▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Nuova falla in Pulse Connect Secure VPN

Pulse Secure sta lavorando alla patch definitiva per una falla che potrebbe consentire a un attaccante di eseguire codice arbitrario. Nel frattempo ha pubblicato una misura di mitigazione.

Business Vulnerabilità
Le VPN Pulse Secure sono afflitte da una vulnerabilità critica che può consentire a un attaccante remoto autenticato di eseguire codice arbitrario con privilegi elevati. La falla, identificata con la sigla CVE-2021-22908, ha un punteggio CVSS di 8.5 su 10 ed è attiva sulle versioni Pulse Connect Secure 9.0Rx e 9.1Rx.

Sulla pagina ufficiale del CERT dedicata alla vulnerabilità si fa riferimento a un problema di buffer overflow nel del buffer nel codice correlato a Samba, che si attiverebbe quando si specifica un nome di server lungo per alcune operazioni SMB.

PCS prevede la possibilità di connettersi ai Windows file shares (SMB). Si tratta di una funzionalità fornita da un certo numero di script CGI, che a loro volta utilizzano librerie e applicazioni basate su Samba 4.5.10. Quando si specifica un nome di server lungo per alcune operazioni SMB, l'applicazione potrebbe bloccarsi a causa di un overflow del buffer dello stack, o di un overflow del buffer dell'heap.

Se questo accade, l'utente autenticato da remoto con privilegi potrebbe sfogliare le condivisioni SMB ed eseguire codice arbitrario come utente root. Non accade in tutti i casi. Gli esperti del CERT fanno notare che per essere vulnerabile, un server PCS deve avere impostato un criterio di Windows File Access o un altro set di criteri che consenta a un utente di connettersi a un server arbitrario.

pulseInoltre, qualsiasi dispositivo PCS con installata la versione 9.1R2 o precedente avrà un criterio predefinito che consente la connessione a host SMB arbitrari. A partire da 9.1R3, questo criterio è stato modificato e la negazione dell'accesso è il parametro predefinito.

Per chiudere la falla bisognerà aggiornare la versione del software Pulse Connect Secure alla versione 9.1R.11.5 non appena sarà disponibile. Nel frattempo, Ivanti ha pubblicato una misura di mitigazione. Consiste nel download e installazione del file remove-workaround-2105.xml, che disabilita la funzionalità Windows File Share Browser e attiva negli endpoint vulnerabili a una blacklist che li protegge dagli attacchi basati su URL che sfruttano questa falla.

Le indicazioni per il download e l'importazione sono pubblicate sulla pagina ufficiale del produttore. Da notare che gli utenti che eseguono la versione di PCS 9.1R11.3 o successive dovrebbero importare un file diverso, denominato remove-workaround-2104.xml.

Ricordiamo che poche settimane fa Pulse Secure ha pubblicato anche gli strumenti di mitigazione di un'altra vulnerabilità, questa volta più grave perché zero-day e già attivamente sfruttata. Il lavoro di monitoraggio e correzione delle falle da parte dei produttori è assiduo e importante per la sicurezza degli utenti. Questi ultimi però devono installare gli update o le mitigazioni non appena disponibili per evitare gravi problemi di sicurezza.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Dic 19
Webinar v-valley : Barracuda: the power of Choice
Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter