Vulnérabilité dans la solution VPN de PulseSecure Pulse Connect Secure

Date de publication :

CVE-2021-22893 [Score CVSS v3 : 10.0] 
Cette vulnérabilité impacte la solution VPN Pulse Connect Secure. Son exploitation peut permettre à un attaquant distant et non authentifié d'exécuter un code arbitraire via des vecteurs non spécifiés.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 10.0

Existence d’un code d’exploitation

  • Un Exploit (POC) existe.
  • La société FireEye a signalé que cette vulnérabilité est activement exploitée.

Composants vulnérables

Les versions suivantes du logiciel Pulse Secure Connect sont impactées par cette vulnérabilité : 

  • 9.0R3 and Higher

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • [Mise à jour du 04/05/2021] Mettre à jour Pulse Secure vers la version 9.1R11.4.

  • Dans le cas où la solution de contournement a été appliquée, il est nécessaire d'annuler ces changements avant de procéder à la mise à jour. Pour se faire :

  • Importer le fichier joint remove-workaround-2104.xml, présent dans le même emplacement de téléchargement que le Workaround-2104.xml.
  • Rétablir les paramètres précédents pour "Fichiers, Windows" et "Réunions".

Solution de contournement

Il est à noter que les actions suivantes ne fonctionnent pas sur les versions de 9.0R1 à 9.0R4 et de 9.1R1 à 9.1R2. Il est alors nécessaire de mettre à jour Pulse Connect Secure afin d’appliquer ces mesures de mitigations.

La mise en place des actions suivantes est également déconseillée par PulseSecure si le dispositif impacté est défini comme serveur License. Auquel cas, un filtrage fort sur les connexions vers le dispositif reste la seule alternative.

Premièrement :

  • Télécharger le fichier Workaround-2104.xml. Le lien de téléchargement est disponible dans le premier lien en référence de ce bulletin.
  • Décompresser l’archive .zip contenant le fichier Workaround-2104.xml.
  • Importer le fichier Workaround-2104.xml : Maintenance > Import/Export > Import XML.
  • Cette action désactive le mécanisme “Pulse Collaboration”.
  • Dans les cas où un “load balancer” est utilisé et que ce dernier n’utilise pas le script les healthcheck.cgi, il est possible qu’il soit impacté par ces changements de manière non spécifiée.

Secondement :

  • Aller dans User > User Role > Click Default Option > Click on General
  • Sous “Access Feature”, vérifier bien que l’option “Files, Window” n’est PAS cochée.
  • Aller à Users > User roles
  • Cliquer sur chaque rôle un par un et vérifier que sous la fonction d'accès de chaque rôle, l'option “Files, Windows”  n'est PAS activée.

Les URIs suivantes peuvent également être filtrées en entrée afin de diminuer les risques :

  • ^/+dana/+meeting
  • ^/+dana/+fb/+smb
  • ^/+dana-cached/+fb/+smb
  • ^/+dana-ws/+namedusers
  • ^/+dana-ws/+metric

Il n’est pas nécessaire de redémarrer les instances de Pulse Secure après ces modifications.

Afin d’installer le futur correctif de sécurité, il est nécessaire d’importer le fichier remove-workaround-2104.xml (Le lien de téléchargement est disponible dans le premier lien en référence de ce bulletin.) et de l’importer au même emplacement que le fichier Workaround-2104.xml.

Liens