Pulse Secure VPN因修补不良的关键缺陷获得新的紧急更新

Pulse Secure has shipped a fix for a critical post-authentication remote code execution (RCE) vulnerability in its Connect Secure virtual private network (VPN) appliances to address an incomplete patch for an actively exploited flaw it previously resolved in October 2020.

NCC Group的Richard Warren周五透露：“Pulse Connect安全设备存在一个不受控制的档案提取漏洞，允许攻击者覆盖任意文件，导致以root身份远程执行代码。”。“该漏洞绕过了CVE-2020-8260的修补程序。”

“具有这种访问权限的攻击者将能够绕过通过web应用程序实施的任何限制，并重新安装文件系统，从而允许他们创建持久后门、提取和解密凭据、破坏VPN客户端，或转向内部网络，”Warren补充道。

此前几天，Pulse Secure背后的公司Ivanti在8月2日发布了一份针对多达六个安全漏洞的建议，敦促客户迅速更新Pulse Connect Secure 9.1R12版本，以防止针对这些漏洞的任何攻击企图。

Pulse Secure称，这一缺陷被追踪为CVE-2021-22937（CVSS分数：9.1），它可能“允许经过身份验证的管理员通过恶意创建的上传到管理员web界面的存档文件执行文件写入”。CVE-2020-8260（CVSS core:7.2）涉及使用不受控制的gzip提取的任意代码执行缺陷，已于2020年10月用9.1R9版进行了修复。

“CVE-2021-2293是一个单独的漏洞，不是CVE-2020-8260的旁路，但在影响和漏洞类型方面是相似的，这就是为什么我们指定了一个单独的CVE，”Invanti的安全副总裁丹尼尔·斯派塞在对《黑客新闻》的声明中说。

该漏洞是由于管理员web界面中提取存档文件（.TAR）的方式存在缺陷造成的。虽然添加了进一步的检查来验证TAR文件，以防止CVE-2020-8260被利用，但额外的变体和补丁分析显示，可以利用处理探查器设备数据库的源代码部分中的相同提取漏洞，有效地绕过已实施的缓解措施。

沃伦说：“虽然通过向提取的文件添加验证来解决这个问题，但这种验证不适用于具有‘探查器’类型的档案。”。“因此，只需修改原始的CVE-2020-8260漏洞，将归档类型更改为‘探查器’，就可以绕过补丁，实现代码执行。”

值得注意的是，CVE-2020-8260是四个脉冲安全漏洞之一，今年4月早些时候，威胁行为体积极利用这些漏洞，发起了一系列针对美国内外国防、政府和金融实体的入侵，以规避多因素身份验证保护并破坏企业网络。考虑到现实世界中可能被利用，强烈建议升级到Pulse Connect Secure（PCS）9.1R12或更高版本。

“严格的代码审查只是我们为进一步加强安全性和保护客户而采取的步骤之一，”斯派塞说。“例如，我们还将进一步扩大现有的内部产品安全资源，以加快现有产品以及我们集成到Ivanti中的公司或系统的测试速度和强度。”