พบช่องโหว่ความรุนแรงสูงสุดในอุปกรณ์ Pulse Connect Secure (PCS) ถูกใช้โดยกลุ่มผู้ไม่หวังดีในการโจมตี

ล่าสุดมีการพบช่องโหว่ 0-day (CVE-2021-22893) ที่มีคะแนน CVSS เต็ม 10 ในอุปกรณ์ Pulse Connect Secure (PCS) ตั้งแต่เวอร์ชั่น 9.0R3 และใหม่กว่านั้น ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งอันตรายจากระยะไกลได้ (RCE) โดยไม่ต้องพิสูจน์ตัวตน (Unauthenticated) ทำให้สามารถแก้ไข File System และวาง Backdoor บนอุปกรณ์ได้ รายงานจาก FireEye ระบุว่าช่องโหว่ดังกล่าวได้ถูกใช้โจมตีโดยกลุ่มผู้ไม่หวังดีแล้ว ตั้งแต่ช่วงสิงหาคม 2020 จนถึงช่วงมีนาคมที่ผ่านมา นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่เก่าอื่นๆ ในการโจมตีด้วย ได้แก่ CVE-2019-11510, CVE-2020-8243 และ CVE-2020-8260

ณ ปัจจุบันยังไม่มีการเปิดเผยรายละเอียดของช่องโหว่ และยังไม่มีแพทช์สำหรับแก้ไขช่องโหว่ดังกล่าวออกมา มีเพียง work around สำหรับแก้ไขปัญหาที่ถูกประกาศออกมาจาก Pulse Secure เท่านั้น โดยเป็นการดาวน์โหลดไฟล์ XML แล้วนำไป import เข้าในระบบ เพื่อ disable ความสามารถในส่วนของ Windows File Share Browser และ Pulse Collaboration ตามรายงานระบุว่าจะมีการออกแพทช์สำหรับแก้ไขปัญหาดังกล่าวออกมาในช่วงต้นเดือนพฤษภาคม

นอกจากนี้ยังมีการปล่อยเครื่องมือที่ชื่อว่า "Pulse Connect Secure Integrity Tool" สำหรับให้ผู้ดูแลระบบใช้ในการตรวจสอบอุปกรณ์ของตัวเองว่าถูกเพิ่มไฟล์น่าสงสัยในระบบ หรือถูกแก้ไข file system หรือไม่ ในขณะเดียวกัน CISA ของสหรัฐอเมริกา ก็ได้มีการออกรายงานแจ้งเตือนหน่วยงานที่เกี่ยวข้อง พร้อมทั้งเปิดเผยรายการของไฟล์ในระบบที่เชื่อว่าถูกแก้ไข และคำสั่งที่ถูกรันผ่าน webshell โดยผู้ไม่หวังดี

ที่มา: helpnetsecurity