CVE-2021-22893 の詳細
CVEの情報
説明:
Pulse Connect Secure 9.0R3/9.1R1 and higher is vulnerable to an authentication bypass vulnerability exposed by the Windows File Share Browser and Pulse Secure Collaboration features of Pulse Connect Secure that can allow an unauthenticated user to perform remote arbitrary code execution on the Pulse Connect Secure gateway. This vulnerability has been exploited in the wild.
CVE更新日: 2021-04-23 17:15:08.127000
CVSSバージョン: 3.1
CVSSスコア: 10.0
KEVの情報
KEV更新日: 2021-11-03
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.471720000
EPSS更新日: 2026-07-19 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE-2021-22893について、以下の観点で解説します。
1. 脆弱性の概要
CVE-2021-22893は、Pulse Connect Secure (PCS) 製品に存在する認証バイパスの脆弱性です。この脆弱性を悪用することで、遠隔の認証されていない攻撃者がPulse Connect Secureゲートウェイ上で任意のコードを実行する可能性があります。この脆弱性は、Windows File Share BrowserおよびPulse Secure Collaboration機能によって露出されるものです。
この脆弱性は、ゼロデイ脆弱性として積極的に悪用されていたことが確認されています。
1.1 影響
攻撃者がこの脆弱性を悪用すると、認証を回避し、リモートから任意のコードを実行できるようになります。これにより、Webシェルを配置して永続的なアクセスを取得したり、クレデンシャルを窃取したり、標的環境内で横方向に移動したり、正規のPulse Secureバイナリやスクリプトを改変してVPNアプライアンスに永続化させたりする可能性があります。 攻撃に成功した場合、システム全体が乗っ取られる危険性があります。
1.2 深刻度
CVSSv3.1のベーススコアは10.0であり、クリティカル(Critical)と評価されています。
2. 対象となる環境
2.1 影響を受けるOSバージョン
Pulse Connect Secureのバージョン9.0R3およびそれ以降が影響を受けます。具体的には、Pulse Connect Secure 9.0R3/9.1R1およびそれ以降のバージョンです。 Pulse Connect Secure 9.1R11.4より前のバージョンで、use after freeの脆弱性が含まれています。
2.2 影響を受ける設定
Windows File Share BrowserおよびPulse Secure Collaboration機能が露出している場合に脆弱性の影響を受けます。
3. 影響を受けた時の兆候
Pulse Secureは、Pulse Connect Secureで不審なファイル設置やファイルの改ざんが行われていないか確認するためのツール「Pulse Connect Secure Integrity Tool」を公開しています。このツールによって脅威が検知された場合、侵害が発生した可能性があります。
侵害の兆候としては、Webシェルバックドアが設置されている可能性があります。これは、Pulse Secure VPNアプライアンスのウェブサーバーのログデータ、特に疑わしいHTTP POSTトラフィックを調べることで確認できる場合があります。また、
/webserver/htdocs/dana-na/ディレクトリとそのサブディレクトリ内の新規または変更されたファイルに悪意のあるコンテンツがないか確認することも推奨されます。4. 推奨対策
4.1 本対策
Pulse Secureは、本脆弱性を修正したバージョンPulse Connect Secure 9.1R11.4をリリースしています。 影響を受ける製品を利用している場合は、製品開発者が提供する情報に基づいて最新版にアップデートすることが強く推奨されます。 特に、回避策を適用している場合でも、脆弱性を修正するバージョンへの更新が推奨されています。
4.2 暫定回避策(緩和策)
修正バージョンが公開されるまでの間、以下の暫定回避策が推奨されていました。
参照したサイト