CVE-2020-8260

Суть уязвимости

Аутентифицированный злоумышленник может отправить специально сформированный архив в формате GZIP на целевой сервер Pulse Connect Secure. Из-за недостаточной валидации при распаковке этого архива, злоумышленник может выполнить произвольный код на сервере с правами пользователя, под которым работает веб-служба.

Как исправить

Установите официальный патч от Ivanti, который устраняет данную уязвимость. Требуемая версия зависит от вашей текущей установки:

1. Определите текущую версию Pulse Connect Secure через веб-интерфейс администратора (System > Maintenance > Software Updates).
2. Загрузите и установите патч для вашей версии:
   • Для версий 9.1R8 и ниже обновитесь до 9.1R9 или выше.
   • Для версий 9.0R3 и ниже обновитесь до 9.0R4 или выше.
   • Для версий 8.3R7 и ниже обновитесь до 8.3R8 или выше.

Ссылки на загрузку и подробные инструкции по установке доступны в Security Advisory SA44516 на портале поддержки Ivanti (требуется учетная запись).

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

1. Ограничьте доступ к админ-интерфейсу:

   • Настройте брандмауэр или группы безопасности, чтобы разрешить подключение к портам админ-интерфейса (по умолчанию TCP/443) только с доверенных IP-адресов (например, сети администраторов).
   • В настройках PCS (Administration > System > Admin Settings) ограничьте доступ по IP.

2. Усильте мониторинг:

   • Включите и регулярно проверяйте журналы событий (Logs & Reports > Logs > System) на предмет подозрительных действий аутентифицированных пользователей.
   • Настройте алерты на необычно большие или частые загрузки файлов через веб-интерфейс.

3. Пересмотрите права учетных записей:

   • Проверьте список пользователей с правами администратора. Убедитесь, что такие права есть только у необходимого минимума сотрудников.
   • Рассмотрите возможность временного отключения неиспользуемых учетных записей с высокими привилегиями.