Skip to main content

  Det er blitt avdekket en sårbarhet i Pulse Connect Secure (PCS) som har fått aller høyeste alvorlighets grad, CVSS på 10.0 som tillater en ekstern uautentisert angriper i å kjøre vilkårlig kode på sårbare enheter.

  Sårbarheten påvirker PCS 9.0R3 og nyere.

  Det er per nå ingen sikkerhetsoppdateringer for sårbarheten, men Pulse Secure har publisert informasjon om handlinger man kan gjøre for å forhindre utførsel. (Mitigerende tiltak). Det er også blitt publisert et verktøy som kan bidra i undersøkelser av PCS enheter for søk etter unormale og modifiserte filer, noe som kan tyde på kompromittering. [2]

  Den kritiske sårbarheten, CVE-2021-22893, er per nå klassifisert som CVSS 10.0, men har enn så langt ikke fått en rangering av National Vulnerability Database (NVD).

  Berørte produkter:

  • Pulse Connect Secure - PCS 9.0R3 og nyere.

  Per 21 april kl 10:00 finnes det ingen patcher, uoffisielt forventes ikke en patch før ute i mai måned. 

  Tiltak:

  Pulse Secure har publisert en anbefaling om hvordan man kan mitigere sårbarheten. Følg denne [1] artikkelen for løpende oppdatering på anbefalinger fra Pulse Secure.

  NB: Les artikkel for om ditt produkt kan benytte seg av workaround!

  Lenker:

  [1] https://kb.pulsesecure.net/articles/Pulse_Secure_Article/SA44784/

  [2] https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755 

  KONTAKT MED NETSECURITY

  Dersom du trenger hjelp for å verifisere om du er sårbar, har allerede blitt utsatt for angrep eller trenger hjelp med å sikre ditt system, se https://www.netsecurity.no/under-angrep

   

  Oslo

  Drammensveien 288

  0283 Oslo

   

  Bergen

  Sandviksbodene 1

  5035 Bergen

  Stavanger

  Kanalsletta 4

  4033 Stavanger

  Grimstad

  Bark Silas vei 5

  4876 Grimstad

  Kristiansand

  Dronningens gt 12

  4610 Kristiansand

  Stockholm

  Kammakargatan 22

  111 40 Stockholm