[Warning] Kritische Sicherheitslücke in Pulse Connect Secure - Workaround verfügbar
Thomas Pribitzer
pribitzer at cert.at
Wed Apr 21 14:13:19 CEST 2021
21. April 2021
Beschreibung
Pulse Secure hat ein Out-Of-Cycle Advisory zu einer kritischen
Sicherheitslücke in Pulse Connect Secure veröffentlicht, die das
Ausführen von beliebigem Code ermöglicht.
CVE-Nummer: CVE-2021-22893
CVSS Base Score: 10
Auswirkungen
Die Sicherheitslücke ermöglicht entfernten AngreiferInnen potentiell das
Ausführen von Schadcode über derzeit nicht näher spezifizierte
Angriffsvektoren und wird aktuell aktiv ausgenützt.
Betroffene Systeme
Betroffen sind laut Pulse Secure die folgenden Versionen:
* Pulse Connect Secure 9.0R3 und höher
Abhilfe
Deaktivieren von Windows File Share Browser und Pulse Secure
Collaboration mittels Importieren der von Pulse Secure bereitgestellten
XML-Datei (siehe Advisory). Für die Versionen 9.0R1 - 9.0R4.1 bzw.
9.1R1-9.1R2 ist zuvor ein Update auf eine höhere Version notwendig.
FireEye hat außerdem YARA- bzw. Snort-Rules auf github veröffentlicht.
Ein Update (Version 9.1R.11.4), welches die Lücke schließen soll, wird
für Anfang Mai erwartet. Ein genaues Datum ist derzeit nicht bekannt.
Hinweis
Pulse Secure hat mit Pulse Connect Secure (PCS) Integrity Assurance ein
Tool zur Verfügung gestellt, mit dem sich die Integrität unterstützter
Pulse Connect Secure Installationen überprüfen lässt.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
_______________________________________________________________________________________
Informationsquelle(n):
Security Advisory von Pulse Secure (Englisch)
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
Golem Artikel
https://www.golem.de/news/remote-code-execution-angriffe-auf-vpn-geraete-von-pulse-secure-2104-155880.html
Blogpost von FireEye (Englisch)
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
Pulse Secure Security Update Blog (Englisch)
https://blog.pulsesecure.net/pulse-connect-secure-security-update/
Pulse Connect Secure Integrity Assurance (Englisch)
https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/KB44755/s
YARA/Snort Rules
https://github.com/fireeye/pulsesecure_exploitation_countermeasures
_______________________________________________________________________________________
--
// Thomas Pribitzer <pribitzer at cert.at> - T: +43 1 5056416 718
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20210421/486129c6/attachment.sig>
More information about the Warning
mailing list