Pulse Connect Secure VPN:日本も含めてパッチ未適用が 4,000 台以上

Over 4,000 Vulnerable Pulse Connect Secure Hosts Exposed to Internet

2022/12/09 SecurityWeek — インターネット・アクセスが可能な、4,000 台以上の Pulse Connect Secure ホストが、少なくとも1つの既知の脆弱性の影響を受けていると、情報セキュリティ企業である Censys が警告している。Pulse Connect Secure は、ユーザー企業におけるリモート/モバイルを介した安全なアクセスを実現する、SSL VPN ソリューションとして広く導入されている。そして、この VPN アプライアンスは、2020年に Pulse Secure を買収した、Ivanti の製品群の1つとなっている。

サイバー犯罪者/国家支援の脅威アクターの双方が、ターゲットにすると知られているPulse Secure アプライアンスについては、パッチ未適用の脆弱性が継続的に悪用されていることを、それぞれの政府機関が繰り返して警告している。

しかし、Censys の最新のレポートでは、脆弱な Pulse Connect Secure のホストの数が依然として多いことが示されている。インターネットに公開されている 30,266台の Pulse Secure アプライアンスのうち、4,460台がパッチ未適用だという。

同レポートによると、脆弱性なアプライアンスのうちの、およそ 3,500台は、2021年8月にリリースされたパッチが適用されていないという。このパッチは、root 権限で任意のコード実行を可能にするファイル書き込みの深刻な脆弱性を含む、6件の脆弱性に対処するものだ。

また、脆弱なホストのうち 1800台以上が、2021年5月にリリースされたパッチが未適用であることも発見された。このパッチは、3件の深刻な脆弱性に対処するものであり、CVE-2021-22893 (CVSS:10) が攻撃に悪用されたことを、Pulse Secure が警告した2週間後にリリースされている。

さらに Censys は、CVE-2018-5299 (CVSS:9.8) /CVE-2018-6320 (CVSS:9.8) /CVE-2019-11510 (CVSS:10) /CVE-2019-11540 (CVSS:9.8) といった、その他の深刻な脆弱性の影響を受けている、数百台の Pulse Connect Secure アプライアンスも依然として存在すると述べている。

同社によると、米国にはインターネット・アクセスが可能な、Pulse Connect Secure のホストが約 8,500台あり、そのうち 1,000台が既知の脆弱性の影響を受けているとのことだ。2位は日本であり、3,000台 (700台が脆弱) 、3位はイギリス/ドイツで、それぞれ 1,700台強 (155台/134台が脆弱) となっている。

日本にも、インターネット露出の Pulse Connect Secure が 3,000台あり、そのうちの 700台が脆弱な状態に置かれているという、とても心配な話です。なお、文中にある、2021年8月にパッチがリリースされたという脆弱性ですが、CVE が記載されていないので、お隣のキュレーション・チームに聞いてみました。すると、2021年には以下の日付で、それぞれの脆弱性を拾っているとの答えが返ってしました。

2021年4月22日:CVE-2021-22893 (CVSS:10.0)
2021年5月19日:CVE-2021-22908 (CVSS:8.5)
2021年6月11日:CVE-2021-22899 (CVSS:8.8)
2021年6月11日:CVE-2021-22894 (CVSS:9.0)
2021年6月11日:CVE-2021-22900 (CVSS:7.2)
2021年8月7日:CVE-2021-22937 (CVSS:9.1)
2021年8月7日:CVE-2021-22933 (CVSS:7.6)
2021年8月7日:CVE-2021-22934 (CVSS:8.0)

記事に記されている日付と、少し異なりますが、こちらが正しいはずです。何かの、ご参考になれば幸いです。よろしければ、Pulse Secure で検索も、ご利用ください。

%d bloggers like this: