{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Pulse Connect Secure versions 9.1RX","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Pulse Connect Secure versions 9.0R3 et ult\u00e9rieures","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":"","closed_at":"2021-06-21","content":"## Contournement provisoire\n\nDans l'attente de la publication du correctif (d\u00e9but mai selon FireEye),\nPulse Secure a mis \u00e0 disposition une mesure de contournement. La\nproc\u00e9dure est d\u00e9crite dans son bulletin de s\u00e9curit\u00e9.\n\nPulse Secure indique que sa mesure de contournement ne fonctionne pas\npour les versions\u00a09.0R1 \u00e0 9.0R4.1 et 9.1R1 \u00e0 9.1R2. Il convient alors de\npr\u00e9alablement mettre l'\u00e9quipement \u00e0 jour vers une version compatible\navec cette mesure de contournement.\n\nPour mettre en place la mesure de contournement, il faut t\u00e9l\u00e9charger et\nimporter le fichier\u00a0Workaround-2104.xml. Il faut \u00e9galement v\u00e9rifier que\nle Windows File Browser est d\u00e9sactiv\u00e9 pour chaque utilisateur. La mesure\nde contournement repose sur une liste noire d'URLs consid\u00e9r\u00e9es comme\ncaract\u00e9ristiques d'une attaque.\n\nPulse Secure pr\u00e9cise que la mesure de contournement d\u00e9sactive\u00a0Pulse\nCollaboration et peut affecter un \u00e9ventuel r\u00e9partiteur de charge s'il\nest plac\u00e9 devant l'\u00e9quipement.\n\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n\u00a0\n","cves":[{"name":"CVE-2021-22893","url":"https://www.cve.org/CVERecord?id=CVE-2021-22893"},{"name":"CVE-2021-22894","url":"https://www.cve.org/CVERecord?id=CVE-2021-22894"},{"name":"CVE-2021-22899","url":"https://www.cve.org/CVERecord?id=CVE-2021-22899"},{"name":"CVE-2021-22900","url":"https://www.cve.org/CVERecord?id=CVE-2021-22900"}],"links":[{"title":"Billet de blogue FireEye du 20 avril 2021","url":"https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"},{"title":"Outil de v\u00e9rification d'int\u00e9grit\u00e9 Pulse Secure","url":"https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755"},{"title":"Bulletin de s\u00e9curit\u00e9 Pulse Secure SA44784 du 20 avril 2021","url":"https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/"},{"title":"Avis CERT-FR CERTFR-2021-AVI-335 du 03 mai 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-335/"}],"reference":"CERTFR-2021-ALE-007","revisions":[{"description":"Version initiale","revision_date":"2021-04-20T00:00:00.000000"},{"description":"Ajout de l'avis CERT-FR CERTFR-2021-AVI-335 et disponibilit\u00e9 du correctif.","revision_date":"2021-05-03T00:00:00.000000"},{"description":"correction du lien CERT-FR","revision_date":"2021-05-03T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2021-06-21T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[version du 3 mai 2021\\]</strong>\n\nL'\u00e9diteur a publi\u00e9 le correctif pour la vuln\u00e9rabilit\u00e9 CVE-2021-22893,\nainsi que les vuln\u00e9rabilit\u00e9s CVE-2021-22894, CVE-2021-22899 et\nCVE-2021-22900 avec un score CVSSv3 respectivement de 9.9, 9.9 et 7.2.\n\nSi des mesures de contournement ont \u00e9t\u00e9 appliqu\u00e9es, elles doivent \u00eatre\nretir\u00e9es en important le fichier remove-workaround-2104.xml, et les\nparam\u00e8tres\u00a0<span id=\"j_id0:j_id1:j_id954\"><span\nid=\"j_id0:j_id1:j_id954:j_id955:j_id978\"><span\nid=\"j_id0:j_id1:j_id954:j_id955:j_id978:j_id979:j_id986\"><span\nid=\"j_id0:j_id1:j_id954:j_id955:j_id978:j_id979:j_id986:j_id987:j_id1230:j_id1232:3:j_id1233:j_id1234\">\"Files,\nWindows\" et \"Meetings\"</span></span></span></span> doivent \u00eatre\nrestaur\u00e9s avant l'application du correctif (cf. bulletin de s\u00e9curit\u00e9 de\nl'\u00e9diteur).\n\n<strong>\\[version du 20 avril 2021\\]</strong>\n\nLe 20 avril 2021, Pulse Secure a publi\u00e9 un bulletin de s\u00e9curit\u00e9\nconcernant la vuln\u00e9rabilit\u00e9\u00a0CVE-2021-22893 (cf. section Documentation).\nCelle-ci permet \u00e0 un attaquant non authentifi\u00e9 d'ex\u00e9cuter du code\narbitraire \u00e0 distance. Aucun correctif n'est pour l\u2019instant disponible.\n\nLe m\u00eame jour, FireEye a publi\u00e9 un billet de blogue\u00a0(cf. section\nDocumentation) expliquant que cette vuln\u00e9rabilit\u00e9 est activement\nexploit\u00e9e dans le cadre d'attaques cibl\u00e9es. Au cours d'une exploitation,\nles attaquants modifient certains fichiers pour d\u00e9poser des portes\nd\u00e9rob\u00e9es et effacer leurs traces.\n\nPulse Secure a publi\u00e9 un outil qui tente de d\u00e9tecter ces\nmodifications\u00a0(cf. section Documentation).\n\n\u00a0\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Pulse Connect Secure","vendor_advisories":[]}