Pulse Connect Secure の脆弱性対策について(CVE-2021-22893)
ニュース
【概要】
Pulse Connect Secure は、リモートアクセスを実現するための VPN 製品です。
この Pulse Connect Secure において、遠隔の第三者が認証を回避し、任意のコードを実行する可能性のある脆弱性が確認されています。
2021 年 4 月 21 日現在、製品開発者から修正済みのバージョンは提供されていません。
製品開発者が公表している手順に従い暫定的な回避策を実施するか、または当該製品の一時的な使用停止を検討してください。
国内での被害は確認されていませんが、すでに悪用が確認されており、今後被害が拡大する可能性があるため、対策の実施についてご検討ください。
【影響を受けるシステム】
- Pulse Connect Secure 9.0R3 およびそれ以降
※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。
【対策】
2021 年 4 月 21 日現在、製品開発者から修正済みのバージョンは提供されていません。 修正バージョンについては5月上旬に公開が予定されています。詳細は下記リンクよりご確認ください。
- Pulse Connect Secure Security Update
https://blog.pulsesecure.net/pulse-connect-secure-security-update/
1.脆弱性の暫定的な回避策
製品開発者が公表している手順に従い、次の回避策の適用を実施してください。
- Pulse Secure が提供する Workaround-2104.xml ファイルをインポートする
xmlファイルをインポートすると、URLベースの攻撃による影響が軽減され、Windows File Share Browser と Pulse Secure Collaboration が無効になります。インポート後に、Windows File Browser が無効になっているか設定を確認することが推奨されています。詳細の内容や実施手順については、下記リンクよりご確認下さい。
- SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784
2.製品の利用を一時的に停止する
修正バージョンが提供されるまでの間、対象製品の利用停止をご検討ください。
【参考情報】
- SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784
- VPN製品「Pulse Connect Secure」にゼロデイ攻撃 - アップデートは5月上旬
https://www.security-next.com/125453
- Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210019.html
- Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
出典:独立行政法人情報処理推進機構(IPA)