Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

VPN製品「Pulse Connect Secure」にアップデート - ゼロデイ脆弱性など修正

今回修正された「CVE-2021-22893」は、解放後のメモリを使用するいわゆる「Use After Free」の脆弱性。認証なしにリモートよりコードを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは、最高値である「10」と評価されている。

さらにバッファオーバーフローの脆弱性「CVE-2021-22894」やコマンドインジェクションの脆弱性「CVE-2021-22899」についてもアップデートで修正された。認証済みのユーザーによってコードが実行されるおそれがあり、CVSS基本値はいずれも「9.9」。これら3件は、重要度が「クリティカル(Critical)」とレーティングされている。

一方「CVE-2021-22900」は、管理者向けウェブインターフェイスに明らかとなった脆弱性で、悪意あるファイルのアップロードが可能となる。悪用には管理者権限を必要とし、CVSS基本値は「7.2」、重要度は「高(High)」と1段階低く評価されている。

従来の「CVE-2021-22893」にくわえて、「CVE-2021-22894」「CVE-2021-22899」についても、同社が提供する「XMLファイル」をインポートして「Windowsファイル共有ブラウザ」「パルスセキュアコラボレーション」を無効化する回避策が有効とされている。

ただし、同社は同回避策を適用している場合も、今回リリースした「Pulse Connect Secure 9.1R11.4」以降へ更新し、脆弱性を解消するよう推奨。特に「同9.1R9」については、過去に明らかとなった脆弱性の影響を受けるおそれもあると危険性を指摘しており、アップデートするよう強く求めている。

(Security NEXT - 2021/05/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

「SonicWall」の旧製品に差し迫るランサムウェアの危機
続くVPN機器への攻撃 - 「修正済み」のつもりが無防備だったケースも
FBI、「FortiOS」脆弱性について再度注意喚起 - 5月以降も被害が
「Pulse Connect Secure」に未修正の脆弱性 - 更新準備中、回避策実施を
「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘
「Pulse Connect Secure」脆弱性で国内法人もアナウンス
ランサムウェア「Cring」、脆弱VPN機器を標的 - 制御システムが停止する被害も
VPN製品「Pulse Connect Secure」にゼロデイ攻撃 - アップデートは5月上旬
米政府、「Pulse Connect Secure」のゼロデイ脆弱性対応で緊急指令
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定