www.belgium.be Logo of the federal government

KWETSBAARHEID IN PULSE SECURE: PULSE CONNECT SECURE (PCS)

Referentie: 
Advisory #2021-007
Versie: 
1.0
Geïmpacteerde software: 
Pulse Connect Secure (PCS) versie 9.0R3 en hoger
Type: 
Authenticatie-by-pass, Remote code execution
CVE/CVSS: 

CVE-2021-22893 - 10 (CVSS 3.0)

Bronnen

Pulse Connect Secure Security Update - Pulse SecureBlog

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755

Risico’s

Er werd een kwetsbaarheid ontdekt in Pulse Connect Secure (PCS). Het gaat om een authenticatie-by-pass-kwetsbaarheid (CVE-2021-22893), waardoor een niet-geauthenticeerde gebruiker op afstand willekeurige bestanden kan uitvoeren op de Pulse Connect Secure gateway.

Beschrijving

Aanvallers voeren actief aanvallen uit die encryptiesleutels, wachtwoorden en andere gevoelige gegevens proberen te stelen van kwetsbare Pulse Secure VPN-servers.

Een authenticatie-by-pass-kwetsbaarheid (CVE-2021-22893) in de componenten Windows File Share Browser en Pulse Secure Collaboration van Pulse Connect Secure kan een niet-geauthenticeerde aanvaller in staat stellen willekeurige code uit te voeren op het systeem waarop hij het gemunt heeft.

Mitigations

Pulse Secure beveelt aan de twee getroffen componenten op bestaande PCS-items uit te schakelen:

  • Windows File Share Browser
  • Pulse Secure Collaboration

Pulse Secure heeft een Workaround-2104.xml-bestand gepubliceerd met maatregelen tegen deze kwetsbaarheid. Zoals aangegeven in het advies van Pulse Secure moet u ervoor zorgen dat de Windows File Share Browser-functie is uitgeschakeld na het importeren van de XML-workaround.

Aanbevolen acties

CERT.be beveelt alle systeembeheerders aan om hun kwetsbare Pulse Secure-items te upgraden naar minstens versie 9.1R11.4 zodra deze beschikbaar is. Ondertussen kunt u de Pulse Security Integrity Checker Tool gebruiken om te zien of u bent gecompromitteerd.

Referenties

https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actor...

https://www.bleepingcomputer.com/news/security/pulse-secure-vpn-zero-day...