Pulse Secure heeft een belangrijke beveiligingsupdate uitgebracht voor een zeer kritiek zerodaylek in de vpn-software dat al voor het uitkomen van de patch werd aangevallen. Vanwege de kwetsbaarheid kwam het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid met het advies om vpn-servers dagelijks te controleren en werden door de Amerikaanse overheid noodinstructies afgegeven.

De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10. Via het beveiligingslek kan een aanvaller op afstand en zonder authenticatie code op kwetsbare Pulse Connect Secure (PCS) vpn-servers uitvoeren. Pulse Secure kwam op 20 april met een waarschuwing voor de zeroday-aanvallen en maakte gisterenavond een beveiligingsupdate beschikbaar.

Naast het actief aangevallen zerodaylek worden ook drie andere kwetsbaarheden met de update verholpen. Het gaat om CVE-2021-22894, CVE-2021-22899 en CVE-2021-22900. De eerste twee van deze beveiligingslekken hebben een impactscore van 9,9. CVE-2021-22894 betreft een buffer overflow die het mogelijk maakt voor geauthenticeerde gebruikers om via een speciaal geprepareerde meetingroom willekeurige code met rootrechten uit te voeren.

Via CVE-2021-22899 is command injection mogelijk en kunnen geauthenticeerde gebruikers ook code op de vpn-server uitvoeren. De in totaal vier kwetsbaarheden zijn verholpen in Pulse Connect Secure 9.1R11.4. Naast het installeren van de update adviseert Pulse Secure het gebruik van de Pulse Security Integrity Checker Tool, waarmee beheerders kunnen controleren of hun vpn-server is gecompromitteerd.