CVE-2021-22900

Ivanti Pulse Connect Secure

ВЕРОЯТНОСТЬ 0.8%
Дата обнаружения

2021-11-03

Официальное описание

Ivanti Pulse Connect Secure contains an unrestricted file upload vulnerability that allows an authenticated administrator to perform a file write via a maliciously crafted archive upload in the administrator web interface.

🛡️
Технический анализ и план устранения

Суть уязвимости

Аутентифицированный администратор может загрузить специально созданный архив (ZIP) через веб-интерфейс администрирования. Система некорректно проверяет содержимое архива, что позволяет злоумышленнику записать произвольные файлы в файловую систему устройства. Это может привести к выполнению произвольного кода и полному компрометированию сервера.

Как исправить

Установите официальный патч от Ivanti. Уязвимость устранена в следующих версиях: * Pulse Connect Secure 9.1R14 и выше * Pulse Connect Secure 9.0R17 и выше

Порядок действий: 1. Скачайте файл обновления (.iso) для вашей мажорной версии (9.1 или 9.0) с портала поддержки Ivanti. 2. Загрузите файл обновления на устройство через веб-интерфейс: System > Maintenance > Upgrade. 3. Выполните установку обновления. Система перезагрузится автоматически.

Проверка версии после обновления: 1. Войдите в веб-интерфейс. 2. Перейдите в раздел System > Maintenance. 3. Убедитесь, что версия соответствует одной из исправленных (например, 9.1R14).

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

  1. Ограничьте доступ к админ-интерфейсу:

    • Настройте политики брандмауэра, чтобы разрешить подключение к порту админ-интерфейса (по умолчанию TCP/443) только с доверенных IP-адресов (например, сети управления).
    • Включите и настройте Client Certificate Authentication для доступа к админ-интерфейсу.

  2. Усильте мониторинг и аудит:

    • Включите детальное логирование загрузки файлов в разделе System > Log/Monitoring > Log Settings.
    • Настройте SIEM-систему на анализ логов PCS и создайте алерт на событие File uploaded via administrator interface.
    • Регулярно проверяйте журналы системы (System > Log/Monitoring > Log Files) на наличие подозрительной активности от учетных записей администраторов.

  3. Пересмотрите права учетных записей:

    • Проверьте список пользователей с правами администратора. Убедитесь, что таких учетных записей минимальное количество.
    • Рассмотрите возможность временного повышения сложности паролей для всех административных учетных записей.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей