米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月20日(米国時間)、「CISA Issues Emergency Directive on Pulse Connect Secure|CISA」において、VPN製品「Pulse Connect Secure」のゼロデイ脆弱性を悪用した攻撃が確認されているとして、CISA(Cybersecurity and Infrastructure Security Agency)がセキュリティアラート「Alert (AA21-110A)」および緊急指令「ED21-03」を発行したと伝えた。対象の脆弱性の中にはまだ修正パッチが提供されていないものもあり、継続的な悪用による被害を防止するために指定された緩和策を講じるよう呼びかけている。

発行されたセキュリティアラートおよび緊急指令は、それぞれ下記のページで確認することができる。

  • Alert (AA21-110A): Exploitation of Pulse Connect Secure Vulnerabilities

    Alert (AA21-110A): Exploitation of Pulse Connect Secure Vulnerabilities

  • Emergency Directive 21-03: Mitigate Pulse Secure Product Vulnerabilities

    Emergency Directive 21-03: Mitigate Pulse Secure Product Vulnerabilities

Pulse Connect Secure(PCS)はIvanti傘下のPulse Secureが提供するVPN製品で、CISAでは2021年3月31日以降に、米国政府機関や民間組織に対して、この製品の脆弱性を突いたサイバー攻撃が行われていることを確認したという。攻撃者は、リモートからの任意のコード実行が可能となるCVE-2019-11510、CVE-2020-8260、CVE-2020-8243、CVE-2021-22893といった複数の脆弱性を悪用して対象のネットワークに侵入し、Web Shellを仕込むことで後続の攻撃に利用しているとのこと。

悪用が確認されている脆弱性のうち、新たに発見されたCVE-2021-22893は本稿執筆時点でまだ修正パッチが提供されておらず、リリースは5月上旬になる見込みとアナウンスされている。

Pulse Secureでは、該当する製品のインストール状況を調査し、脆弱性の影響について評価する「Pulse Security Integrity Checker Tool」の提供を開始した。CISAによるアラートおよび緊急指令では、このツールを利用して脆弱性の影響を調べた上で、必要な緩和策を実施するように指示している。