United States Computer Emergency Readiness Team (US-CERT)は10月16日(米国時間)、「Multiple Vulnerabilities in Pulse Secure VPN|CISA」において、Pulse Secure Virtual Private Network (VPN)に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。

脆弱性に関する情報は次のページにまとまっている。

  • Public KB - SA44101 - 2019-04: Out-of-Cycle Advisory: Multiple vulnerabilities resolved in Pulse Connect Secure / Pulse Policy Secure 9.0RX

    Public KB - SA44101 - 2019-04: Out-of-Cycle Advisory: Multiple vulnerabilities resolved in Pulse Connect Secure / Pulse Policy Secure 9.0RX

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Pulse Connect Secure 9.0RX
  • Pulse Connect Secure 8.3RX
  • Pulse Connect Secure 8.2RX
  • Pulse Connect Secure 8.1RX
  • Pulse Policy Secure 9.0RX
  • Pulse Policy Secure 5.4RX
  • Pulse Policy Secure 5.3RX
  • Pulse Policy Secure 5.2RX
  • Pulse Policy Secure 5.1RX

Pulse SecureのVPNプロダクトに脆弱性が存在することは2019年3月に明らかになっており、4月には修正を含むアップデートが提供されている。セキュリティ関連機関はユーザーや管理者に対し、このパッチの適用を呼びかけていた。

しかし、実際にはパッチを当てていない脆弱性の存在するバージョンが運用されており、持続型標的型攻撃の対象になっていることが確認された。こうした攻撃に対して注意喚起を行う目的で、再度このプロダクトのユーザーに対して警告が行われたものと見られる。

この脆弱性は回避する方法が存在せず、パッチが適用されたバージョンへアップグレードするしか解決方法がないと言われている。該当するプロダクトを使用している場合は迅速にアップデートを適用することが望ましい。