各位
Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210019.html
I. 概要2021年4月20日(米国時間)、Pulse SecureからPulse Connect Secureの脆弱性(CVE-2021-22893)に関するアドバイザリが公開されました。脆弱性が悪用された場合、遠隔の第三者が認証を回避し、任意のコードを実行するなどの可能性があります。同日、FireEyeがブログを公開し、本脆弱性や既知のPulseConnect Secureの脆弱性を悪用した攻撃を確認していると明らかにしています。
2021年4月21日現在、脆弱性を修正するバージョンやパッチは公開されていませんが、すでに脆弱性を悪用した攻撃が確認されているため、同製品を利用している場合は、回避策の適用や侵害確認ツールを用いた調査を推奨します。詳細は、Pulse Secureが提供する情報を参照してください。
Pulse Secure
SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
FireEye
Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
** 更新: 2021年4月22日追記 ****************
Pulse Secureを傘下に置くIvantiが、本脆弱性について日本語で情報を公開しています。対応を進める上での参考にしてください。
Ivanti
Pulse Connect Secureセキュリティアップデート
https://www.ivanti.co.jp/blog/pulse-connect-secure-security-update
**************************************************
II. 対象対象となる製品およびバージョンは次のとおりです。
- Pulse Connect Secure 9.0R3およびそれ以降
III. 対策2021年4月21日現在、脆弱性を修正するバージョンは公開されていません。FireEyeのブログなどには、脆弱性を修正するパッチは5月上旬に公開される見込みであるとの情報があります。
** 更新: 2021年5月6日追記 ****************
2021年5月3日(米国時間)、Pulse Secureから修正バージョンが公開されました。CVE-2021-22893に加えて、別の3つの脆弱性(CVE-2021-22894、CVE-2021-22899、CVE-2021-22900)の修正も含まれています。Pulse Secureから公開された情報を参照のうえ、修正バージョンの適用をご検討ください。
Pulse Secure
Pulse Connect Secure Patch Availability - SA44784
https://blog.pulsesecure.net/pulse-connect-secure-patch-availability-sa44784/
なお、すでに回避策を適用している場合、脆弱性を修正するバージョンを適用する前に、回避策で適用した変更を切り戻すことが推奨されています。実施手順などの詳細はPulse Secureのアドバイザリの情報をご確認ください。
**************************************************
IV. 回避策脆弱性を修正するバージョンが公開されるまでの間、脆弱性を悪用した攻撃による影響を軽減するため、Pulse Secureは次の回避策の適用を推奨しています。
- Pulse Secureが提供するWorkaround-2104.xmlファイルをインポートする
xmlファイルをインポートすると、URLベースの攻撃による影響が軽減され、Windows File Share BrowserとPulse Secure Collaborationが無効になります。インポート後に、Windows File Browserが無効になっているか設定を確認することが推奨されています。詳細の内容や実施手順については、Pulse Secureのアドバイザリをご参照ください。
V. 侵害確認ツールPulse Secureは、Pulse Connect Secureで不審なファイル設置やファイルの改ざんが行われていないか確認するためのツール「Pulse Connect SecureIntegrity Tool」を公開しています。ツールにより脅威が検知された場合の対応方法などをまとめたFAQや、ツールのインストール方法や実行方法については、Pulse Secureが提供する情報をご参照ください。
Pulse Secure
KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
Pulse Secure
KB44764 - Customer FAQ: PCS Security Integrity Tool Enhancements
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44764
VI. 参考情報
CISA
CISA Releases Alert on Exploitation of Pulse Connect Secure Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-releases-alert-exploitation-pulse-connect-secure
CISA
CISA Issues Emergency Directive on Pulse Connect Secure
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-issues-emergency-directive-pulse-connect-secure
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2021-04-21 初版
2021-04-22 「I. 概要」の追記
2021-05-06 「III. 対策」の追記
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2021-0019
JPCERT/CC
2021-04-21(新規)
2021-05-06(更新)
JPCERT/CC Alert 2021-04-21
Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210019.html
I. 概要2021年4月20日(米国時間)、Pulse SecureからPulse Connect Secureの脆弱性(CVE-2021-22893)に関するアドバイザリが公開されました。脆弱性が悪用された場合、遠隔の第三者が認証を回避し、任意のコードを実行するなどの可能性があります。同日、FireEyeがブログを公開し、本脆弱性や既知のPulseConnect Secureの脆弱性を悪用した攻撃を確認していると明らかにしています。
2021年4月21日現在、脆弱性を修正するバージョンやパッチは公開されていませんが、すでに脆弱性を悪用した攻撃が確認されているため、同製品を利用している場合は、回避策の適用や侵害確認ツールを用いた調査を推奨します。詳細は、Pulse Secureが提供する情報を参照してください。
Pulse Secure
SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
FireEye
Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
** 更新: 2021年4月22日追記 ****************
Pulse Secureを傘下に置くIvantiが、本脆弱性について日本語で情報を公開しています。対応を進める上での参考にしてください。
Ivanti
Pulse Connect Secureセキュリティアップデート
https://www.ivanti.co.jp/blog/pulse-connect-secure-security-update
**************************************************
II. 対象対象となる製品およびバージョンは次のとおりです。
- Pulse Connect Secure 9.0R3およびそれ以降
III. 対策2021年4月21日現在、脆弱性を修正するバージョンは公開されていません。FireEyeのブログなどには、脆弱性を修正するパッチは5月上旬に公開される見込みであるとの情報があります。
** 更新: 2021年5月6日追記 ****************
2021年5月3日(米国時間)、Pulse Secureから修正バージョンが公開されました。CVE-2021-22893に加えて、別の3つの脆弱性(CVE-2021-22894、CVE-2021-22899、CVE-2021-22900)の修正も含まれています。Pulse Secureから公開された情報を参照のうえ、修正バージョンの適用をご検討ください。
Pulse Secure
Pulse Connect Secure Patch Availability - SA44784
https://blog.pulsesecure.net/pulse-connect-secure-patch-availability-sa44784/
なお、すでに回避策を適用している場合、脆弱性を修正するバージョンを適用する前に、回避策で適用した変更を切り戻すことが推奨されています。実施手順などの詳細はPulse Secureのアドバイザリの情報をご確認ください。
**************************************************
IV. 回避策脆弱性を修正するバージョンが公開されるまでの間、脆弱性を悪用した攻撃による影響を軽減するため、Pulse Secureは次の回避策の適用を推奨しています。
- Pulse Secureが提供するWorkaround-2104.xmlファイルをインポートする
xmlファイルをインポートすると、URLベースの攻撃による影響が軽減され、Windows File Share BrowserとPulse Secure Collaborationが無効になります。インポート後に、Windows File Browserが無効になっているか設定を確認することが推奨されています。詳細の内容や実施手順については、Pulse Secureのアドバイザリをご参照ください。
V. 侵害確認ツールPulse Secureは、Pulse Connect Secureで不審なファイル設置やファイルの改ざんが行われていないか確認するためのツール「Pulse Connect SecureIntegrity Tool」を公開しています。ツールにより脅威が検知された場合の対応方法などをまとめたFAQや、ツールのインストール方法や実行方法については、Pulse Secureが提供する情報をご参照ください。
Pulse Secure
KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
Pulse Secure
KB44764 - Customer FAQ: PCS Security Integrity Tool Enhancements
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44764
VI. 参考情報
CISA
CISA Releases Alert on Exploitation of Pulse Connect Secure Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-releases-alert-exploitation-pulse-connect-secure
CISA
CISA Issues Emergency Directive on Pulse Connect Secure
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-issues-emergency-directive-pulse-connect-secure
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2021-04-21 初版
2021-04-22 「I. 概要」の追記
2021-05-06 「III. 対策」の追記
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
前
コメント
共 有
