VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#028-2021] [TLP:CLEAR] Kritiske sårbarheter i Pulse Connect Secure

05-05-2021

JustisCERT ønsker å varsle om nye kritiske sårbarheter i Pulse Connect Secure (PCS). Det er totalt 3 sårbarheter, hvor 2 er kritiske:

  • CVE-2021-22894 som er en buffer overflow i PCS Collaboration Suite (CVSS 9.9)
  • CVE-2021-22899 som er en sårbarhet i PCS som åpner for kommandoinjeksjon (CVSS 9.9)
  • CVE-2021-22900 som er en sårbarhet i PCS webgrensesnittets opplastingsfunksjon (CVSS 7.2)
     

Pulse Secure publisert 3. mai en oppdatering som retter sårbarhetene [1]. Oppdateringen retter også den tidligere omtalte kritiske sårbarheten (se [JustisCERT-varsel] [#024-2021]), CVE-2021-22893 med CVSS score 10.0.


Berørte produkter er:

  • Pulse Connect Secure (PCS) før 9.1R11.4

 

 

Anbefalinger:

  • Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Avinstaller programvare som ikke benyttes
  • Patch/oppdater programvare/produkter som benyttes
  • Innfør mitigerende tiltak i de tilfeller programvare/produkter ikke kan oppdateres
  • Prioriter systemer som kan nås fra internett først

 
 
Kilder:

[1] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784