Rendkívüli tájékoztató Pulse Connect Secure (PCS) VPN termékeket érintő biztonsági frissítéssel kapcsolatban


2021. május 6. 13:46

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) rendkívüli tájékoztatót ad ki Pulse Connect Secure (PCS) VPN termékeket érintő sérülékenységek javítását célzó biztonsági frissítéssel[1] kapcsolatban.

Az NBSZ NKI 2021.04.27-én riasztást[2] adott ki Pulse Connect Secure (PCS) VPN termékek sérülékenységeinek aktív kihasználásával kapcsolatban.

A támadások a CVE-2021-22893 azonosítójú zero-day sebezhetőséget is érintik, amelyhez gyártói hibajavítás vált elérhetővé, amely további két kritikus (CVE-2021-22894, CVE-2021-22899), valamint egy magas kockázati besorolású sérülékenységet (CVE-2021-22900) is befoltoz.

Pulse Connect Secure VPN termékeket használó szervezetek számára az NBSZ NKI javasolja a frissített verzióra (9.1R.11.4.) történő átállást.

A témával kapcsolatban az Amerikai Egyesült Államok Kiberbiztonsági és Infrastruktúravédelmi Ügynöksége (CISA) által 2021.04.20-án kiadott AA21-110[3] számú figyelmeztetés is kiegészítésre került, amelyben a szervezet szintén a frissítés telepítését szorgalmazza.

Hivatkozások:

[1] https://kb.pulsesecure.net/articles/Pulse_Secure_Article/SA44784/

[2] https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-a-pulse-connect-secure-termekek-serulekenysegeivel-kapcsolatban/

[3] https://us-cert.cisa.gov/ncas/alerts/aa21-110a

 

A tájékoztató szövege letölthető pdf formátumban.

Letöltés:
  Tájékoztató_0506_Pulse_Connect_Secure-2.pdf

Legfrissebb sérülékenységek
CVE-2025-68461 – RoundCube Webmail Cross-site Scripting sérülékenység
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
CVE-2008-0015 – Microsoft Windows Video ActiveX Control Remote Code Execution sérülékenység
CVE-2024-7694 – TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2020-7796 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery sérülékenység
CVE-2026-1731 – BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) OS Command Injection sérülékenység
CVE-2026-2441 – Google Chromium CSS Use-After-Free sérülékenysége
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
Tovább a sérülékenységekhez »