Ivanti fixed a critical code execution issue in Pulse Connect Secure VPN
2021/08/06 SecurityAffairs — Ivanti の Pulse Connect Secure VPN アプライアンスに存在する、複数の脆弱性に対処するためのセキュリティ・アップデートが公開された。最も深刻な脆弱性 CVE-2021-22937 は、Pulse Connect Secure の管理者用 Web インターフェイスに存在する高危険度のリモートコード実行の脆弱性である。リモートの攻撃者は、この脆弱性を悪用して任意のファイルを上書きし、root 権限でコードを実行できる。この脆弱性の CVSS は 9.1 であり、2021年10月にリリースされた CVE-2020-8260 対処するための、パッチのバイパスに起因すると、専門家たちは指摘している。
NCC グループが公開したアドバイザリには、「この問題の悪用に成功すると、基盤となるオペレーティング・システム上で、root 権限によるリモート・コード実行が生じる。このようなアクセス権を持つ攻撃者は、Web アプリケーションを介することで制限を回避し、ファイル・システムを再マウントが可能となり、永続的なバックドアの作成や、認証情報の抽出と解読、VPN クライアントの侵害、内部ネットワークへのピボットなどが可能になる」と記されている。
脆弱性 CVE-2020-8260 は、管理者用の Web インターフェイスに存在し、認証された攻撃者は、制御されていない gzip 抽出により任意のコード実行し、/home/runtime/tmp/tt/ ディレクトリに実行可能なファイルを書き込むことが可能となる。NCC グループの研究員は、CVE-2021-22937 について、現在までに発見された昨年の脆弱性のバリエーションは、他にもあると説明している。2021年5月に Ivanti は、オリジナルのエクスプロイトを特定の CGI ファイルに変更することで、コード実行が可能になる脆弱性 CVE-2020-22900 にパッチを適用した。
Ivanti は、CVE-2021-22935として追跡された、サニタイズされていない Web パラメータを介してコマンド・インジェクション生じる、深刻な脆弱性にも対処した。この脆弱性の CVSS は 9.1 となっている。このほかにも、認証された攻撃者が引き起こすバッファ・オーバーフローや、クロスサイト・スクリプティング (XSS)、コマンド・インジェクション、任意のファイルの削除などの、重要度の高い4つの脆弱性を修正している。
今年の Pulse Connect Secure は、VPN 攻撃の代名詞みたいになってしまい、ちょっと可哀想ですね。このブログを Pulse で検索しただけでも、「CISA 警告:Pulse Secure に潜むスティルス・マルウェアに注意せよ」、「中国からの Pulse Secure を介したサイバー攻撃が重要産業を狙う?」、「Pulse Secure のゼロデイを悪用したニューヨーク都市交通局への侵入」、「Pulse Connect Secure VPN に深刻な脆弱性が」、「Pulse Secure VPN のゼロデイ攻撃にさらされる米政府機関」などが出てきました。それだけ、VPN がセキュリティの要として頑張っているからでしょう。パッチの適用を、お忘れなく。
IoT OT Security News 