Sårbarheter i Pulse Secure-produkter varav en kritisk

Pulse Secure har publicerat säkerhetsuppdateringar som hanterar tretton sårbarheter i Pulse Connect Secure och Pulse Policy Secure, varav en är kritisk som har fått CVSS-klassificeringen 9.8.

Sårbarheten CVE-2020-8206 innebär fel i autentiseringen vilket gör att en angripare kan med användarens kontouppgifter kringå tvåfaktorautentisering i Google TOTP. Sårbarheterna återfinns i Pulse Connect Secure-versioner äldre än 9.1RB som är den senaste [1].

På Pulse Secure har på sin webbplats ett schema över de versioner som stöds och planerade datum för End of Life samt End of Engineering [2].

Påverkade produkter

Pulse Connect Secure versioner äldre än 9.1R8
Pulse Policy Secure versioner äldre än 9.1R8

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter snarast.

Källor

[1] https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44516

[2] https://support.pulsesecure.net/product-service-policies/eol/software/pulse-connect-secure-software-dates-milestones/