CVE-2019-11510

Ivanti Pulse Connect Secure

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Ivanti Pulse Connect Secure contains an arbitrary file read vulnerability that allows an unauthenticated remote attacker with network access via HTTPS to send a specially crafted URI.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2019-11510) позволяет неавторизованному удаленному злоумышленнику, имеющему сетевой доступ к серверу Pulse Connect Secure по HTTPS (порт TCP/443), читать произвольные файлы на файловой системе сервера.

  • Механизм: Атака осуществляется путем отправки специально сформированного HTTP-запроса (URI), который обходит проверки и предоставляет доступ к файлам за пределами разрешенного веб-каталога.
  • Цель атаки: Злоумышленник может получить доступ к критически важным файлам, таким как:
    • /etc/passwd
    • Конфигурационные файлы
    • Файлы с приватными ключами
    • Файлы с паролями в открытом виде (например, data.mdb), что может привести к полной компрометации системы.

Как исправить

Основной метод устранения — установка официального патча от Ivanti.

  1. Определите текущую версию Pulse Connect Secure. Перейдите в веб-интерфейс администрирования: System > Maintenance > Software Updates.

  2. Установите обновление, соответствующее вашей версии. Критически важные патчи выпущены для следующих версий:

    • Pulse Connect Secure 9.0R3: установите 9.0R3.4 или новее.
    • Pulse Connect Secure 8.3R7: установите 8.3R7.4 или новее.
    • Pulse Connect Secure 8.1R15: установите 8.1R15.4 или новее.
    • Pulse Connect Secure 8.2R12: установите 8.2R12.4 или новее.

    Конкретная команда для установки через веб-интерфейс: * Скачайте файл патча (.sig) с портала поддержки Ivanti. * В веб-интерфейсе перейдите: System > Maintenance > Software Updates. * Нажмите "Browse...", выберите скачанный файл .sig и нажмите "Install Update".

  3. После установки перезагрузите сервер. Это обязательный шаг.

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Ограничьте доступ по сети: Настройте правила межсетевого экрана (Firewall), чтобы разрешить входящие HTTPS-подключения (TCP/443) к Pulse Connect Secure только из доверенных сетей (например, из внутренней сети или пула IP-адресов VPN-пользователей). Заблокируйте все остальные источники.

    Пример правила для iptables (Linux): ```bash

    Разрешить HTTPS только с доверенной подсети 192.168.1.0/24

    iptables -A INPUT -p tcp --dport 443 -s 192.168.1.0/24 -j ACCEPT

    Заблокировать весь остальной HTTPS-трафик

    iptables -A INPUT -p tcp --dport 443 -j DROP ```

  2. Настройте WAF (Web Application Firewall): Разместите перед сервером WAF (например, ModSecurity, F5 ASM, Imperva) и настройте правило для блокировки запросов, содержащих шаблоны обхода пути (path traversal), такие как последовательности ../ или их кодированные варианты (%2e%2e%2f).

    Пример простого правила для ModSecurity: SecRule REQUEST_URI "@contains ../" "id:1001,phase:1,deny,status:403,msg:'Path Traversal Attack Attempt'" SecRule REQUEST_URI "@contains ..\/" "id:1002,phase:1,deny,status:403,msg:'Path Traversal Attack Attempt'"

  3. Проверьте журналы на предмет компрометации: Немедленно проверьте логи веб-доступа Pulse Connect Secure на наличие подозрительных запросов к нестандартным файлам (например, /dana-na/../dana/html5acc/guacamole/../../../../../../etc/passwd). Проверьте целостность системных и конфигурационных файлов.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей