情報セキュリティ

Pulse Connect Secure の脆弱性対策について(CVE-2021-22893)

最終更新日:2021年5月7日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Pulse Connect Secure は、リモートアクセスを実現するための VPN 製品です。

この Pulse Connect Secure において、遠隔の第三者が認証を回避し、任意のコードを実行する可能性のある脆弱性が確認されています。

2021 年 4 月 21 日現在、製品開発者から修正済みのバージョンは提供されていません。
製品開発者が公表している手順に従い暫定的な回避策を実施するか、または当該製品の一時的な使用停止を検討してください。

2021 年 5 月 6 日 更新

製品開発者より修正済みのバージョンが提供されています。
製品開発者が公表している手順に従いアップデートするか、暫定的な回避策を実施してください。

国内での被害は確認されていませんが、すでに悪用が確認されており、今後被害が拡大する可能性があるため、対策の実施についてご検討ください。

影響を受けるシステム

Pulse Connect Secure 9.0R3 およびそれ以降

2021 年 4 月 23 日 更新

Pulse Connect Secure 9.1R1 およびそれ以降

※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。

対策

2021 年 5 月 6 日 更新

2021 年 5 月 6 日現在、「影響を受けるシステム」に記載の全てのバージョンにおいて製品開発者から修正プログラムが提供されております。

1.脆弱性の解消 - 修正プログラムの適用

製品開発者から提供されている修正プログラムを適用してください。詳細は、下記リンクよりご確認ください。

2.脆弱性の暫定的な回避策

製品開発者が公表している手順に従い、次の回避策の適用を実施してください。

  • Pulse Secure が提供する Workaround-2104.xml ファイルをインポートする

xmlファイルをインポートすると、URLベースの攻撃による影響が軽減され、Windows File Share Browser と Pulse Secure Collaboration が無効になります。インポート後に、Windows File Browser が無効になっているか設定を確認することが推奨されています。詳細の内容や実施手順については、下記リンクよりご確認下さい。

参考情報

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。
詳しくは製品ベンダなどにお問合せください。

更新履歴

  • 2021年5月6日

    ベンダより修正プログラムがリリースされたため、内容を更新

  • 2021年4月23日

    影響を受けるシステム及び参考情報の追記

  • 2021年4月21日

    掲載