CVE-2020-8243

Ivanti Pulse Connect Secure

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Ivanti Pulse Connect Secure contains an unspecified vulnerability in the admin web interface that could allow an authenticated attacker to upload a custom template to perform code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Аутентифицированный злоумышленник (с правами администратора или скомпрометированной учетной записью) может загрузить специально созданный шаблон через веб-интерфейс администрирования Pulse Connect Secure. Это приводит к выполнению произвольного кода на сервере с правами системы.

Как исправить

Установите исправленную версию ПО Ivanti Pulse Connect Secure.

  1. Определите текущую версию: Войдите в веб-интерфейс администратора и проверьте версию на главной панели или в разделе System > Maintenance.

  2. Обновитесь до одной из следующих версий:

    • 9.1R12
    • 9.0R14.4
    • 8.3R17.2

  3. Процедура обновления:

    • Скачайте файл обновления (PulseConnectSecure_9.1R12.0-build-xxxxxx.patch) с портала поддержки Ivanti.
    • Загрузите его через веб-интерфейс: System > Maintenance > Software Updates.
    • Нажмите Install и следуйте инструкциям. Система перезагрузится.

    ```bash

    После установки патча проверьте версию через CLI (если доступ SSH включен):

    show version Pulse Connect Secure: 9.1R12.0 (build xxxxx) ```

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

  1. Ограничьте доступ к интерфейсу администрирования:

    • Настройте политики брандмауэра, разрешающие подключение к порту админ-интерфейса (по умолчанию TCP/443) только с доверенных IP-адресов (например, сети управления).
    • В самом PCS настройте Admin > Admin Roles > Settings и ограничьте доступ по IP для учетных записей администраторов.

  2. Усильте контроль учетных записей:

    • Включите и настройте многофакторную аутентификацию (MFA) для всех учетных записей с правами администратора (Users > User Roles > Admin).
    • Проверьте журналы (System > Log/Monitoring > Admin Access Logs) на предмет подозрительной активности загрузки файлов или входа администраторов.

  3. Настройте WAF (Web Application Firewall): Разместите перед сервером PCS WAF (например, ModSecurity, F5 ASM) и активируйте правила, блокирующие:

    • Загрузку файлов с расширениями .jsp, .jspx, .war или другими исполняемыми типами в пути, связанном с администрированием.
    • HTTP-запросы POST к эндпоинтам, содержащим в URI шаблоны типа /dana-admin/ или /dana-na/, с подозрительными payload.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей