Pulse Connect Secure（PCS）ゼロデイの脆弱性 CVE-2021-22893 認証バイパス

Pulse Connect Secure（PCS）ゼロデイの脆弱性 CVE-2021-22893 認証バイパスされるリスクがあるようです。ゼロデイということで、アップデートが提供されるまでリスクが内在します。

情報元はこちら

【セキュリティニュース】VPN製品「Pulse Connect Secure」にゼロデイ攻撃 - アップデートは5月上旬（1ページ目 / 全1ページ）：Security NEXT

Ivanti傘下のPulse Secureが提供するVPN製品「Pulse Connect Secure（PCS）」に未修正の深刻な脆弱性が存在し、ゼロデイ攻撃も確認され、アップデートは5月上旬となる見込みで、同社は回避策をアナウンスしているとあります。

同製品に認証がバイパスされ、リモートより同製品上で任意のファイルが実行されるおそれがある脆弱性「CVE-2021-22893」が明らかとなったもの。共通脆弱性評価システム「CVSSv3.1」のベーススコアは、最高値である「10」とレーティングされている。

同社では、一部顧客において、悪用された形跡が確認されているとし、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）やFireEye、Stroz Friedbergなどと調査を進めていると説明。アップデートの準備を進めているが、提供は5月上旬となる見込みだという。

同社は製品において「Windowsファイル共有ブラウザ」「Pulse Secure Collaboration」を無効化し、URLベースの攻撃の影響を軽減する回避策をアナウンスした。ただし、ライセンスサーバでは回避策の利用を推奨しておらず、ファイアウォールなどを利用したアクセス制御を求めている。

あわせて製品のインストール状況を調査し、脆弱性の影響について評価するツール「Pulse Security Integrity Checker Tool」を開発し、提供を開始した。

また4件の問題を発見しているが、多くは2019年と2020年にパッチを提供している「CVE-2019-11510」「CVE-2020-8243」「CVE-2020-8260」に関するものであると説明。これらアドバイザリについても確認し、必要に応じてパスワードの変更など対策を講じるよう求めている。

公式の情報です。

Public KB - SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)

SA44784-2021-04：アウトオブサイクルアドバイザリ：Pulse Connect Secure RCEの脆弱性（CVE-2021-22893）

影響を受ける製品パルスコネクトセキュア影響を受ける製品パルスコネクトセキュア問題脆弱性がPulseConnect Secure（PCS）で発見されました。これには、認証されていないユーザーがPulse ConnectSecureゲートウェイで任意のリモートファイル実行を実行できるようにする認証バイパスの脆弱性が含まれます。この脆弱性には重大なCVSSスコアがあり、展開に重大なリスクをもたらします。

KB43892を参照してください -PulseSecureは、セキュリティの脆弱性を解決するためにどのリリースで修正を適用しますか？End of Engineering（EOE）およびEnd of Life（EOL）ポリシー。

解決

これらの脆弱性の解決策は、Pulse ConnectSecureサーバーソフトウェアのバージョンを9.1R.11.4にアップグレードすることです。タイムラインが利用可能になり次第、アドバイザリを更新します。

回避策：

CVE-2021-22893は、Workaround-2104.xmlファイルをインポートすることで軽減できます。

影響： XMLファイルは、PCSアプライアンスで次の機能を無効にします。
・Windowsファイル共有ブラウザ
・パルスセキュアコラボレーション

ブラックリスト機能を使用して、URLベースの攻撃を無効にしています。

～

その他、詳細はサイトを確認してください。