genegeerd", zegt Jean-Frédéric Gauron van GoSecure, het securitybedrijf dat de kwetsbaarheid ontdekte.

Eind juli kwam Pulse Secure met beveiligingsupdates voor verschillende problemen in de eigen vpn-software. De kwetsbaarheid met de Google TOTP scoort wat de impact betreft een 8,1. Uitgebreide details over dit lek ontbreken echter, behalve dat een aanvaller de Google TOTP, die als tweede factor bij het inloggen op de vpn dient, kan omzeilen als de primaire inloggegevens bekend zijn.