CVE-2021-22899

Ivanti Pulse Connect Secure

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Ivanti Pulse Connect Secure contains a command injection vulnerability that allows remote authenticated users to perform remote code execution via Windows File Resource Profiles.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-22899) в Ivanti Pulse Connect Secure (PCS) — это инъекция команд в компоненте Windows File Resource Profiles. Атакующий, имеющий аутентифицированный доступ к веб-интерфейсу администратора, может внедрить и выполнить произвольные команды операционной системы на сервере PCS. Это позволяет получить полный контроль над системой.

Как исправить

Установите официальный патч от Ivanti. Обновление зависит от вашей текущей версии PCS.

  1. Определите текущую версию: Войдите в веб-интерфейс администратора PCS и проверьте версию на главной странице или в разделе System > Maintenance.

  2. Установите исправленную версию: Загрузите и установите одну из следующих версий (или более новую) с портала поддержки Ivanti:

    • Pulse Connect Secure 9.1R12 и выше
    • Pulse Connect Secure 9.0R14.4 и выше
    • Pulse Connect Secure 8.3R21.2 и выше

    Процесс обновления обычно выполняется через веб-интерфейс: * Перейдите в System > Maintenance > Upgrade. * Загрузите файл обновления (.sig или .psc). * Запустите установку. Система перезагрузится автоматически.

    Важно: Перед обновлением создайте полную резервную копию конфигурации (System > Maintenance > Backup).

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к интерфейсу администратора:

    • Настройте брандмауэр или систему контроля доступа (ACL), чтобы разрешить подключение к портам веб-интерфейса PCS (по умолчанию 443/TCP) только с доверенных IP-адресов (например, сети администраторов).
    • Включите и настройте Client Certificate Authentication для доступа к админ-консоли.

  2. Отключите неиспользуемые профили ресурсов:

    • Проверьте и отключите все ненужные Windows File Resource Profiles в конфигурации PCS.
    • Перейдите в Users > Resource Profiles > Windows File, выберите профиль и установите для параметра Status значение Disabled.

  3. Настройте WAF (Web Application Firewall):

    • Разместите WAF перед сервером PCS.
    • Создайте строгое правило для блокировки HTTP-запросов, содержащих в параметрах подозрительные символы, используемые для инъекций команд (например, ;, &, |, $(), \n).

  4. Усильте мониторинг:

    • Включите детальное логирование (System > Log/Monitoring > Categories) для событий аутентификации и доступа к ресурсам.
    • Настройте SIEM-систему на оповещение о множественных неудачных попытках входа или подозрительной активности, связанной с профилями ресурсов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей