[JustisCERT-varsel] [#028-2021] [TLP:CLEAR] Kritiske sårbarheter i Pulse Connect Secure

JustisCERT ønsker å varsle om nye kritiske sårbarheter i Pulse Connect Secure (PCS). Det er totalt 3 sårbarheter, hvor 2 er kritiske:

• CVE-2021-22894 som er en buffer overflow i PCS Collaboration Suite (CVSS 9.9)
• CVE-2021-22899 som er en sårbarhet i PCS som åpner for kommandoinjeksjon (CVSS 9.9)
• CVE-2021-22900 som er en sårbarhet i PCS webgrensesnittets opplastingsfunksjon (CVSS 7.2)
   

Pulse Secure publisert 3. mai en oppdatering som retter sårbarhetene [1]. Oppdateringen retter også den tidligere omtalte kritiske sårbarheten (se [JustisCERT-varsel] [#024-2021]), CVE-2021-22893 med CVSS score 10.0.


Berørte produkter er:

• Pulse Connect Secure (PCS) før 9.1R11.4

Anbefalinger:

• Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Avinstaller programvare som ikke benyttes
• Patch/oppdater programvare/produkter som benyttes
• Innfør mitigerende tiltak i de tilfeller programvare/produkter ikke kan oppdateres
• Prioriter systemer som kan nås fra internett først

 
 
Kilder:

[1] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784