Exécution de code à distance dans Pulse Connect Secure

Origine: bjCSIRT

Numéro: 2021/ALERTE/023

Date de l’alerte: 27/05/2021

APERÇU :

Une mise à jour de sécurité a récemment été publiée corrigeant une vulnérabilité affectant la fonction de partage de fichiers Windows dans les solutions Pulse Connect Secure. Elle permettrait à un utilisateur malveillant de provoquer une exécution de code arbitraire à distance.

DESCRIPTION :

Pulse Secure est un outil permettant de créer des réseaux virtuels privés destinés à sécuriser les échanges entre des machines connectées à distance à un réseau d’entreprise.

La vulnérabilité affecte des versions obsolètes des produits Pulse Secure et permettrait à un attaquant distant authentifié d’exécuter du code arbitraire avec des privilèges élevés. Libellée CVE-2021-22908, il s’agit d’une vulnérabilité de dépassement de la mémoire tampon sur la passerelle Pulse Connect Secure qui permet à un utilisateur authentifié distant avec des privilèges, de parcourir les partages SMB et d’exécuter du code arbitraire sur le système en tant qu’utilisateur privilégié.

La vulnérabilité existe en raison de la capacité de la passerelle à se connecter aux partages de fichiers Windows via un certain nombre de terminaisons CGI qui pourraient être exploités pour mener l’attaque.

Lors de la spécification d’un nom de serveur long pour certaines opérations SMB, l’application « smbclt » peut arrêter de fonctionner en raison d’un dépassement de la mémoire tampon de la pile en fonction de la longueur du nom de serveur spécifié. Bien que d’autres points de terminaison CGI puissent également déclencher le code vulnérable, ce dernier peut être déclenché en ciblant le point de terminaison CGI : « /dana/fb/smb/wnf.cgi ». En effectuant certaines opérations SMB avec un nom de serveur spécialement conçu, un attaquant authentifié peut exécuter du code arbitraire avec des privilèges root sur un serveur Pulse Connect Secure vulnérable.

Une exploitation réussie de cette vulnérabilité peut entrainer une compromission complète du système vulnérable et une exécution de code arbitraire à distance.

IMPACT :

  • Compromission de système
  • Exécution de code arbitraire à distance

SYSTEMES AFFECTÉS :

Pulse Connect Secure :  Versions antérieures à 9.1R11.5

MESURES À PRENDRE :

  • Les équipements en version 9.1R11.4 doivent appliquer le contournement proposé dans le fichier Workaround-2105.xml du bulletin de sécurité de l’éditeur SA44800
  • Les équipements en version 9.1R11.3 et antérieures doivent appliquer le contournement proposé dans le fichier Workaround-2104.xml du bulletin de sécurité de l’éditeur SA44784
  • Mettre à niveau la version du logiciel serveur Pulse Connect Secure vers la version 9.1R.11.5 dès qu’elle sera disponible.

REFERENCES :

  • https://cybersecurity-help.cz/vdb/SB2021051411
  • https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44800
  • https://thehackernews.com/2021/05/new-high-severity-vulnerability.html
  • https://kb.cert.org/vuls/id/667933
  • https://www.cnil.fr/fr/securite-des-donnees-alerte-sur-la-necessaire-mise-jour-du-logiciel-pulse-secure
Partagez sur vos réseaux.