概要
PulseSecure製品に影響のある複数の脆弱性が確認されました。
いずれの脆弱性も特定のバージョンによって対策が実装済みとなります。
該当するお客様は脆弱性改修バージョンへのバージョンアップを必ず実施頂けますようお願いいたします。
対象の脆弱性
- CVE-2019-11510
HTTPS経由でネットワークにアクセスする認証されていない攻撃者は、特別に細工したURIを送信して任意のファイル読み取りの脆弱性を悪用することができます。
- CVE-2019-11508
認証された攻撃者は悪意のあるファイルをアップロードして任意のファイルを書き込むことができます。
- CVE-2018-16513、CVE-2018-18284、CVE-2018-15911、CVE-2018-15910、CVE-2018-15909、CVE-2018-16513
Ghostscriptの複数の脆弱性が該当します。
- CVE-2019-11540
認証されていないリモートの攻撃者がセッションハイジャック攻撃を行う可能性があります。
- CVE-2019-11543
PCS 9.0R3未満・8.3R7未満、PPS 9.0R3未満・5.4R7未満・5.2R12未満のOSでは、管理GUIでXSSの脆弱性が存在します。
- CVE-2019-11541
“Reuse Existing NC (Pulse) Session”オプションを指定したSAML認証を使用しているユーザーには、認証漏れが発生する可能性があります。
- CVE-2019-11542
攻撃者が管理GUIにサインイン可能な場合、特別に細工したメッセージを送信してスタックバッファオーバーフローを引き起こす可能性があります。
- CVE-2019-11539
攻撃者が管理GUIにサインイン可能な場合、コマンドインジェクションを実行可能です。
- CVE-2019-11538
Pulse Connect SecureのNFSの脆弱性により、認証されたローカルの攻撃者は影響を受けるデバイス上の任意のファイルの内容にアクセスする可能性があります。
- CVE-2019-11509
攻撃者が管理GUIにサインイン可能な場合、Pulse Secureアプライアンス上で任意のコードを実行することができます。
- CVE-2019-11507
9.0R3未満・8.3R7.1未満のOSではPSALにXSSの脆弱性が存在します。
修正OS(全機種共通)
本記事のすべての脆弱性につきまして、下記のバージョン以降で対策済みとなります。
※下記のバージョン未満では脆弱性の影響があります
Pulse Connect Secure:
9.0R3.4(9.0R4)
8.3R7.1
8.2R12.1
8.1R15.1
Pulse Policy Secure:
9.0R3.2(9.0R4)
5.4R7.1
5.3R15.1
5.2R12.1
5.1R15.1
改修済みバージョンへのバージョンアップ後に必要な作業
本脆弱性を利用したスキャン活動が多く報告されており、脆弱性を利用した攻撃の影響緩和のため、脆弱性対応済みバージョンへのバージョンアップ後に、追加の予防措置として以下を実施してください。
- Pulse Secureへのログインに使用されるエンドユーザーと管理者のパスワードはすべて変更する必要があります。
- デバイスに保存されているサービスアカウント(LDAP、RADIUS、ADなど)のパスワードを変更する必要があります。
- 新しい証明書署名要求(CSR)を生成して、デバイス証明書を変更する必要があります。
即時バージョンアップが出来ない場合の暫定対策
- ご利用8.3R3以上であれば、System > log/monitoring > User Access log > SettingsよりUnauthenticated Requestsを有効にすることで攻撃を受けているかを判断可能です。
- Role > Role名 > session optionよりRoaming SessionをDisableとすることで、セッションハイジャックによる不正アクセスの脅威を軽減することが可能です。
- その他、Max Session Lengthの時間を短くすることで、攻撃の影響を軽減できる可能性が有ります。
※上記はあくまでも即時バージョンアップが出来ない場合に攻撃の影響を緩和させるための暫定対処策となります。可能な限り速やかにバージョンアップを実施いただけますようお願いいたします。
補足
本ページは、下記メーカーサイトを元に作成しております。
メーカーサイト:SA44101
なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して基本的に先述の情報以外は公開されておりません。