【SA45476(CVE-2022-21826)】Meetings機能へ影響する可能性がある脆弱性

2022年10月初版
株式会社日立ソリューションズ
Pulse Secure製品ユーザーサポート

平素よりご高配を賜り厚く御礼申し上げます。
脆弱性に関する情報について、以下の通りご案内させていただきます。

Meetings(Pulse Collaboration)機能のURLが有効なバージョンにおいて、
当該機能のURLを対象としたDesync攻撃を受ける可能性があると報告されています。

Meetings(Pulse Collaboration)機能のURLを対象としたDesync攻撃を受ける脆弱性が報告されています。
この脆弱性により、MeetingsのURLへユーザがアクセスした際に、攻撃者によるターゲットとなる可能性がございます。
※PCS 9.1R15以前はUsers > User Rolesの一覧においてMeetings機能が無効になっていても
ミーティングのURLはユーザからのリクエストに応答してしまうため、Desync攻撃を受けてしまいます。

脆弱性スコアは以下の通りです。
CVE-2022-21826
・CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N Score 3.7 (Low)

Pulse Connect Secure 9.1R15以前
※Meetings(Pulse Collaboration)機能はPCS 9.1R15以降で設定から削除され、
PCS 9.1R16ではURLが無効化されて完全に影響なしとなります。

Ivanti(Pulse) Connect Secure 9.1R16以降
恐れ入りますが、恒久対策として影響を受けないバージョンへのアップグレードをご検討いただけますよう、よろしくお願いいたします。

メーカー情報ページ
SA45476 - Client Side Desync Attack (Informational)
https://forums.ivanti.com/s/article/Client-Side-Desync-Attack?language=en_US

本内容に対する不明点等ございましたら、弊社MAG/PSAサポート(sa-user@hitachi-solutions.com)までご連絡ください。
尚、脆弱性の詳細については上記で公開されている以上の情報を保持しておりませんため回答いたしかねます。 大変恐れ入りますが、ご理解・ご協力いただきますようお願い申し上げます。