I. 概要
2021年4月20日(米国時間)、Pulse SecureからPulse Connect Secureの脆弱性(CVE-2021-22893)に関するアドバイザリが公開されました。
脆弱性が悪用された場合、遠隔の第三者が認証を回避し、任意のコードを実行するなどの可能性があります。
同日、FireEyeがブログを公開し、本脆弱性や既知のPulseConnect Secureの脆弱性を悪用した攻撃を確認していると明らかにしています。

2021年4月21日現在、脆弱性を修正するバージョンやパッチは公開されていませんが、すでに脆弱性を悪用した攻撃が確認されているため、同製品を利用している場合は、回避策の適用や侵害確認ツールを用いた調査を推奨します。
詳細は、Pulse Secureが提供する情報を参照してください。
参考:https://www.jpcert.or.jp/at/2021/at210019.html

Pulse Secure
SA44784 – 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

FireEye
Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

** 更新: 2021年4月22日追記 **********************************************************
Pulse Secureを傘下に置くIvanti社が、本脆弱性について日本語で情報を公開しています。
対応を進める上での参考にしてください。

Ivanti
Pulse Connect Secureセキュリティアップデート
https://www.ivanti.co.jp/blog/pulse-connect-secure-security-update
***************************************************************************************


II. 対象
対象となる製品およびバージョンは次のとおりです。

– Pulse Connect Secure 9.0R3およびそれ以降


III. 対策
2021年4月21日現在、脆弱性を修正するバージョンは公開されていません。
FireEyeのブログなどには、脆弱性を修正するパッチは5月上旬に公開される見込みであるとの情報があります。

** 更新: 2021年5月6日追記 *******************************************
2021年5月3日(米国時間)、Pulse Secureから修正バージョンが公開されまし
た。CVE-2021-22893に加えて、別の3つの脆弱性(CVE-2021-22894、
CVE-2021-22899、CVE-2021-22900)の修正も含まれています。Pulse Secureか
ら公開された情報を参照のうえ、修正バージョンの適用をご検討ください。

Pulse Secure
Pulse Connect Secure Patch Availability – SA44784
https://blog.pulsesecure.net/pulse-connect-secure-patch-availability-sa44784/

なお、すでに回避策を適用している場合、脆弱性を修正するバージョンを適用
する前に、回避策で適用した変更を切り戻すことが推奨されています。実施手
順などの詳細はPulse Secureのアドバイザリの情報をご確認ください。
**********************************************************************


IV. 回避策
脆弱性を修正するバージョンが公開されるまでの間、脆弱性を悪用した攻撃による影響を軽減するため、Pulse Secureは次の回避策の適用を推奨しています。

– Pulse Secureが提供するWorkaround-2104.xmlファイルをインポートする

xmlファイルをインポートすると、URLベースの攻撃による影響が軽減され、Windows File Share BrowserとPulse Secure Collaborationが無効になります。
インポート後に、Windows File Browserが無効になっているか設定を確認することが推奨されています。
詳細の内容や実施手順については、Pulse Secureのアドバイザリをご参照ください。


V. 侵害確認ツール
Pulse Secureは、Pulse Secure Connectで不審なファイル設置やファイルの改ざんが行われていないか確認するためのツール「Pulse Connect Secure
Integrity Tool」を公開しています。ツールにより脅威が検知された場合の対応方法などをまとめたFAQや、ツールのインストール方法や実行方法につい
ては、Pulse Secureが提供する情報をご参照ください。

Pulse Secure
KB44755 – Pulse Connect Secure (PCS) Integrity Assurance
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755

Pulse Secure
KB44764 – Customer FAQ: PCS Security Integrity Tool Enhancements
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44764


VI. 参考情報
CISA
CISA Releases Alert on Exploitation of Pulse Connect Secure Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-releases-alert-exploitation-pulse-connect-secure

CISA
CISA Issues Emergency Directive on Pulse Connect Secure
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-issues-emergency-directive-pulse-connect-secure