Pulse Connect Secure etäkäyttöhaavoittuvuus

Haavoittuvuus koskee Pulse Connect Secure -tuotteen 9.0R3 ja tästä uudempia versioita. Haavoittuvuus mahdollistaa hyökkääjälle mielivaltaisen haittaohjelmakoodin ajon Pulse Connect Secure gateway -palvelussa. 

Haavoittuvuuteen on 3.5.2021 julkaistu päivitys 9.1R.11.4, joka korjaa haavoittuvuuden. 

Valmistaja on julkaissut haavoittuvuuden kriittisiin osiin rajoituskeinoja, jotka kytkevät päältä tiettyjä ominaisuuksia. Huom: Nämä ominaisuudet eivät kytkeydy automaattisesti päälle korjaavan päivityksen yhteydessä.

Haavoittuvuuteen liittyy seuraavat tunnisteet:

• CVE-2021-22893 - vakavuus on CVSS 10.0 (kriittinen)
• CVE-2021-22894 - vakavuus on CVSS 9.9 (kriittinen) - lisätty 3.5.
• CVE-2021-22899 - vakavuus on CVSS 9.9 (kriittinen) - lisätty 3.5.
• CVE-2021-22900 - vakavuus on CVSS 7.2 (korkea) - lisätty 3.5.

Suosittelemme tarkastamaan Pulse Secure VPN-asennuksen tietomurron varalta. Tähän työkaluna kannattaa käyttää Ivanti Product Systemsin (Pulse Securen emoyhtiö) tarjoamaa tiedostojen eheystyökalua, joka paljastaa jos asennuksen tiedostot ovat muuttuneet. Jos tiedot ovat muuttuneet, niin on oletettavaa että tietomurto on tapahtunut. Työkalu on ladattavissa Pulse Securen sivuilta (Ulkoinen linkki).

Mikäli oletetaan, että tietomurto on tapahtunut, sen selvitys on aloitettava välittömästi. Havaittujen tietomurtojen yhteydessä murrettuuun Pulse Secure VPN-laitteeseen on asennettu webshell-takaportteja. Jälkiä näistä takaporteista voi etsiä tutkimalla Pulse Secure VPN -laitteen www-palvelimen lokitietoja erityisesti epäilyttävän HTTP POST -liikenteen varalta. Lisäksi uudet tai muokatut tiedostot Pulse Secure VPN -laitteen www-palvelimen hakemistossa /webserver/htdocs/dana-na/ ja sen alihakemistoissa olisi syytä tarkistaa haitallisen sisällön varalta.

Ilmoita Kyberturvallisuuskeskukselle kaikista aiheeseen liittyvistä havannoista.