TRUSSELVURDERING (TLP:CLEAR)

[NCSC-varsel] Sårbarheter i Pulse Secure-produkter

18-08-2020

Pulse Secure har nylig sluppet oppdateringer [1] til Pulse Connect Secure og Pulse Policy Secure. Oppdateringene lukker en rekke sårbarheter, hvor den mest alvorlige (CVE-2020-8206) kan la en angriper omgå 2-faktorautentisering som benytter seg av Google TOTP.

 

Sårbarhetene er lukket i versjon 9.1R8. Tidligere versjoner bør antas være sårbare. Pulse Secure har en oversikt over støttede versjoner på sine nettsider [2]. Pulse Secure vurderer at summen av sårbarhetene har høy kritikalitet.

 

 

Berørte produkter:

Pulse Secure eldre enn versjon 9.1R8

 

 

Anbefalinger:

Patch/oppdater sårbare enheter så snart det lar seg gjøre.

Prioriter systemer som kan nås fra internett først. 

 

 

Referanser:

[1] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44516

[2] https://support.pulsesecure.net/product-service-policies/eol/software/pulse-connect-secure-software-dates-milestones/