Trusted Design

CVE-2021-22893 の詳細

CVEの情報

説明:
Pulse Connect Secure 9.0R3/9.1R1 and higher is vulnerable to an authentication bypass vulnerability exposed by the Windows File Share Browser and Pulse Secure Collaboration features of Pulse Connect Secure that can allow an unauthenticated user to perform remote arbitrary code execution on the Pulse Connect Secure gateway. This vulnerability has been exploited in the wild.

CVE更新日: 2021-04-23 17:15:08.127000

CVSSバージョン: 3.1

CVSSスコア: 10.0

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.471720000

EPSS更新日: 2026-07-19 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2021-22893について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2021-22893は、Pulse Connect Secure (PCS) 製品に存在する認証バイパスの脆弱性です。この脆弱性を悪用することで、遠隔の認証されていない攻撃者がPulse Connect Secureゲートウェイ上で任意のコードを実行する可能性があります。この脆弱性は、Windows File Share BrowserおよびPulse Secure Collaboration機能によって露出されるものです。

この脆弱性は、ゼロデイ脆弱性として積極的に悪用されていたことが確認されています。

1.1 影響

攻撃者がこの脆弱性を悪用すると、認証を回避し、リモートから任意のコードを実行できるようになります。これにより、Webシェルを配置して永続的なアクセスを取得したり、クレデンシャルを窃取したり、標的環境内で横方向に移動したり、正規のPulse Secureバイナリやスクリプトを改変してVPNアプライアンスに永続化させたりする可能性があります。 攻撃に成功した場合、システム全体が乗っ取られる危険性があります。

1.2 深刻度

CVSSv3.1のベーススコアは10.0であり、クリティカル(Critical)と評価されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

Pulse Connect Secureのバージョン9.0R3およびそれ以降が影響を受けます。具体的には、Pulse Connect Secure 9.0R3/9.1R1およびそれ以降のバージョンです。 Pulse Connect Secure 9.1R11.4より前のバージョンで、use after freeの脆弱性が含まれています。

2.2 影響を受ける設定

Windows File Share BrowserおよびPulse Secure Collaboration機能が露出している場合に脆弱性の影響を受けます。

3. 影響を受けた時の兆候

Pulse Secureは、Pulse Connect Secureで不審なファイル設置やファイルの改ざんが行われていないか確認するためのツール「Pulse Connect Secure Integrity Tool」を公開しています。このツールによって脅威が検知された場合、侵害が発生した可能性があります。

侵害の兆候としては、Webシェルバックドアが設置されている可能性があります。これは、Pulse Secure VPNアプライアンスのウェブサーバーのログデータ、特に疑わしいHTTP POSTトラフィックを調べることで確認できる場合があります。また、/webserver/htdocs/dana-na/ ディレクトリとそのサブディレクトリ内の新規または変更されたファイルに悪意のあるコンテンツがないか確認することも推奨されます。

4. 推奨対策

4.1 本対策

Pulse Secureは、本脆弱性を修正したバージョンPulse Connect Secure 9.1R11.4をリリースしています。 影響を受ける製品を利用している場合は、製品開発者が提供する情報に基づいて最新版にアップデートすることが強く推奨されます。 特に、回避策を適用している場合でも、脆弱性を修正するバージョンへの更新が推奨されています。

4.2 暫定回避策(緩和策)

修正バージョンが公開されるまでの間、以下の暫定回避策が推奨されていました。

  • Workaround-2104.xmlファイルのインポート: Pulse Secureが提供するWorkaround-2104.xmlファイルをインポートすることで、URLベースの攻撃による影響を軽減できます。このファイルは、Pulse Connect SecureアプライアンスのWindows File Share BrowserとPulse Secure Collaboration機能を無効にします。 インポート後、Windows File Browserが無効になっているか設定を確認することが推奨されます。
    • このXMLは、バージョン9.0R1から9.0R4.1および9.1R1から9.1R2では動作しないため、これらのバージョンを使用している場合はPCSをアップデートしてから適用する必要があります。
  • Pulse Connect Secure Integrity Toolの実行: 攻撃者が脆弱性の悪用に成功すると、アプライアンスにWebシェルを配置して永続的なアクセスを取得する可能性があるため、このツールを実行してファイルシステムの整合性をチェックし、ハッシュ値の不一致を検出することが推奨されています。
  • 仮想パッチの適用: TippingPointを利用している場合、DV #9535にて今回の脆弱性対策用のFilter (39636: HTTP: Pulse Secure Pulse Connect Secure Suspicious Requests) がリリースされており、これを有効にすることで対策が可能です。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る