Am Pulse der Unzeit: SSL-Gateway nicht Secure
Eine Schwachstelle, die auf der international gebräuchlichen Skala CVSS einen Score von 10 erreicht – den Höchstwert –, sieht man nicht alle Tage. Inzwischen wird die seit April letzten Jahres bekannte und (im Idealfall) gepatchte Schwachstelle der von Juniper ausgegründeten SSL-Gateways von PulseSecure aktiv zur Verbreitung von Ransomware ausgenutzt. Das CERT-Bund hatte zuletzt im August öffentlich gewarnt, trotzdem finden sich immer noch ungepatchte Gateways im Internet.
Prominentestes Opfer ist die Firma Travelex, die es jüngst hart traf. Dabei hatten Sicherheitsforscher die Firma schon Mitte September vor ihren ungepatchten SSL-VPNs gewarnt.