Pulse Connect Secure etäkäyttöhaavoittuvuus | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Pulse Connect Secure etäkäyttöhaavoittuvuus

20. huhtikuuta 2021 klo 18.25, päivitetty 3. toukokuuta 2021 klo 21.34

Pulse Secure julkaisi 3.5.2021 korjaavan päivityksen koskien kriittistä etäkäyttöhaavaa. Korjaus tulee suorittaa välittömästi, sillä haavoittuvuutta käytetään aktiivisesti hyväksi.

Haavoittuvuus koskee Pulse Connect Secure -tuotteen 9.0R3 ja tästä uudempia versioita. Haavoittuvuus mahdollistaa hyökkääjälle mielivaltaisen haittaohjelmakoodin ajon Pulse Connect Secure gateway -palvelussa. 

Haavoittuvuuteen on 3.5.2021 julkaistu päivitys 9.1R.11.4, joka korjaa haavoittuvuuden. 

Valmistaja on julkaissut haavoittuvuuden kriittisiin osiin rajoituskeinoja, jotka kytkevät päältä tiettyjä ominaisuuksia. Huom: Nämä ominaisuudet eivät kytkeydy automaattisesti päälle korjaavan päivityksen yhteydessä.

Haavoittuvuuteen liittyy seuraavat tunnisteet:

  • CVE-2021-22893 - vakavuus on CVSS 10.0 (kriittinen)
  • CVE-2021-22894 - vakavuus on CVSS 9.9 (kriittinen) - lisätty 3.5.
  • CVE-2021-22899 - vakavuus on CVSS 9.9 (kriittinen) - lisätty 3.5.
  • CVE-2021-22900 - vakavuus on CVSS 7.2 (korkea) - lisätty 3.5.

Suosittelemme tarkastamaan Pulse Secure VPN-asennuksen tietomurron varalta. Tähän työkaluna kannattaa käyttää Ivanti Product Systemsin (Pulse Securen emoyhtiö) tarjoamaa tiedostojen eheystyökalua, joka paljastaa jos asennuksen tiedostot ovat muuttuneet. Jos tiedot ovat muuttuneet, niin on oletettavaa että tietomurto on tapahtunut. Työkalu on ladattavissa Pulse Securen sivuilta.

Mikäli oletetaan, että tietomurto on tapahtunut, sen selvitys on aloitettava välittömästi. Havaittujen tietomurtojen yhteydessä murrettuuun Pulse Secure VPN-laitteeseen on asennettu webshell-takaportteja. Jälkiä näistä takaporteista voi etsiä tutkimalla Pulse Secure VPN -laitteen www-palvelimen lokitietoja erityisesti epäilyttävän HTTP POST -liikenteen varalta. Lisäksi uudet tai muokatut tiedostot Pulse Secure VPN -laitteen www-palvelimen hakemistossa /webserver/htdocs/dana-na/ ja sen alihakemistoissa olisi syytä tarkistaa haitallisen sisällön varalta.

Ilmoita Kyberturvallisuuskeskukselle kaikista aiheeseen liittyvistä havannoista.

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

21. huhtikuuta 2021 klo 10.47 Lisätty suosituksia ja tarkempia tietoja haavoittuvuuden tutkimisesta.