Upozorňujeme na závažnou zranitelnost postihující VPN řešení Pulse Connect Secure společnosti Pulse Secure. Zranitelnost s přiděleným označením CVE-2021-22893 (závažnost CVSS 10, kritická) umožňuje vzdálené spuštění kódu (RCE) bez autentizace a může být útočníky zneužita jako prvotní vektor útoku k přístupu do infrastruktury. Prozatím nebyl zveřejněn proof-of-concept, dle výzkumu společnosti FireEye již ale jsou zaznamenávány případy zneužití.
Zranitelnost se týká produktů Pulse Connect Secure verze 9.0R3 a vyšší, pro mitigaci zranitelnosti je doporučen upgrade Pulse Connect Secure na verzi 9.1R.11.4, vydání opravné aktualizace pro starší verze je plánované na začátek května. Pokud upgrade není možný, zranitelnost lze také mitigovat aplikací konfiguračního souboru poskytnutého výrobcem, který omezí zranitelné funkce Windows File Share Browser a Pulse Secure Collaboration. Pro více informací a postup aplikace oprav doporučujeme sledovat oficiální bezpečnostní upozornění na: https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
Pro kontrolu, zda systém nebyl kompromitován, lze využít taktéž výrobcem publikovaný nástroj PCS Integrity Assurance, k dispozici na: https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
Zdroje:
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22893
https://www.bleepingcomputer.com/news/security/pulse-secure-vpn-zero-day-used-to-hack-defense-firms-govt-orgs/