CERTFR-2021-ALE-007 : Vulnérabilité dans Pulse Connect Secure (20 avril 2021)
Le 20 avril 2021, Pulse Secure a publié un bulletin de sécurité concernant la vulnérabilité CVE-2021-22893 (cf. section Documentation). Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. Aucun
Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- Pulse Connect Secure versions 9.1RX
- Pulse Connect Secure versions 9.0R3 et ultérieures
Résumé
Le 20 avril 2021, Pulse Secure a publié un bulletin de sécurité concernant la vulnérabilité CVE-2021-22893 (cf. section Documentation). Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. Aucun correctif n'est pour l’instant disponible.
Le même jour, FireEye a publié un billet de blogue (cf. section Documentation) expliquant que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. Au cours d'une exploitation, les attaquants modifient certains fichiers pour déposer des portes dérobées et effacer leurs traces.
Pulse Secure a publié un outil qui tente de détecter ces modifications (cf. section Documentation).
Contournement provisoire
Dans l'attente de la publication du correctif (début mai selon FireEye), Pulse Secure a mis à disposition une mesure de contournement. La procédure est décrite dans son bulletin de sécurité.
Pulse Secure indique que sa mesure de contournement ne fonctionne pas pour les versions 9.0R1 à 9.0R4.1 et 9.1R1 à 9.1R2. Il convient alors de préalablement mettre l'équipement à jour vers une version compatible avec cette mesure de contournement.
Pour mettre en place la mesure de contournement, il faut télécharger et importer le fichier Workaround-2104.xml. Il faut également vérifier que le Windows File Browser est désactivé pour chaque utilisateur. La mesure de contournement repose sur une liste noire d'URLs considérées comme caractéristiques d'une attaque.
Pulse Secure précise que la mesure de contournement désactive Pulse Collaboration et peut affecter un éventuel répartiteur de charge s'il est placé devant l'équipement.
Documentation
- Bulletin de sécurité Pulse Secure SA44784 du 20 avril 2021
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/ - Billet de blogue FireEye du 20 avril 2021
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html - Outil de vérification d'intégrité Pulse Secure
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755 - Référence CVE CVE-2021-22893
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22893
- Vues : 508