Pulse Connect Secureセキュリティアップデート
Pulse Secureチームは、一部のお客様のPulse Connect Secure (PCS)アプライアンスで攻撃の試みがあったことを確認しました。本件の調査と対応について、弊社のお客様、およびより広いセキュリティ関係者のコミュニティの役に立つよう、共有しています。
これまでにMandiant/FireEye、CISA、Stroz Friedbergその他の科学捜査のエキスパートや業界団体と協力して、攻撃活動の調査に対応してきました。
4つの問題が見つかりましたが、多くが2019年と2020年にパッチを提供した3つの脆弱性(Security Advisory SA44101 CVE-2019-11510, Security Advisory SA44588 CVE-2020-8243, Security Advisory SA44601 CVE-2020-8260)に関係しています。お客様には、このアドバイザリーを参照して対応していただき、影響のあった環境ではパスワードを全部変更することをおすすめしています。
今月発見された新しい問題はごく少数のお客様にのみ影響がありました。該当するお客様には直接解決策をご提供しています。この問題を解決するソフトウェアアップデートを5月初旬に提供予定です。詳細についてはSecurity Advisory SA44784 (CVE-2021-22893) をご確認ください。※末尾に日本語抄訳を掲載しています。
さらに、お客様がインストールしている製品をチェックし、この問題で影響を受けているかどうかを確認できる簡単なツールを開発しました。こちらからPulse Security Integrity Checker Toolをダウンロードできます。お客様にはこちらを使って確認することをおすすめしており、このツールを使ったお手伝いもしています。
本件で影響を受けたお客様向けには、Knowledge Baseに記載している通りより高度な解決策を直接ご提供しています。必要に応じてPulse Secureカスタマーサポートにもご連絡ください。
https://support.pulsesecure.net/support/support-contacts/
Mandiantとも協力して調査をしていますが、Mandiantが確認した追加情報がこちらのブログに掲載されています。
なお、この問題でPulse Secureの他の製品は影響を受けておりません。また、他のセキュリティや製品供給の問題との関連はありません。
脅威がより巧妙化して増加するにつれ、セキュアなコンピューティング環境は日々の仕事や生活の中でより重要になっています。Ivantiは2020年12月に事業統合したPulse Secureとそのセキュリティソリューションが、企業が変化する仕事環境から利益を得るために役立つと信じています。弊社ではサイバーセキュリティインフラ全体を強化するために、コード開発の標準化やコード・インテグリティ・レビューなども含め、積極的に投資をしています。
Ivantiは、お客様、およびセキュリティ業界と協力して、今回の問題をできるだけ早く解決するよう全力を尽くしています。弊社の技術チームとカスタマーサポートは24時間体制で対応をし続けており、こちらでも引き続き更新情報をお届けします。
SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE の脆弱性 (CVE-2021-22893) - 抄訳
【製品】
Pulse Connect Secure
【問題】
Pulse Connect Secure(PCS)に脆弱性が発見されました。 認証バイパスの脆弱性で、認証されていないユーザーがPulse Connect Secureゲートウェイ上でリモートから任意のファイルを実行できます。この脆弱性は、CVSSスコアがクリティカルであり、お客様の環境に大きなリスクをもたらします。
KB43892 を参照してください - どのリリースでセキュリティの脆弱性を解決する修正を適用するかを説明しています。 弊社のEOE (End of Engineering)およびEOL (End of Life)ポリシーに基づいています。
脆弱性の詳細は以下の通りです:
CVE | CVSS Score (V3.1) | 概要 | 影響を受けるリリース |
CVE-2021-22893 | 10: クリティカル 3.1#CVSS:3.1/AV: N/AC:L/PR:N/UI: N/S:C/C:H/I:H/A:H |
リモートの認証されていない攻撃者が、不特定のベクターを介して任意のコードを実行することができる。 | PCS 9.0R3および、それ以降 |
【解決策】
Pulse Connect Secure サーバーのバージョンを 9.1R.11.4 にアップグレードする必要があります。
注:PCSのリリースが入手可能になり次第、更新します。
インストールされている バージョン |
問題解決のためにインストールいただくバージョン | リリース | 注釈 |
Pulse Connect Secure 9.1Rx | TBD | TBD | |
Pulse Connect Secure 9.0Rx | TBD | TBD |
文書履歴:
2021年4月20日 - 最初のアドバイザリと回避策ファイルをダウンロードセンターに掲載しました。
法的免責事項
- 本アドバイザリは、「現状有姿」で提供されており、商品性や特定目的への適合性の保証を含むいかなる保証を示唆するものではありません。 本アドバイザリまたは本アドバイザリにリンクされている資料に記載されている情報の使用は、お客様ご自身の責任で行ってください。 Pulse Secureは、このアドバイザリをいつでも変更または更新する権利を有します。
- 本アドバイザリの内容を変更したり、URLを省略したコピーは、管理外のものであり、重要な情報が省略されたり、誤りが含まれている可能性があることにご留意ください。 本アドバイザリの情報は、Pulse Secure製品のエンドユーザ様を対象としています。
【回避策】
CVE-2021-22893 は、Workaround-2104.xml ファイルをインポートし、Windowsのファイルブラウザを無効にすることで脆弱性リスクを低減できます。
影響:PCS アプライアンスの以下の機能を無効にします。
- Windows ファイル共有ブラウザ
- パルス セキュア コラボレーション
ブラックリスト機能を使用して、URL ベースの攻撃を無効にしています。
ダウンロード | Download (Download Center at https://my.pulsesecure.net) |
以下からファイルをダウンロードし、インポートしてください。
「Maintenance」→「Import/Export」→「XML Import」と進み、ファイルをインポートします。
- これにより、Pulse Collaboration が無効になります。
- PCS の前にロードバランサーがある場合、ロードバランサーに影響を与える可能性があります。
- ロードバランサーがラウンドロビンを使用している場合や、HealthCheck.cgi またはadvanced healthcheck.cgi を使用している場合は、影響を受けません。
Windowsのファイルブラウザを無効にする
- 「User」 →「User Role」→「Click Default Option」で、「General」をクリック
- 「Access Feature」で、「Files, Windows」オプションがチェックされていないことを確認します。
- 「User」→「User Role」を選択
- 各役割を順番にクリックして、各役割の[Access Feature]で[File, Windows]オプションが有効になっていないことを確認します。
Pulse Secure Applianceのサービスを再起動したり、リブートする必要はありません。
手動によりネットワークエッジでブロックする場合のURIは以下の通りです:
^/+dana/+meeting
^/+dana/+fb/+smb
^/+dana-cached/+fb/+smb
^/+dana-ws/+namedusers
^/+dana-ws/+metric
注意:近日公開の修正プログラムを適用した場合は、以下の手順で回避策を削除してください:
- 添付ファイルremove-workaround-2104.xmlをインポートする(Workaround-2104.xml Downloadと同じダウンロード先にあります(Download Center at https://my.pulsesecure.net))
- "ファイル、Windows "の設定を以前の状態に戻す
制限事項
- Workaround-2014.xml は、9.0R1 ~ 9.0R4.1 または 9.1R1 ~ 9.1R2 では動作しません。PCSがこれらのバージョンのいずれかを実行している場合は、インポートを行う前にアップグレードしてください。
- この回避策は、ライセンスサーバーには推奨されません。ライセンスサーバーに接続できる人を最小限にすることをお勧めします。たとえば、ライセンスサーバーを管理用VLANに配置したり、ファイアウォールでソースIPを制限したりします。
【関連するリンク】
KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
KB44764 - Customer FAQ: PCS Security Integrity Tool Enhancements
KB29805 - Pulse Connect Secure: Security configuration best practices
Pulse Connect Secure Security Update