Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Pulse Connect Secure versions 9.0R3 et ultérieures
- Pulse Connect Secure versions 9.1RX
Résumé
[version du 3 mai 2021]
L'éditeur a publié le correctif pour la vulnérabilité CVE-2021-22893, ainsi que les vulnérabilités CVE-2021-22894, CVE-2021-22899 et CVE-2021-22900 avec un score CVSSv3 respectivement de 9.9, 9.9 et 7.2.
Si des mesures de contournement ont été appliquées, elles doivent être retirées en important le fichier remove-workaround-2104.xml, et les paramètres "Files, Windows" et "Meetings" doivent être restaurés avant l'application du correctif (cf. bulletin de sécurité de l'éditeur).
[version du 20 avril 2021]
Le 20 avril 2021, Pulse Secure a publié un bulletin de sécurité concernant la vulnérabilité CVE-2021-22893 (cf. section Documentation). Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. Aucun correctif n'est pour l’instant disponible.
Le même jour, FireEye a publié un billet de blogue (cf. section Documentation) expliquant que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. Au cours d'une exploitation, les attaquants modifient certains fichiers pour déposer des portes dérobées et effacer leurs traces.
Pulse Secure a publié un outil qui tente de détecter ces modifications (cf. section Documentation).
Contournement provisoire
Dans l'attente de la publication du correctif (début mai selon FireEye), Pulse Secure a mis à disposition une mesure de contournement. La procédure est décrite dans son bulletin de sécurité.
Pulse Secure indique que sa mesure de contournement ne fonctionne pas pour les versions 9.0R1 à 9.0R4.1 et 9.1R1 à 9.1R2. Il convient alors de préalablement mettre l'équipement à jour vers une version compatible avec cette mesure de contournement.
Pour mettre en place la mesure de contournement, il faut télécharger et importer le fichier Workaround-2104.xml. Il faut également vérifier que le Windows File Browser est désactivé pour chaque utilisateur. La mesure de contournement repose sur une liste noire d'URLs considérées comme caractéristiques d'une attaque.
Pulse Secure précise que la mesure de contournement désactive Pulse Collaboration et peut affecter un éventuel répartiteur de charge s'il est placé devant l'équipement.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis CERT-FR CERTFR-2021-AVI-335 du 03 mai 2021 https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-335/
- Billet de blogue FireEye du 20 avril 2021 https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
- Bulletin de sécurité Pulse Secure SA44784 du 20 avril 2021 https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
- Outil de vérification d'intégrité Pulse Secure https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
- Référence CVE CVE-2021-22893 https://www.cve.org/CVERecord?id=CVE-2021-22893
- Référence CVE CVE-2021-22894 https://www.cve.org/CVERecord?id=CVE-2021-22894
- Référence CVE CVE-2021-22899 https://www.cve.org/CVERecord?id=CVE-2021-22899
- Référence CVE CVE-2021-22900 https://www.cve.org/CVERecord?id=CVE-2021-22900