-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0019
                                                             JPCERT/CC
                                                     2021-04-21（新規）
                                                     2021-05-06（更新）

                <<< JPCERT/CC Alert 2021-04-21 >>>

   Pulse Connect Secureの脆弱性（CVE-2021-22893）に関する注意喚起

           https://www.jpcert.or.jp/at/2021/at210019.html


I. 概要
2021年4月20日（米国時間）、Pulse SecureからPulse Connect Secureの脆弱
性（CVE-2021-22893）に関するアドバイザリが公開されました。脆弱性が悪用
された場合、遠隔の第三者が認証を回避し、任意のコードを実行するなどの可
能性があります。同日、FireEyeがブログを公開し、本脆弱性や既知のPulse
Connect Secureの脆弱性を悪用した攻撃を確認していると明らかにしています。

2021年4月21日現在、脆弱性を修正するバージョンやパッチは公開されていま
せんが、すでに脆弱性を悪用した攻撃が確認されているため、同製品を利用し
ている場合は、回避策の適用や侵害確認ツールを用いた調査を推奨します。詳
細は、Pulse Secureが提供する情報を参照してください。

    Pulse Secure
    SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
    https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

    FireEye
    Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day
    https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

** 更新: 2021年4月22日追記 *******************************************
Pulse Secureを傘下に置くIvantiが、本脆弱性について日本語で情報を公開し
ています。対応を進める上での参考にしてください。

    Ivanti
    Pulse Connect Secureセキュリティアップデート
    https://www.ivanti.co.jp/blog/pulse-connect-secure-security-update
**********************************************************************


II. 対象
対象となる製品およびバージョンは次のとおりです。

  - Pulse Connect Secure 9.0R3およびそれ以降


III. 対策
2021年4月21日現在、脆弱性を修正するバージョンは公開されていません。
FireEyeのブログなどには、脆弱性を修正するパッチは5月上旬に公開される
見込みであるとの情報があります。

** 更新: 2021年5月6日追記 *******************************************
2021年5月3日（米国時間）、Pulse Secureから修正バージョンが公開されまし
た。CVE-2021-22893に加えて、別の3つの脆弱性（CVE-2021-22894、
CVE-2021-22899、CVE-2021-22900）の修正も含まれています。Pulse Secureか
ら公開された情報を参照のうえ、修正バージョンの適用をご検討ください。

    Pulse Secure
    Pulse Connect Secure Patch Availability - SA44784
    https://blog.pulsesecure.net/pulse-connect-secure-patch-availability-sa44784/

なお、すでに回避策を適用している場合、脆弱性を修正するバージョンを適用
する前に、回避策で適用した変更を切り戻すことが推奨されています。実施手
順などの詳細はPulse Secureのアドバイザリの情報をご確認ください。
**********************************************************************


IV. 回避策
脆弱性を修正するバージョンが公開されるまでの間、脆弱性を悪用した攻撃に
よる影響を軽減するため、Pulse Secureは次の回避策の適用を推奨しています。

  - Pulse Secureが提供するWorkaround-2104.xmlファイルをインポートする

xmlファイルをインポートすると、URLベースの攻撃による影響が軽減され、
Windows File Share BrowserとPulse Secure Collaborationが無効になります。
インポート後に、Windows File Browserが無効になっているか設定を確認する
ことが推奨されています。詳細の内容や実施手順については、Pulse Secure
のアドバイザリをご参照ください。


V. 侵害確認ツール
Pulse Secureは、Pulse Connect Secureで不審なファイル設置やファイルの改
ざんが行われていないか確認するためのツール「Pulse Connect Secure
Integrity Tool」を公開しています。ツールにより脅威が検知された場合の
対応方法などをまとめたFAQや、ツールのインストール方法や実行方法につい
ては、Pulse Secureが提供する情報をご参照ください。

    Pulse Secure
    KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
    https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755

    Pulse Secure
    KB44764 - Customer FAQ: PCS Security Integrity Tool Enhancements
    https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44764


VI. 参考情報
    CISA
    CISA Releases Alert on Exploitation of Pulse Connect Secure Vulnerabilities
    https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-releases-alert-exploitation-pulse-connect-secure

    CISA
    CISA Issues Emergency Directive on Pulse Connect Secure
    https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-issues-emergency-directive-pulse-connect-secure


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2021-04-21 初版
2021-04-22 「I. 概要」の追記
2021-05-06 「III. 対策」の追記

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=EGQJ
-----END PGP SIGNATURE-----