www.belgium.be Logo of the federal government

VULNÉRABILITÉ DANS PULSE SECURE : PULSE CONNECT SECURE (PCS)

Référence: 
Advisory #2021-007
Version: 
1.0
Logiciels concernés : 
Pulse Connect Secure (PCS) version 9.0R3 et postérieures
Type: 
Contournement d’authentification, Exécution de code arbitraire à distance
CVE/CVSS: 

CVE-2021-22893 - 10 (CVSS 3.0)

Sources

Pulse Connect Secure Security Update - Pulse SecureBlog

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755

Risques

Une vulnérabilité a été découverte dans Pulse Connect Secure (PCS).  Il s’agit d’une vulnérabilité de contournement d’authentification (CVE-2021-22893) qui peut permettre à un utilisateur non authentifié d’effectuer une exécution de fichier arbitraire à distance sur le portail Pulse Connect Secure.

Description

Des acteurs malveillants lancent activement des attaques visant à voler des clés de chiffrement, des mots de passe et d’autres données sensibles sur des serveurs VPN Pulse Secure vulnérables.

Une vulnérabilité de contournement d’authentification (CVE-2021-22893) dans les composants Windows File Share Browser et Pulse Secure Collaboration de Pulse Connect Secure peut permettre à un acteur malveillant non authentifié d’exécuter du code arbitraire sur le système cible.

Mitigations

Pulse Secure recommande de désactiver les deux composants touchés sur les instances PCS existantes :

  • Windows File Share Browser
  • Pulse Secure Collaboration

Pulse Secure a publié un fichier Workaround-2104.xml qui répertorie des mesures d’atténuation pour se protéger contre cette vulnérabilité. Comme indiqué dans l’avis de Pulse Secure, assurez-vous que la fonction Windows File Share Browser est désactivée après avoir importé le palliatif XML.

Actions recommandées

Le CERT.be recommande à tous les administrateurs système de mettre à niveau leurs instances vulnérables de Pulse Secure pour les faire passer à la version 9.1R11.4 minimum dès qu’elle sera disponible. En attendant, vous pouvez utiliser le Pulse Security Integrity Checker Tool pour voir si votre infrastructure est compromise.

Références

https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actor...

https://www.bleepingcomputer.com/news/security/pulse-secure-vpn-zero-day...