Pulse Secure 社は最新のセキュリティアドバイザリ
アドバイザリの内容は次のとおりです。「Pulse Connect Secure(PCS)で脆弱性が発見されました。これには認証バイパスの脆弱性が含まれており、認証されていないユーザがリモートから任意のファイルを Pulse Connect Secure ゲートウェイで実行できます。この脆弱性の CVSS スコアは高く、導入環境に重大なリスクをもたらします」。
同社はこのアドバイザリを開示するとともに、脆弱性が実際にエクスプロイトされたことを示すブログ記事
米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)も、今回発見された脆弱性に関する警告
この種の VPN 脆弱性は、ランサムウェアグループや国家支援の可能性が疑われる攻撃者など、さまざまな攻撃者によってエクスプロイトされています。Talos はこちらのブログ記事で米国国家安全保障局によるアドバイザリを紹介し、ロシア対外情報庁(SVR)が実際にエクスプロイトした複数の脆弱性について概説しています。アドバイザリで説明されている脆弱性の 1 つ(CVE-2019-11510)は、上記の Pulse Connect に対する攻撃でも利用されています。
Pulse Connect は PCS ソフトウェアの完全性をチェックするツールをリリース
米国国土安全保障省(DHS)も、このインシデントの詳細と必要な緩和策を示した緊急声明
Cisco Talos でもこの脅威を継続的に監視し、新たな情報の出現に応じてカバレッジを追加していきますが、CISA と Pulse Connect 社が提供する緩和策を採用することを強くお勧めします。
この記事で紹介した緩和策とアドバイザリへのリンクを以下に示します。
脆弱性のエクスプロイトは、以下の SNORTⓇ ルールで検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。さらに、SSL を使用するアプリケーションがエクスプロイトされる脆弱性もあります。これらの脆弱性のエクスプロイトを検出するには Cisco Secure Firewall と Snort で SSL 復号を有効にする必要があります。BlueKeep と Hafnium に関連したエクスプロイトから保護する方法をそれぞれの記事で取り上げているので参考にしてください。
Snort ルール:51288、51289、51390、57452 ~ 57459、57461 ~ 57468
本稿は 2021 年 04 月 22 日に Talos Group
のブログに投稿された「Threat Advisory: Pulse Secure Connect Coverage 」の抄訳です。
