お客様各位
日頃より弊社サービスをご利用いただき誠にありがとうございます。
PulseSecureの整合性チェックツール(外部ICT)の結果が改ざんされる事象が確認されております。
■影響を受けるバージョン
ISA/PSA全てのバージョン
■概要
本来、外部ICTを実施すると、ISA/PSA内部のファイルが改ざんされていない場合でも何かしらのファイルが検知され、
Mis-matched FilesとNewly detected Filesの両方がゼロとなることはございません。
<侵害されていない結果の例>
・step8:Mis-matched Files = 0
・step9:Newly detected Files = 2
しかし、脆弱性を悪用してISA/PSAを侵害し、Mis-matched FilesとNewly detected Filesの
両方をゼロに改ざんする事象が確認されております。
侵害されている可能性のある結果
・step8:Mis-matched Files = 0
・step9:Newly detected Files = 0
※両方とも0の場合は侵害されている可能性がございます。
脆弱性対応を実施している場合でも定期的に外部ICTを実行し、出力結果を注視いただきますようお願いいたします。
外部ICTの出力結果にて以下に該当する場合も侵害の可能性がございます。
・クラスタ構成で対向機と結果が異なる場合
・前回の結果と異なる場合
・外部ICTの実行が途中で終了する場合
外部ICTの結果から侵害が疑われる場合、以下の対応を速やかに実施してください。
・機器をネットワークから隔離
・Factory Reset(初期化)を実施し、最新バージョンへのバージョンアップ
■フォレンジック調査を検討される場合
外部機関と連携してフォレンジック調査を検討される場合は、PSA/ISAをネットワークから隔離した状態で再起動や電源断を行わず、
外部機関のフォレンジック調査に必要になるISAのDisk Dumpの取得依頼を弊社PulseSecureサポート担当までご連絡ください
※機器の電源がOFFになると内部の情報がクリアされるため、十分な情報が取得できなくなる場合がございますのでご注意ください。
※Ivanti社はフォレンジック調査は行わず、あくまで調査用のDisk Dumpを取得するのみとなります。
Disk Dumpの取得は、Ivanti社が機器にログインして取得します。
取得、作成したDisk Dumpは、お客様にてフォレンジック調査会社等に依頼頂く必要がある事をご留意ください。
※Disk Dumpの取得にあたってはお客様側におかれましても、事前準備が必要となります。
下記は必須となります。
・PSA/ISAのInternalポートからTCPポート9000へアクセス環境作成
・別途、お客様環境にて300GBディスク領域をもつNFSサーバのご用意
各詳細につきましては依頼がございました際に、ご案内させていただきます。
以上、宜しくお願いいたします。
