VULNÉRABILITÉ DANS PULSE SECURE : PULSE CONNECT SECURE (PCS)
CVE-2021-22893 - 10 (CVSS 3.0)
Sources
Pulse Connect Secure Security Update - Pulse SecureBlog
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
Risques
Une vulnérabilité a été découverte dans Pulse Connect Secure (PCS). Il s’agit d’une vulnérabilité de contournement d’authentification (CVE-2021-22893) qui peut permettre à un utilisateur non authentifié d’effectuer une exécution de fichier arbitraire à distance sur le portail Pulse Connect Secure.
Description
Des acteurs malveillants lancent activement des attaques visant à voler des clés de chiffrement, des mots de passe et d’autres données sensibles sur des serveurs VPN Pulse Secure vulnérables.
Une vulnérabilité de contournement d’authentification (CVE-2021-22893) dans les composants Windows File Share Browser et Pulse Secure Collaboration de Pulse Connect Secure peut permettre à un acteur malveillant non authentifié d’exécuter du code arbitraire sur le système cible.
Mitigations
Pulse Secure recommande de désactiver les deux composants touchés sur les instances PCS existantes :
- Windows File Share Browser
- Pulse Secure Collaboration
Pulse Secure a publié un fichier Workaround-2104.xml (Centre de téléchargement sur https://my.pulsesecure.net) qui répertorie des mesures d’atténuation pour se protéger contre cette vulnérabilité. Comme indiqué dans l’avis de Pulse Secure, assurez-vous que la fonction Windows File Share Browser est désactivée après avoir importé le palliatif XML.
Actions recommandées
Le CERT.be recommande à tous les administrateurs système de mettre à niveau leurs instances vulnérables de Pulse Secure pour les faire passer à la version 9.1R11.4 minimum dès qu’elle sera disponible. En attendant, vous pouvez utiliser le Pulse Security Integrity Checker Tool pour voir si votre infrastructure est compromise.
Références
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actor...
https://www.bleepingcomputer.com/news/security/pulse-secure-vpn-zero-day...