Pulse Secure製品サポートトップ > 脆弱性SA44784(CVE-2021-22893)について

脆弱性SA44784(CVE-2021-22893)について

2022年6月改訂
株式会社日立ソリューションズ
Pulse Secure製品ユーザーサポート

平素よりご高配を賜り厚く御礼申し上げます。

2021年4月にPulse Secure社製品の脆弱性情報SA44784(CVE-2021-22893)がメーカより公表されました。本脆弱性について以下にご案内させていただきます。

1. 詳細

Pulse Connect Secure OS(PCSOS、旧IVEOS)9.0R3以降のバージョンには、脆弱性SA44784(CVE-2021-22893)の脆弱性がございます。

2021/5/7時点でPulse Secure社から修正済みのバージョンPCSOS 9.1R11.4がリリースされております。

恐れ入りますが、本脆弱性について修正済みバージョンへのアップグレードをご検討いただけますよう、よろしくお願いいたします。

2. 対象バージョン

Pulse Connect Secure 9.0R3以降
Pulse Connect Secure 9.1R1 〜 9.1R11.3
※ Pulse Secure Collaboration機能、Windowsファイル共有機能の使用有無に関わらず影響を受けます。

8.3R7.1など、9.0R2以前のバージョンに対する本脆弱性の影響はございません。

3. 改修済みバージョン

本脆弱性はPulse Connect Secure 9.1R11.4にて改修済みとなります。

4. 回避策

※2022/6/9時点で以下の回避策が突破され、攻撃を受けた事例が報告されております。
改修済みバージョンへのアップグレードが未実施の場合は、アップグレードをご検討ください。

脆弱性の影響を緩和するために、以下の機能2点の無効化をご検討願います。
・Pulse Secure Collaboration機能の無効化
・Windowsファイル共有機能の無効化
※ PSA機器の再起動、サービスのリスタートは不要です。
※ 設定変更前に管理者WebGUIの次のメニュー項目からシステムコンフィグ、ユーザコンフィグを保存することを推奨いたします。
- [Maintenance > Import/Export > Import/Export Configuration] > [Save Config As...]ボタン
- [Maintenance > Import/Export > Import/Export Users Accounts] > [Save Config As...]ボタン

●Pulse Secure Collaboration機能の無効化
XMLファイルをインポートすることで機能を無効とします。XMLファイルを用いず管理者WebGUIから無効化することはできません。
(1) 弊社サポートへご連絡いただき、XMLファイル「ps-pcs-sa-44784-workaround-2104.xml」を入手する
(2) 管理者WebGUIにログインし、メニュー[Maintenance > Import/Export > Import XML]を開く
(3) [Browse]ボタンでXMLファイルを指定し、[Import]ボタンでインポートする

※ クラスタ構成時は、クラスタのVIPからログインしてActive機でXMLファイルのインポートを行ってください。投入した設定はクラスタノード間で同期されるため、インポートは1台で実施いただければ結構です。
※ 無効化のXMLファイルを適用したことをAdmin Accessログ(管理者GUI[System > Log/Monitoring > Admin Access])から確認できます。出力されるログは次の通りです。
Created (System > Configuration > Global Security > blacklists > patch[2104-*])
「*」にはa〜eがあり、5つのログが出力されます。

注意1
9.0R1〜9.0R4.1および9.1R1〜9.1R2では、このXMLを適用してもPulse Secure Collaboration機能が無効化されません。XMLインポート前にアップグレードを実施してください。
注意2
ライセンスサーバのPCSはユーザアクセスを想定していないため、XMLの適用ではなく別途ファイアウォールなどを用いて、PCSに接続可能なIPアドレスを限定するなどの対策を推奨いたします。
注意3
脆弱性が改修されたバージョンへのアップグレードを実施する際は、Pulse Secure Collaboration機能を通常の状態へ戻してください。 Pulse Secure Collaboration機能を通常の状態へ戻すには、XMLファイル「ps-pcs-sa-44748-remove-workaround-2104.xml」を上記(2)(3)と同じ手順でインポートします。 このXMLファイルは、上記(1)で弊社サポートへご連絡いただいた際に、Pulse Secure Collaboration機能を無効化するXMLファイルとあわせてご提供いたします。

※ 通常の状態へ戻すXMLファイルを適用したことをAdmin Accessログ(管理者GUI[System > Log/Monitoring > Admin Access])から確認できます。出力されるログは次の通りです。
Deleted (System > Configuration > Global Security > blacklists > patch[2104-*])
「*」にはa〜eがあり、5つのログが出力されます。

●Windowsファイル共有機能の無効化
各Roleの設定を変更することで、Windowsファイル共有機能を無効とします。
(1) 管理者WebGUIにログインし、メニュー[Users > User Roles > <Role名>]を開く
(2) [Files, Windows]チェックボックスを外し、[Save Changes]ボタンで設定を保存する
(3) 存在するすべてのRoleについて(1)(2)を繰り返す

5. 完全性チェックツール

メーカよりPCSOSの完全性(Integrity、ファイルが改ざんされていないか)をチェックするツールがリリースされております。以下、Pulse Connect Secure Integrity Toolについて説明いたします。
※ Integrity Toolは機器の脆弱性をチェックするツールではありません。
※ ツール実行後に機器が自動的に再起動します。

●Integrity Toolの実行
(1) 弊社サポートへご連絡いただき、Integrity Toolを入手する
(2) 管理者WebGUIにログインし、メニュー[Maintenance > System > Upgrade/Downgrade]を開く
(3) [Install Service Package] > [Browse]ボタンでIntegrity Toolを指定し、[Install]ボタンを押下する

注意1
ツール実行後に機器が自動的に再起動します。ユーザへの影響がない時間帯でツールを実行してください。
注意2
ツールの所要時間についてはお客様環境によりますが、弊社環境のPSA3000では全体で約9分、内訳はチェック3分と再起動6分でした。
注意3
クラスタ構成の場合、クラスタの各ノードで個別にツールを実行する必要があります。なお、事前にクラスタを解除する必要はありません。

●Integrity Toolの結果
Integrity Toolを実行するとアップグレードページが表示されます。10個あるStepのうち、Step8の「Mis-matched Files」およびStep9の「Newly Detected Files」の両方で「0」が出力されていれば問題ありません。

注意
ツール実行後に機器が再起動された後、自動的にSystem Snapshotが生成されますが、ツールの実行結果に問題ない場合はSnapshotを削除いただいても構いません。

●Integrity Toolの結果に問題がある場合
ツール実行後に機器が再起動した後、自動でSystem Snapshotが生成されます。ツール実行結果のスクリーンショットとSystem Snapshotをメーカにて解析しますので、弊社サポート窓口までご連絡ください。
(1) Integrity Toolの実行結果のスクリーンショットを取得する
(2) 管理者WebGUIにログインし、メニュー[Maintenance > Troubleshooting > System Snapshot]を開く
(3) 自動生成されたSystem Snapshotをダウンロードする
(4) 取得いただいた情報とともに、弊社サポートへご連絡いただく

●Integrity Toolの対象バージョン
本ツールの対象バージョンについてはメーカのKB44755に記載の"The Integrity Tool is currently supported on the following PCS versions"をご確認ください。

6. XMLファイル、完全性チェックツールの入手について

上記XMLファイル、完全性チェックツールの入手につきましては、弊社サポートまでご依頼ください。

7. 補足

メーカブログ(日本語)
Pulse Connect Secureセキュリティアップデート
https://www.ivanti.co.jp/blog/pulse-connect-secure-security-update

メーカ情報ページ
SA44784 - 2021-04: Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)
https://forums.ivanti.com/s/article/SA44784?language=en_US

メーカ情報ページ
KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
https://forums.ivanti.com/s/article/KB44755?language=en_US

8. 連絡先

本内容に対する不明点等ございましたら、弊社MAG/PSAサポート(sa-user@hitachi-solutions.com)までご連絡ください。