Sårbarheter i Pulse Secure-produkter
Pulse Secure har nylig sluppet oppdateringer1 til Pulse Connect Secure og Pulse Policy Secure.
Oppdateringene lukker en rekke sårbarheter, hvor den mest alvorlige (CVE-2020-8206) kan la en angriper omgå 2-faktorautentisering som benytter seg av Google TOTP.
Sårbarhetene er lukket i versjon 9.1R8. Tidligere versjoner bør antas å være sårbare. Pulse Secure har en oversikt over støttede versjoner på sine nettsider2.
Pulse Secure vurderer at summen av sårbarhetene har høy kritikalitet.
NCSC anbefaler at sårbare enheter patches så snart det lar seg gjøre.
Referanser:
1https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44516
2https://support.pulsesecure.net/product-service-policies/eol/software/pulse-connect-secure-software-dates-milestones/