2021年4月20日(米国時間)、Pulse Secure製品にリモートコード実行が可能となる脆弱性が存在する事をPulse Secureが公開を行いました。
本脆弱性に対する正式な対応方法については下記を参照頂ければ幸いです。
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/SA44784/
もし、すぐにPulse Connect Secureの対応が行えない場合、TippingPoint にて一時対策(仮想パッチ)を行う事が可能です。
05月05日(日本時間)、DV #9535 にて今回の脆弱性対策用の Filter がリリースされました。
CVE-2021-22893
39636: HTTP: Pulse Secure Pulse Connect Secure Suspicious Requests
デフォルト設定:Disable
本 Filter は、TippingPoint をお使いの上、DV #9535 に定義ファイルの更新が完了している環境であれば、
Filter:39636 を有効に変更を行う事で対策することが可能です。
SMS をご利用されているお客様の場合、以下の手順にて Filter の有効化が行えます。
01.SMS Client にて SMS にログイン
02.画面上部メニュー「Profiles」をクリック
03.画面左部メニュー「Profiles」⇒「Inspection Profiles」⇒「(現在使用しているProfile)」⇒「Search」をクリック
04.画面右部「Filter Name」に「39636」と入力を行い、右側「Search」をクリック
05.画面下部「Search Results」に表示された Filter をクリック後、右下「Edit」をクリック
06.新しいウィンドウ「Action」内の「Use Filter Specific Settings」を選択
07.「State」の「Enabled」にチェックを入れる
08.「Action Set」で任意の動作※を選択後、右下「OK」をクリック
・Block + Notify:該当通信遮断 + 検知通知
・Permit + Notify:該当通信通過 + 検知通知
・Block:該当通信遮断
・Permit:該当通信通過
09.画面左部メニュー「Profiles」⇒「Inspection Profiles」⇒「(現在使用しているProfile)」をクリック
10.画面右部「Distribute」をクリックし、適用を行いたいセグメントを選択し、「OK」をクリック
11.新しいウィンドウにて、100%(Complete)になれば適用完了
※Filter 設定変更による業務通信影響を気にされる場合は、最初は「Permit + Notify」にて設定を行い、
業務通信に影響が無い事を確認出来た後、「Block + Notify」に変更を行うことをおすすめいたします。