Pulse Connect Secure etäkäyttöhaavoittuvuus

Haavoittuvuus12/2021CVSS 10

Pulse Secure julkaisi 3.5.2021 korjaavan päivityksen koskien kriittistä etäkäyttöhaavaa. Korjaus tulee suorittaa välittömästi, sillä haavoittuvuutta käytetään aktiivisesti hyväksi.

Haavoittuvuus koskee Pulse Connect Secure -tuotteen 9.0R3 ja tästä uudempia versioita. Haavoittuvuus mahdollistaa hyökkääjälle mielivaltaisen haittaohjelmakoodin ajon Pulse Connect Secure gateway -palvelussa. 

Haavoittuvuuteen on 3.5.2021 julkaistu päivitys 9.1R.11.4, joka korjaa haavoittuvuuden. 

Valmistaja on julkaissut haavoittuvuuden kriittisiin osiin rajoituskeinoja, jotka kytkevät päältä tiettyjä ominaisuuksia. Huom: Nämä ominaisuudet eivät kytkeydy automaattisesti päälle korjaavan päivityksen yhteydessä.

Haavoittuvuuteen liittyy seuraavat tunnisteet:

  • CVE-2021-22893 - vakavuus on CVSS 10.0 (kriittinen)
  • CVE-2021-22894 - vakavuus on CVSS 9.9 (kriittinen) - lisätty 3.5.
  • CVE-2021-22899 - vakavuus on CVSS 9.9 (kriittinen) - lisätty 3.5.
  • CVE-2021-22900 - vakavuus on CVSS 7.2 (korkea) - lisätty 3.5.

Suosittelemme tarkastamaan Pulse Secure VPN-asennuksen tietomurron varalta. Tähän työkaluna kannattaa käyttää Ivanti Product Systemsin (Pulse Securen emoyhtiö) tarjoamaa tiedostojen eheystyökalua, joka paljastaa jos asennuksen tiedostot ovat muuttuneet. Jos tiedot ovat muuttuneet, niin on oletettavaa että tietomurto on tapahtunut. Työkalu on ladattavissa Pulse Securen sivuilta (Ulkoinen linkki).

Mikäli oletetaan, että tietomurto on tapahtunut, sen selvitys on aloitettava välittömästi. Havaittujen tietomurtojen yhteydessä murrettuuun Pulse Secure VPN-laitteeseen on asennettu webshell-takaportteja. Jälkiä näistä takaporteista voi etsiä tutkimalla Pulse Secure VPN -laitteen www-palvelimen lokitietoja erityisesti epäilyttävän HTTP POST -liikenteen varalta. Lisäksi uudet tai muokatut tiedostot Pulse Secure VPN -laitteen www-palvelimen hakemistossa /webserver/htdocs/dana-na/ ja sen alihakemistoissa olisi syytä tarkistaa haitallisen sisällön varalta.

Ilmoita Kyberturvallisuuskeskukselle kaikista aiheeseen liittyvistä havannoista.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Pulse Connect Secure  9.0R3 ja uudemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet

Pulse Secure on julkaissut sivuillaan (Ulkoinen linkki)rajoittavia toimenpiteitä.

Pulse Secure on julkaissut työkalun (Ulkoinen linkki) Pulse Connect Secure -sovelluksen tiedostojen eheyden tarkasteluun.

Lisätietoja

Lue lisää haavoittuvuudesta Pulse Securen ja FireEyen tiedotteista.

Lisätty suosituksia ja tarkempia tietoja haavoittuvuuden tutkimisesta.

Lisätty tieto julkaistusta korjavasta päivityksestä.