JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は4月21日、「Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起」において、Pulse Connect Secureに脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から攻撃者が認証を回避して任意のコードを実行するおそれがあるとされている。
脆弱性に関する情報は次のページにまとまっている。
- Pulse Security Advisory: SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
- Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day | FireEye Inc
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Pulse Connect Secure 9.0R3およびそれより前のバージョン
対象の脆弱性は既にサイバー攻撃が確認されているため注意が必要。この脆弱性に対処するための修正パッチは5月上旬にリリースが見込まれており、まだ存在していない。該当する製品を使用している場合、セキュリティパッチが公開されるまでの間はPulse Secureが提供するWorkaround-2104.xmlファイルをインポートするといった回避策を適用することが望まれる。
この脆弱性を悪用した攻撃が行われていないかどうかを確認するツールも公開されており、該当するプロダクトを使用している場合はこうしたツールの使用などを検討することが望まれる。
- Pulse Secure Article: KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
- Pulse Secure Article: KB44764 - Customer FAQ: PCS Security Integrity Tool Enhancements
Pulse Connect Secureの脆弱性に関しては、当局やセキュリティファームが積極的に警戒を呼びかけている。例えば、4月20日(米国時間)には米国コンピュータ緊急対応チーム(US-CERT: United States Computer Emergency Readiness Team)が警戒を呼びかけている。