Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Pulse Secure-vpn werkt niet vanwege bug in certificaatverificatie

Gebruikers van de Pulse Secure-vpn kunnen wereldwijd niet inloggen omdat een digitaal certificaat verlopen is. Volgens Pulse Secure gaat het om een bug. Het is niet bekend hoeveel gebruikers er last van hebben.

Pulse Secure waarschuwt gebruikers in een bulletin en zegt aan een oplossing te werken. Het probleem komt voor bij gebruikers die inloggen vanaf Windows-computers via de browser met Pulse Secure-versies 9.1R8.x, 9.1R9.x, 9.1R10.x en 9.1R11.x. Gebruikers die inloggen via de desktopclient en Linux- en macOS-gebruikers hebben geen last van de storing. Ook gebruikers van de Pulse Policy Secure- en de Pulse Connect Secure-client voor systeembeheerders werken niet goed. De problemen begonnen zondag om 22.00 uur.

Het probleem zit volgens Pulse Secure in het verifiëren van een certificaat aan de kant van het bedrijf. Dat komt volgens Pulse Secure door een bug in de code. "De verificatie faalt omdat de certificaat-verlooptijd wordt gecheckt in plaats van de timestamp van het signen van de code", schrijft het bedrijf. Daardoor accepteert het besturingssysteem de certificaten niet en krijgen gebruikers te zien dat de software geen verbinding kan leggen met de server.

Pulse Secure raadt gebruikers van de vpn voorlopig aan de desktopclient te gebruiken. Het bedrijf werkt aan een oplossing. Die komt later op dinsdagmiddag beschikbaar voor de recentste versie en 'eind van de dag' Amerikaanse tijd voor de andere versies.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

13-04-2021 • 13:50

26 Linkedin

Submitter: St00mwals

Reacties (26)

Wijzig sortering
Opmerking op het artikel:

De problemen zijn bij ons in de ochtend (start van de dag) al begonnen, niet op maandag avond 22:00
We zitten nu met smart te wachten op de patch, want de gebruikers klagen nogal dat via HTML5 werken niet alles is wat ik ze kan beamen! (Ja dat werkt nog wel gelukkig) Verwachting is om 14:30 (05:30 a.m PST)

Ook heeft Ivanti zijn excuuses aangeboden: Link
(Pulse is vorig jaar overgenomen door Ivanti: Link)

De workaround om te downgraden doen we zeker niet aangezien daar vele beveiligings problemen in zitten zoals voorheen al besproken, dat de VPN doorbroken kan worden: Link

[Reactie gewijzigd door FluF op 13 april 2021 14:00]

Hier sluit ik mij bij aan, voor 8:30 in de ochtend waren de problemen al actief.
Klopt, problemen zijn er wel degelijk al sinds gisteren. (wij hebben het gemerkt vanaf maandag ochtend). Wat ook helpt is gewoon de tijd van je systeem paar dagen terug zetten, vpn actief maken en dan je tijd terug correct zetten. Maar is een nogal dirty work around (plus je krijgt dat ook niet uitgelegd aan 1000 gebruikers)
Dat is ook iets dat niet iedere gebruiker mag. Bij ons is dit enkel voor admins te doen.
Problemen hier al sinds gisterochtend 6 uur
Het probleem zat m in het default Certificaat wat werd gebruikt om de apps te ondertekenen. Deze verliep om 02:00 op maandag.

Dit is al de 2e keer dat dit Pulse overkomt blijkbaar....
Die problemen met Pulse begonnen een stuk eerder dan 22:00 uur gisteravond.
Bij ons bedrijf hadden we er 's ochtends om 8:30 uur al last van en vlak daarna was ook al bekend dat het een wereldwijd probleem was.
Juist, kreeg gisterochtend rond 08:00 uur de eerste berichten binnen dat de boel niet werkte. Rond 9-10 uur 's ochtends was inderdaad ook bekend dat dit een wereldwijd probleem was en dat dit met genoemde certificaat te maken had.
Yep, hier ook. Hebben het nog met een workaround via een eigen Code Signing certificaat gepoogd op te lossen, maar die oplossing mocht niet baten.
Ik ben meer een fan van standaardprotocollen en -clients. Daarmee zijn er minder afhankelijkheden van custom code, waar ook weer fouten mee gemaakt kunnen worden. Fouten die ik liever niet heb bij het gebruiken van dit soort diensten, omdat ze altijd wel vertrouwelijkheid, integriteit of beschikbaarheid beïnvloeden. :+

[Reactie gewijzigd door The Zep Man op 13 april 2021 13:58]

Je zou maar niet meer bij je omgeving kunnen komen als engineer bij een bedrijf, want je bent afhankelijk van de Pulse VPN.
Daarom hebben wij een 2e oplossing om er voor te zorgen dat NOOIT 100% van het bedrijf plat licht.
Nadeel daarvan kan weer zijn, dat beide oplossingen elkaar bijten en je dus weer vreemde dingen tegenkomt.

Maar het is wel een stukje risicomanagement dat dit voorkomt.
Nadeel daarvan kan weer zijn, dat beide oplossingen elkaar bijten en je dus weer vreemde dingen tegenkomt.
Niet als je een aparte verbinding gebruikt en aparte infra op het eigen netwerk hebt om het op te draaien.

[Reactie gewijzigd door The Zep Man op 13 april 2021 14:21]

Hangt er ook allemaal weer vanaf, wat voor een config het is.

Dit soort bugs kunnen ook in je netwerk apparatuur zitten, dus dan ook maar weer 2 leveranciers hiervoor nemen? Maar je zal waarschijnlijk je netwerk toch ergens aan elkaar moeten koppelen?
Externe toegang wil je eigenlijk hebben met 2FA, dus ook maar 2 leveranciers nemen?
Dan eigenlijk ook 2 Internetverbindingen nemen. Voor zowel inkomend/als uitgaand verkeer?
Maar 2 producten voor, betekent ook voor een SD dubbel zoveel werk, lastiger voor gebruikers.

Het is maar hoever je wilt gaan, alles kan problemen geven.
Hangt er ook allemaal weer vanaf, wat voor een config het is.
Als jij twee aparte extranetten aanbiedt die op twee aparte manieren jouw netwerk binnenkomen, dan zullen die extranetten niet met elkaar conflicteren. Dat is allemaal standaard TCP/IP. Waar het fout kan gaan is als je VPN servers/clients gemengd gaat gebruiken op dezelfde infrastructuur.
Dan eigenlijk ook 2 Internetverbindingen nemen.
Dat is helemaal geen slecht idee voor veel organisaties waar downtime een dure optie is.
Externe toegang wil je eigenlijk hebben met 2FA, dus ook maar 2 leveranciers nemen?
Sowieso moet je een backup hebben voor 2FA, voor als één factor onbeschikbaar is.

Je laat het allemaal erg moeilijk klinken, maar al hou je er bij het ontwerp al rekening mee, dan kan je voor weinig kosten veel risico's afdekken.
Dan gebruik je de desktopclient en kun je er gewoon bij ;)
Misschien.... is de kop ook wat fout....
"Diverse functionaliteiten zijn uitgevallen binnen Pulse Secure (virtual) applicances" is beter... inloggen lukt nu juist wél ! :)
Ik moet helaas veel inloggen bij omgevingen van klanten. Het voelt altijd houtje touwtje aan, want: Via tools als Citrix heb je merkbaar een delay. Andere tools zijn niet compatible met je lokale password manager, zodat je wachtwoorden moet onthouden (lekker onveilig). Weer andere tools hebben problemen als je OS een upgrade krijgt, of houdt je je hart vast om de VPN app zelf te updaten. Veel tools methodes zijn onveilig. Voor m'n gevoel is dit altijd bagger. Is er niet gewoon iets op de markt wat gewoon goed werkt en veilig is? Dit herkennen andere Tweakers toch vast wel? :P

[Reactie gewijzigd door kamerplant op 13 april 2021 14:15]

... Is er niet gewoon iets op de markt wat gewoon goed werkt en veilig is? ...
Nee, dat is er niet. Het gemiddelde software bedrijf heeft 10 marketing mensen op elke developer.
De nadruk zal altijd liggen op nietszeggende features die de marketing staff kan verkopen. Security komt helemaal achteraan in dat rijtje
Citrix met vertraging, hebben wij niet echt last van.

Verder hebben wij bij een groot aantal van onze klanten gewoonweg een policy in de firewalls staan, waar wij via RDP van een publiek IP rechtrstreeks naar 1 of andere jump-server binnen kunnen.

Leek ons beter zo.
Stel, ik als consultant krijg mijn ontslag, dan zou m'n bedrijf elke klant waar ik ook maar 1 account met remote access bij heb moeten inlichten.
Op deze manier voorkom je dat.

Fysieke toegang tot het corporate netwerk is niet mogelijk, wegen 802.1X.
VPN toegang is niet mogelijk, wegens authenticatie via AD authenticatie + 2FA.

Geen gezever meer met IPSEC, VPN clients, nameless accounts, ...
Niet het antwoord dat je zoekt, maar ssh heeft daar allemaal geen last van en/of er zijn oplossingen voor de problemen, zoals het doorgeven van toegang tot je password manager of hardware token.
Absoluut. Pulse Secure, Fortinet, F5 BigIP, GlobalProtect, Cisco AnyConnect,... Of je moet knoeien in Citrix, VMWare Horizon of een andere soort VDI.

Het is echt een janboel met die vendor-specifieke VPN's en VDI-oplossingen en als je met Linux werkt is het nog erger. Dan biedt de leverancier vaak geen client of die werkt maar half en je mag je gelukkig prijzen als bijvoorbeeld OpenConnect, OpenFortiVPN of Remmina er mee overweg kunnen.
Fortinet focust zich nochtans meer en meer op cloud, dus zou je verwachten dat linux support belangrijk is.
Global protect heeft zeker wel een linux client, volgens mij zelfs GUI en CLI
De Pulse Secure desktop client in combinatie met de windows remote desktop werkt ook een stuk beter. Ik ben geen fan van de browser versie.
Patch is ook ruk, werkt wel weer maar een boel werk.
Je zou toch beter verwachten van zon grote club.

Trouwens, inloggen lukt prima, staat in de titel dat dat niet werkt. Alleen verder kwam je niet als je geen HTML versie had.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True