VPN製品「Pulse Connect Secure」にゼロデイ攻撃 - アップデートは5月上旬
Ivanti傘下のPulse Secureが提供するVPN製品「Pulse Connect Secure(PCS)」に未修正の深刻な脆弱性が存在し、ゼロデイ攻撃も確認されていることがわかった。アップデートは5月上旬となる見込みで、同社は回避策をアナウンスしている。
同製品に認証がバイパスされ、リモートより同製品上で任意のファイルが実行されるおそれがある脆弱性「CVE-2021-22893」が明らかとなったもの。共通脆弱性評価システム「CVSSv3.1」のベーススコアは、最高値である「10」とレーティングされている。
同社では、一部顧客において、悪用された形跡が確認されているとし、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)やFireEye、Stroz Friedbergなどと調査を進めていると説明。アップデートの準備を進めているが、提供は5月上旬となる見込みだという。
同社は製品において「Windowsファイル共有ブラウザ」「Pulse Secure Collaboration」を無効化し、URLベースの攻撃の影響を軽減する回避策をアナウンスした。ただし、ライセンスサーバでは回避策の利用を推奨しておらず、ファイアウォールなどを利用したアクセス制御を求めている。
あわせて製品のインストール状況を調査し、脆弱性の影響について評価するツール「Pulse Security Integrity Checker Tool」を開発し、提供を開始した。
また4件の問題を発見しているが、多くは2019年と2020年にパッチを提供している「CVE-2019-11510」「CVE-2020-8243」「CVE-2020-8260」に関するものであると説明。これらアドバイザリについても確認し、必要に応じてパスワードの変更など対策を講じるよう求めている。
(Security NEXT - 2021/04/21 )
ツイート
関連リンク
- Pulse Secure:Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
- Pulse Secure:Pulse Connect Secure (PCS) Integrity Assurance
- Pulse Secure:Multiple vulnerabilities resolved in Pulse Connect Secure / Pulse Policy Secure 9.0RX
- Pulse Secure:Multiple vulnerabilities resolved in Pulse Connect Secure / Pulse Policy Secure 9.1R8.2
- Pulse Secure:Multiple Vulnerabilities Resolved in Pulse Connect Secure / Pulse Policy Secure / Pulse Secure Desktop Client 9.1R9
- Pulse Secure
PR
関連記事
SonicWall製ファイアウォールにDoS脆弱性 - SSL VPN有効時に影響
米当局、「WatchGuard Firebox」など脆弱性3件の悪用に注意喚起
WatchGuardのVPNクライアントに脆弱性 - Windows版に影響
組織の「ネット玄関口」狙う攻撃に注意 - 可視化や脆弱性対策の徹底を
「Cisco ASA/FTD」脆弱性がDoS攻撃の標的に - 修正を再度呼びかけ
「WatchGuard Firebox」の深刻な脆弱性、PoC公開で悪用リスク上昇
「FortiOS」で複数脆弱性を解消 - 8月に緩和策講じたゼロデイ脆弱性も修正
「AWS Client VPN」に権限昇格の脆弱性 - macOS版のみ影響
「Cisco ASA」狙うゼロデイ攻撃、5月に複数政府機関で確認
Cisco製FWやOSにクリティカル脆弱性 - すでに攻撃試行も
