Pasar al contenido principal
#UruguaySeVacuna: Agendate y accedé a toda la información sobre las vacunas.
Vulnerabilidad

Vulnerabilidades en productos Pulse Connect Secure

Creación: 22/04/2021
Última actualización: 22/04/2021
Se publicó una vulnerabilidad con severidad crítica que afecta a los productos Pulse Connect Secure y que permitiría ejecutar código arbitrario en Pulse Connect Secure Gateway a quienes no se hayan autenticado.
ciberseguridad

La vulnerabilidad CVE-2021-22893 del tipo “0-day”, clasificada como de ejecución remota de código (RCE) y de severidad crítica (CVSS:3.1=10), afecta a las versiones 9.0R3 y superiores de Pulse Connect Secure y permite evadir los controles de autenticación y la ejecución arbitraria de código.

Los reportes afirman que esta vulnerabilidad está siendo explotada activamente en internet, encadenando otras actividades de recolección de credenciales, lo que podría permitir movimientos laterales.

Recomendaciones

El fabricante anunció que la vulnerabilidad será corregida en la 9.1R.11.4.

Como medida temporal, se recomienda importar al equipo el archivo Workaround-2104.xml provisto por Pulse Secure. El archivo XML deshabilita las siguientes funcionalidades: Windows File Share Browser y Pulse Secure Collaboration.

El archivo Workaround-2104.xml y las instrucciones del fabricante para mitigar la vulnerabilidad, se pueden encontrar en el siguiente enlace.

En vista de la gravedad de la vulnerabilidad, recomendamos implementar la medida mencionada y ejecutar la herramienta específica liberada por Pulse Secure, que permite realizar una verificación integral del sistema.

Referencias

Acceder a las recomendaciones de Pulse Secure

Publicación del Blog Tenable

Publicación del CERT de Estados Unidos

Sobre las vulnerabilidades 0-day

Esta es una vulnerabilidad desconocida para quienes se interesen en mitigarla (incluyendo desarrollador/fabricante del software afectado). Hasta que dichas vulnerabilidades sean mitigadas, actores maliciosos pueden intentar explotarlas para afectar negativamente sistemas, redes, entre otros.

Etiquetas