Pulse Secure-vpn werkt niet vanwege bug in certificaatverificatie

Gebruikers van de Pulse Secure-vpn kunnen wereldwijd niet inloggen omdat een digitaal certificaat verlopen is. Volgens Pulse Secure gaat het om een bug. Het is niet bekend hoeveel gebruikers er last van hebben.

Pulse Secure waarschuwt gebruikers in een bulletin en zegt aan een oplossing te werken. Het probleem komt voor bij gebruikers die inloggen vanaf Windows-computers via de browser met Pulse Secure-versies 9.1R8.x, 9.1R9.x, 9.1R10.x en 9.1R11.x. Gebruikers die inloggen via de desktopclient en Linux- en macOS-gebruikers hebben geen last van de storing. Ook gebruikers van de Pulse Policy Secure- en de Pulse Connect Secure-client voor systeembeheerders werken niet goed. De problemen begonnen zondag om 22.00 uur.

Het probleem zit volgens Pulse Secure in het verifiëren van een certificaat aan de kant van het bedrijf. Dat komt volgens Pulse Secure door een bug in de code. "De verificatie faalt omdat de certificaat-verlooptijd wordt gecheckt in plaats van de timestamp van het signen van de code", schrijft het bedrijf. Daardoor accepteert het besturingssysteem de certificaten niet en krijgen gebruikers te zien dat de software geen verbinding kan leggen met de server.

Pulse Secure raadt gebruikers van de vpn voorlopig aan de desktopclient te gebruiken. Het bedrijf werkt aan een oplossing. Die komt later op dinsdagmiddag beschikbaar voor de recentste versie en 'eind van de dag' Amerikaanse tijd voor de andere versies.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-04-2021 13:50
26 • submitter: St00mwals

13-04-2021 • 13:50

26

Submitter: St00mwals

Lees meer

Bug in Linux-kernelfilesystemlaag maakte verkrijgen van rootrechten mogelijk
Bug in Linux-kernelfilesystemlaag maakte verkrijgen van rootrechten mogelijk Nieuws van 22 juli 2021
Windows 10-gebruikers melden crashes na recente update
Windows 10-gebruikers melden crashes na recente update Nieuws van 19 april 2021
Nederlandse bedrijven zijn gehackt hoewel melding dat had kunnen voorkomen
Nederlandse bedrijven zijn gehackt hoewel melding dat had kunnen voorkomen Nieuws van 17 augustus 2020
Experts: Citrix-kwetsbaarheid wordt actief misbruikt voor ransomware-infecties
Experts: Citrix-kwetsbaarheid wordt actief misbruikt voor ransomware-infecties Nieuws van 24 januari 2020
NCSC: Nog veel bedrijven maken gebruik van kwetsbare vpn's
NCSC: Nog veel bedrijven maken gebruik van kwetsbare vpn's Nieuws van 18 oktober 2019
Ook lek in Fortigate-vpn maakt netwerken Nederlandse bedrijven kwetsbaar
Ook lek in Fortigate-vpn maakt netwerken Nederlandse bedrijven kwetsbaar Nieuws van 29 september 2019
Meer producten en artikelen
Beveiliging en antivirus Internettoegang Certificaat Ssl certificaat Vpn

Reacties (26)

-Moderatie-faq
26
26
8
1
0
16
Wijzig sortering
FluF 13 april 2021 13:56
Opmerking op het artikel:

De problemen zijn bij ons in de ochtend (start van de dag) al begonnen, niet op maandag avond 22:00
We zitten nu met smart te wachten op de patch, want de gebruikers klagen nogal dat via HTML5 werken niet alles is wat ik ze kan beamen! (Ja dat werkt nog wel gelukkig) Verwachting is om 14:30 (05:30 a.m PST)

Ook heeft Ivanti zijn excuuses aangeboden: Link
(Pulse is vorig jaar overgenomen door Ivanti: Link)

De workaround om te downgraden doen we zeker niet aangezien daar vele beveiligings problemen in zitten zoals voorheen al besproken, dat de VPN doorbroken kan worden: Link

[Reactie gewijzigd door FluF op 22 juli 2024 20:26]

Dennisb1 @FluF13 april 2021 15:40
Hier sluit ik mij bij aan, voor 8:30 in de ochtend waren de problemen al actief.
Yoshi @FluF13 april 2021 15:41
Klopt, problemen zijn er wel degelijk al sinds gisteren. (wij hebben het gemerkt vanaf maandag ochtend). Wat ook helpt is gewoon de tijd van je systeem paar dagen terug zetten, vpn actief maken en dan je tijd terug correct zetten. Maar is een nogal dirty work around (plus je krijgt dat ook niet uitgelegd aan 1000 gebruikers)
TwiekertBOB @Yoshi13 april 2021 18:59
Dat is ook iets dat niet iedere gebruiker mag. Bij ons is dit enkel voor admins te doen.
betatester @FluF13 april 2021 19:26
Problemen hier al sinds gisterochtend 6 uur
Mystefyer @FluF15 april 2021 00:50
Het probleem zat m in het default Certificaat wat werd gebruikt om de apps te ondertekenen. Deze verliep om 02:00 op maandag.

Dit is al de 2e keer dat dit Pulse overkomt blijkbaar....
Feelbest 13 april 2021 13:56
Die problemen met Pulse begonnen een stuk eerder dan 22:00 uur gisteravond.
Bij ons bedrijf hadden we er 's ochtends om 8:30 uur al last van en vlak daarna was ook al bekend dat het een wereldwijd probleem was.
Johanson16 @Feelbest13 april 2021 13:59
Juist, kreeg gisterochtend rond 08:00 uur de eerste berichten binnen dat de boel niet werkte. Rond 9-10 uur 's ochtends was inderdaad ook bekend dat dit een wereldwijd probleem was en dat dit met genoemde certificaat te maken had.
XFlame @Feelbest13 april 2021 14:00
Yep, hier ook. Hebben het nog met een workaround via een eigen Code Signing certificaat gepoogd op te lossen, maar die oplossing mocht niet baten.
The Zep Man
13 april 2021 13:57
Ik ben meer een fan van standaardprotocollen en -clients. Daarmee zijn er minder afhankelijkheden van custom code, waar ook weer fouten mee gemaakt kunnen worden. Fouten die ik liever niet heb bij het gebruiken van dit soort diensten, omdat ze altijd wel vertrouwelijkheid, integriteit of beschikbaarheid beïnvloeden. :+

[Reactie gewijzigd door The Zep Man op 22 juli 2024 20:26]

kevinr1 13 april 2021 13:58
Je zou maar niet meer bij je omgeving kunnen komen als engineer bij een bedrijf, want je bent afhankelijk van de Pulse VPN.
FluF @kevinr113 april 2021 14:04
Daarom hebben wij een 2e oplossing om er voor te zorgen dat NOOIT 100% van het bedrijf plat licht.
Rolfie @FluF13 april 2021 14:08
Nadeel daarvan kan weer zijn, dat beide oplossingen elkaar bijten en je dus weer vreemde dingen tegenkomt.

Maar het is wel een stukje risicomanagement dat dit voorkomt.
The Zep Man
@Rolfie13 april 2021 14:20
Nadeel daarvan kan weer zijn, dat beide oplossingen elkaar bijten en je dus weer vreemde dingen tegenkomt.
Niet als je een aparte verbinding gebruikt en aparte infra op het eigen netwerk hebt om het op te draaien.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 20:26]

Rolfie @The Zep Man13 april 2021 15:14
Hangt er ook allemaal weer vanaf, wat voor een config het is.

Dit soort bugs kunnen ook in je netwerk apparatuur zitten, dus dan ook maar weer 2 leveranciers hiervoor nemen? Maar je zal waarschijnlijk je netwerk toch ergens aan elkaar moeten koppelen?
Externe toegang wil je eigenlijk hebben met 2FA, dus ook maar 2 leveranciers nemen?
Dan eigenlijk ook 2 Internetverbindingen nemen. Voor zowel inkomend/als uitgaand verkeer?
Maar 2 producten voor, betekent ook voor een SD dubbel zoveel werk, lastiger voor gebruikers.

Het is maar hoever je wilt gaan, alles kan problemen geven.
The Zep Man
@Rolfie13 april 2021 15:40
Hangt er ook allemaal weer vanaf, wat voor een config het is.
Als jij twee aparte extranetten aanbiedt die op twee aparte manieren jouw netwerk binnenkomen, dan zullen die extranetten niet met elkaar conflicteren. Dat is allemaal standaard TCP/IP. Waar het fout kan gaan is als je VPN servers/clients gemengd gaat gebruiken op dezelfde infrastructuur.
Dan eigenlijk ook 2 Internetverbindingen nemen.
Dat is helemaal geen slecht idee voor veel organisaties waar downtime een dure optie is.
Externe toegang wil je eigenlijk hebben met 2FA, dus ook maar 2 leveranciers nemen?
Sowieso moet je een backup hebben voor 2FA, voor als één factor onbeschikbaar is.

Je laat het allemaal erg moeilijk klinken, maar al hou je er bij het ontwerp al rekening mee, dan kan je voor weinig kosten veel risico's afdekken.
SunnieNL @kevinr113 april 2021 14:13
Dan gebruik je de desktopclient en kun je er gewoon bij ;)
MaartenH 13 april 2021 14:04
Misschien.... is de kop ook wat fout....
"Diverse functionaliteiten zijn uitgevallen binnen Pulse Secure (virtual) applicances" is beter... inloggen lukt nu juist wél ! :)
kamerplant 13 april 2021 14:15
Ik moet helaas veel inloggen bij omgevingen van klanten. Het voelt altijd houtje touwtje aan, want: Via tools als Citrix heb je merkbaar een delay. Andere tools zijn niet compatible met je lokale password manager, zodat je wachtwoorden moet onthouden (lekker onveilig). Weer andere tools hebben problemen als je OS een upgrade krijgt, of houdt je je hart vast om de VPN app zelf te updaten. Veel tools methodes zijn onveilig. Voor m'n gevoel is dit altijd bagger. Is er niet gewoon iets op de markt wat gewoon goed werkt en veilig is? Dit herkennen andere Tweakers toch vast wel? :P

[Reactie gewijzigd door kamerplant op 22 juli 2024 20:26]

Brahiewahiewa @kamerplant13 april 2021 14:39
... Is er niet gewoon iets op de markt wat gewoon goed werkt en veilig is? ...
Nee, dat is er niet. Het gemiddelde software bedrijf heeft 10 marketing mensen op elke developer.
De nadruk zal altijd liggen op nietszeggende features die de marketing staff kan verkopen. Security komt helemaal achteraan in dat rijtje
tw34kers @kamerplant13 april 2021 14:36
Citrix met vertraging, hebben wij niet echt last van.

Verder hebben wij bij een groot aantal van onze klanten gewoonweg een policy in de firewalls staan, waar wij via RDP van een publiek IP rechtrstreeks naar 1 of andere jump-server binnen kunnen.

Leek ons beter zo.
Stel, ik als consultant krijg mijn ontslag, dan zou m'n bedrijf elke klant waar ik ook maar 1 account met remote access bij heb moeten inlichten.
Op deze manier voorkom je dat.

Fysieke toegang tot het corporate netwerk is niet mogelijk, wegen 802.1X.
VPN toegang is niet mogelijk, wegens authenticatie via AD authenticatie + 2FA.

Geen gezever meer met IPSEC, VPN clients, nameless accounts, ...
CAPSLOCK2000
@kamerplant13 april 2021 14:47
Niet het antwoord dat je zoekt, maar ssh heeft daar allemaal geen last van en/of er zijn oplossingen voor de problemen, zoals het doorgeven van toegang tot je password manager of hardware token.
JohnnyricoMC @kamerplant13 april 2021 17:10
Absoluut. Pulse Secure, Fortinet, F5 BigIP, GlobalProtect, Cisco AnyConnect,... Of je moet knoeien in Citrix, VMWare Horizon of een andere soort VDI.

Het is echt een janboel met die vendor-specifieke VPN's en VDI-oplossingen en als je met Linux werkt is het nog erger. Dan biedt de leverancier vaak geen client of die werkt maar half en je mag je gelukkig prijzen als bijvoorbeeld OpenConnect, OpenFortiVPN of Remmina er mee overweg kunnen.
maevian @JohnnyricoMC13 april 2021 18:15
Fortinet focust zich nochtans meer en meer op cloud, dus zou je verwachten dat linux support belangrijk is.
Global protect heeft zeker wel een linux client, volgens mij zelfs GUI en CLI
Loadjnt 13 april 2021 14:42
De Pulse Secure desktop client in combinatie met de windows remote desktop werkt ook een stuk beter. Ik ben geen fan van de browser versie.
Samsonait 14 april 2021 12:21
Patch is ook ruk, werkt wel weer maar een boel werk.
Je zou toch beter verwachten van zon grote club.

Trouwens, inloggen lukt prima, staat in de titel dat dat niet werkt. Alleen verder kwam je niet als je geen HTML versie had.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq