CVE-2019-11539

Ivanti Pulse Connect Secure and Pulse Policy Secure

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Ivanti Pulse Connect Secure and Policy Secure allows an authenticated attacker from the admin web interface to inject and execute commands.

🛡️
Технический анализ и план устранения

Суть уязвимости

Аутентифицированный злоумышленник с правами администратора может через веб-интерфейс управления внедрить и выполнить произвольные операционные команды на сервере. Это происходит из-за недостаточной валидации пользовательского ввода в определенных функциях администрирования.

Как исправить

Установите патч от вендора. Уязвимость устранена в следующих версиях ПО:

  • Pulse Connect Secure:

    • Версия 9.0R3 и выше
    • Версия 8.3R7 и выше
    • Версия 8.1R15 и выше
    • Версия 8.0R16 и выше

  • Pulse Policy Secure:

    • Версия 9.0R3 и выше
    • Версия 5.4R8 и выше
    • Версия 5.3R13 и выше
    • Версия 5.2R14 и выше
    • Версия 5.1R15 и выше

Действия: 1. Войдите в веб-интерфейс администратора вашего устройства Pulse Secure. 2. Перейдите в раздел System > Maintenance > Software Update. 3. Загрузите и установите соответствующую исправленную версию прошивки с официального портала поддержки Ivanti. 4. После установки перезагрузите устройство.

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

  1. Ограничьте доступ к админ-интерфейсу:

    • Настройте брандмауэр или систему контроля доступа (NAC) так, чтобы доступ к портам веб-интерфейса администратора (по умолчанию 443/tcp) был разрешен только с доверенных IP-адресов (например, сети администраторов безопасности).

    ```bash

    Пример правила iptables для ограничения доступа к порту 443 с IP 192.168.1.100

    iptables -A INPUT -p tcp --dport 443 -s 192.168.1.100 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP ```

  2. Усильте контроль учетных записей:

    • Проверьте список учетных записей с правами администратора. Удалите неиспользуемые.
    • Убедитесь, что для всех учетных записей администраторов используются сложные уникальные пароли.
    • Рассмотрите возможность обязательного использования многофакторной аутентификации (MFA) для доступа в админ-панель, если эта функция поддерживается вашей версией.

  3. Настройте WAF:

    • Разместите Web Application Firewall перед устройством Pulse Secure. Настройте правила для блокировки попыток внедрения команд (OS Command Injection), например, по наличию в запросах специальных символов (;, &, |, $(), \n).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей