トップ セキュリティ情報 2021年度 【注意喚起】Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起

【注意喚起】Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起

2021年5月7日 南大沢 日野 荒川

Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起がありました。

I. 概要
2021年4月20日(米国時間)、Pulse SecureからPulse Connect Secureの脆弱性(CVE-2021-22893)に関するアドバイザリが公開されました。脆弱性が悪用された場合、遠隔の第三者が認証を回避し、任意のコードを実行するなどの可能性があります。同日、FireEyeがブログを公開し、本脆弱性や既知のPulse
Connect Secureの脆弱性を悪用した攻撃を確認していると明らかにしています。

2021年4月21日現在、脆弱性を修正するバージョンやパッチは公開されていませんが、すでに脆弱性を悪用した攻撃が確認されているため、同製品を利用している場合は、回避策の適用や侵害確認ツールを用いた調査を推奨します。詳細は、Pulse Secureが提供する情報を参照してください。

 Pulse Secure
 SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
  https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

 FireEye
 Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day
  https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

** 更新: 2021年4月22日追記 *******************************************
Pulse Secureを傘下に置くIvantiが、本脆弱性について日本語で情報を公開しています。対応を進める上での参考にしてください。

 Ivanti
 Pulse Connect Secureセキュリティアップデート
  https://www.ivanti.co.jp/blog/pulse-connect-secure-security-update
**********************************************************************


II. 対象
対象となる製品およびバージョンは次のとおりです。

- Pulse Connect Secure 9.0R3およびそれ以降


III. 対策
2021年4月21日現在、脆弱性を修正するバージョンは公開されていません。FireEyeのブログなどには、
脆弱性を修正するパッチは5月上旬に公開される見込みであるとの情報があります。

** 更新: 2021年5月6日追記 *******************************************
2021年5月3日(米国時間)、Pulse Secureから修正バージョンが公開されました。
CVE-2021-22893に加えて、別の3つの脆弱性(CVE-2021-22894、CVE-2021-22899、CVE-2021-22900)
の修正も含まれています。Pulse Secureから公開された情報を参照のうえ、修正バージョンの適用をご検討ください。

 Pulse Secure
 Pulse Connect Secure Patch Availability - SA44784
  https://blog.pulsesecure.net/pulse-connect-secure-patch-availability-sa44784/

なお、すでに回避策を適用している場合、脆弱性を修正するバージョンを適用する前に、回避策で適用した変更を切り戻すことが推奨されています。実施手順などの詳細はPulse Secureのアドバイザリの情報をご確認ください。
**********************************************************************


IV. 回避策
脆弱性を修正するバージョンが公開されるまでの間、脆弱性を悪用した攻撃による影響を軽減するため、
Pulse Secureは次の回避策の適用を推奨しています。

- Pulse Secureが提供するWorkaround-2104.xmlファイルをインポートする

xmlファイルをインポートするとURLベースの攻撃による影響が軽減され、Windows File Share BrowserとPulse Secure Collaborationが無効になります。インポート後に、Windows File Browserが無効になっているか設定を確認することが推奨されています。詳細の内容や実施手順については、Pulse Secureのアドバイザリをご参照ください。


V. 侵害確認ツール
Pulse Secureは、Pulse Connect Secureで不審なファイル設置やファイルの改ざんが行われていないか確認するためのツール「Pulse Connect Secure Integrity Tool」を公開しています。ツールにより脅威が検知された場合の対応方法などをまとめたFAQや、ツールのインストール方法や実行方法については、Pulse
Secureが提供する情報をご参照ください。

 Pulse Secure
 KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
  https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755

 Pulse Secure
 KB44764 - Customer FAQ: PCS Security Integrity Tool Enhancements
  https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44764


VI. 参考情報
 CISA
 CISA Releases Alert on Exploitation of Pulse Connect Secure Vulnerabilities
  https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-releases-alert-exploitation-pulse-connect-secure

 CISA
 CISA Issues Emergency Directive on Pulse Connect Secure
  https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-issues-emergency-directive-pulse-connect-secure

________
改訂履歴
2021-04-21 初版
2021-04-22 「I. 概要」の追記
2021-05-06 「III. 対策」の追記

引用元: JPCERTコーディネーションセンター
    「注意喚起」
    https://www.jpcert.or.jp/at/

ページ上部へ戻る