CVE-2021-22894

Суть уязвимости

Уязвимость (CVE-2021-22894) — это переполнение буфера в компоненте Collaboration Suite (встречи) Ivanti Pulse Connect Secure (PCS). Атакующий, имеющий учетную запись пользователя в системе, может: * Создать специально сформированную «комнату для встреч» (meeting room) с вредоносными данными. * Вызвать переполнение буфера в процессе обработки этой комнаты. * В результате выполнить произвольный код на сервере PCS с правами пользователя root.

Как исправить

Установите официальный патч от Ivanti. Обновите Ivanti Pulse Connect Secure до одной из исправленных версий:

• 9.1R12 и выше
• 9.0R14 и выше
• 8.3R21 и выше

Процедура обновления: 1. Скачайте файл обновления (PulseSecureSetup_<версия>.zip) с портала поддержки Ivanti. 2. Загрузите файл в веб-интерфейс администрирования PCS (https://<ваш_сервер>/admin). 3. Перейдите в раздел System > Maintenance > Software Updates. 4. Нажмите "Install Update" и выберите загруженный файл. 5. Подтвердите установку. Система перезагрузится автоматически.

# После обновления проверьте текущую версию через CLI
> show version
Pulse Connect Secure: 9.1R12 (build 12345)

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

1. Отключите уязвимый компонент (Collaboration Suite / Meetings):

   • В веб-интерфейсе администрирования перейдите в Users > User Roles.
   • Для каждой роли (например, Authenticated Users) на вкладке "Policies" снимите разрешение "Meetings".
   • Или полностью отключите сервис встреч в конфигурации системы, если он не используется.

2. Ограничьте доступ:

   • Настройте правила на межсетевом экране (Firewall) или WAF для блокировки запросов к пути /meeting, если это возможно.
   • Убедитесь, что доступ к веб-интерфейсу PCS (/admin и пользовательскому порталу) разрешен только с доверенных сетей.

3. Усильте мониторинг:

   • Включите детальное логирование событий системы и встреч.
   • Настройте алерты на подозрительную активность, связанную с созданием или изменением meeting rooms.