CVE-2021-22893

Ivanti Pulse Connect Secure

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Ivanti Pulse Connect Secure contains a use-after-free vulnerability that allow a remote, unauthenticated attacker to execute code via license services.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа "использование после освобождения" (use-after-free) в службе лицензирования (license services) Ivanti Pulse Connect Secure. Удаленный злоумышленник, не проходя аутентификацию, может отправить специально сформированный запрос к этой службе, что приведет к повреждению памяти и потенциальному выполнению произвольного кода на устройстве с правами, под которыми работает уязвимая служба.

Как исправить

Установите официальный патч от Ivanti. Уязвимость устранена в следующих версиях: * Pulse Connect Secure 9.1R11.4 и выше * Pulse Connect Secure 9.0R14.2 и выше * Pulse Policy Secure 9.1R11.2 и выше * Pulse Policy Secure 9.0R14.2 и выше

Действия: 1. Войдите в веб-интерфейс администрирования PCS/PPS. 2. Перейдите в раздел System > Maintenance > Software Updates. 3. Загрузите и установите соответствующую патченную версию прошивки с портала поддержки Ivanti. 4. После установки выполните перезагрузку устройства.

Временное решение

Если немедленная установка обновления невозможна, выполните следующие шаги:

  1. Ограничьте доступ к интерфейсу управления: Настройте брандмауэр или списки контроля доступа (ACL) на маршрутизаторах, чтобы разрешить подключение к портам администрирования PCS/PPS (по умолчанию TCP/443 для веб-интерфейса) только с доверенных IP-адресов (например, из сети SOC или административного сегмента).

    ```bash

    Пример iptables правила для Linux-шлюза (подставьте свои IP)

    iptables -A INPUT -p tcp --dport 443 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP ```

  2. Включите правила WAF: Если перед PCS/PPS развернут веб-прикладной файрвол (WAF), активируйте правила для блокировки аномальных или сложных запросов к службам лицензирования. Создайте кастомное правило для мониторинга или блокировки запросов к эндпоинтам, связанным с лицензиями (например, /dana-na/auth/license.cgi).

  3. Мониторинг: Усильте мониторинг журналов (/var/log/ на устройстве PCS) и сетевого трафика на предмет аномальной активности, исходящей извне и направленной на стандартные или нестандартные порты устройства. Обращайте внимание на множественные попытки подключения или сбои службы pcsd-license.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей