Een reverse engineering van de firmware die op Ivanti Pulse Secure-apparaten draait, heeft talloze zwakke punten aan het licht gebracht, wat eens te meer de uitdaging van het beveiligen van softwaretoeleveringsketens onderstreept.
Eclypsiusm, dat als onderdeel van het proces firmwareversie 9.1.18.2-24467.1 heeft aangeschaft, zegt dat het basisbesturingssysteem dat door het in Utah gevestigde softwarebedrijf voor het apparaat wordt gebruikt, CentOS 6.4 is.
“Pulse Secure draait een 11 jaar oude versie van Linux die sinds november 2020 niet meer wordt ondersteund”, zei het firmware-beveiligingsbedrijf in een rapport gedeeld met The Hacker News.
Deze ontwikkeling komt omdat bedreigingsactoren profiteren van een aantal beveiligingsfouten die zijn ontdekt in Ivanti Connect Secure, Policy Secure en ZTA-gateways om een breed scala aan malware te leveren, waaronder webshells, stealers en backdoors.
De kwetsbaarheden die de afgelopen maanden actief zijn misbruikt, omvatten CVE-2023-46805, CVE-2024-21887 en CVE-2024-21893. Vorige week onthulde Ivanti ook een andere bug in de software (CVE-2024-22024) waardoor bedreigingsactoren zonder enige authenticatie toegang zouden kunnen krijgen tot anderszins beperkte bronnen.
In een gisteren gepubliceerde waarschuwing zei webinfrastructuurbedrijf Akamai dat het vanaf 9 februari 2024 “aanzienlijke scanactiviteit” heeft waargenomen gericht op CVE-2024-22024, na de publicatie van een proof-of-concept (PoC) door watchTowr.
Eclypsium zei dat het gebruik maakte van een PoC-exploit voor CVE-2024-21893 die eerder deze maand door Rapid7 werd vrijgegeven om een reverse shell voor het PSA3000-apparaat te verkrijgen, en vervolgens de apparaatafbeelding te exporteren voor vervolganalyse met behulp van de EMBA-firmware-beveiligingsanalysator.
Dit bracht niet alleen een aantal verouderde pakketten aan het licht – wat dit bevestigde eerdere bevindingen van beveiligingsonderzoeker Will Dormann – maar ook een aantal kwetsbare bibliotheken die cumulatief gevoelig zijn voor 973 fouten, waarvan 111 publiekelijk bekende exploits hebben.
Perl is bijvoorbeeld niet meer bijgewerkt sinds versie 5.6.1, die 23 jaar geleden op 9 april 2001 werd uitgebracht. De Linux-kernelversie is 2.6.32, die in maart het einde van zijn levensduur (EoL) bereikte. 2016.
“Deze oude softwarepakketten zijn componenten in het Ivanti Connect Secure-product”, aldus Eclypsium. “Dit is een perfect voorbeeld van waarom zichtbaarheid in digitale toeleveringsketens belangrijk is en waarom zakelijke klanten steeds vaker SBOM’s van hun leveranciers eisen.”
Bovendien bracht een diepgaander onderzoek van de firmware 1.216 problemen aan het licht in 76 shell-scripts, 5.218 kwetsbaarheden in 5.392 Python-bestanden, naast 133 verouderde certificaten.
Daarmee houden de problemen niet op, want Eclypsium heeft een ‘veiligheidslek’ gevonden in de logica van de Integrity Checker Tool (ICT) die Ivanti zijn klanten heeft aanbevolen te gebruiken om te zoeken naar indicatoren van compromissen (IoC’s).
Concreet is gebleken dat het script meer dan een dozijn mappen zoals /data, /etc, /tmp en /var uitsluit van scans, waardoor een aanvaller hypothetisch zijn persistente implantaten in een van deze paden kan inzetten en toch de fout kan passeren. integriteitscontrole. De tool scant echter de /home-partitie waarin alle productspecifieke daemons en configuratiebestanden zijn opgeslagen.
Als resultaat hiervan ontdekte Eclypsium dat de implementatie van het Sliver post-exploitatieframework in de /data directory en het uitvoeren van ICT-rapporten geen problemen opleverde, wat suggereert dat de tool een “vals gevoel van veiligheid” biedt.
Het is vermeldenswaard dat er ook bedreigingsactoren zijn waargenomen die knoeien met de ingebouwde ICT op gecompromitteerde Ivanti Connect Secure-apparaten in een poging detectie te omzeilen.
In een door Eclypsium gedemonstreerde theoretische aanval zou een bedreigingsacteur zijn tools voor de volgende fase kunnen laten vallen en de verzamelde informatie kunnen opslaan in de /data-partitie en vervolgens een andere zero-day-fout kunnen misbruiken om toegang te krijgen tot het apparaat en de eerder geënsceneerde gegevens te kunnen exfiltreren. Ondertussen detecteert de integriteitstool geen tekenen van abnormale activiteit.
“Er moet een systeem van checks and balances zijn waarmee klanten en derde partijen de productintegriteit en -veiligheid kunnen valideren”, aldus het bedrijf. “Hoe opener dit proces is, hoe beter we kunnen werken aan het valideren van de digitale toeleveringsketen, namelijk de hardware, firmware en softwarecomponenten die in hun producten worden gebruikt.”
“Als leveranciers geen informatie delen en/of geen gesloten systeem gebruiken, wordt validatie moeilijk, net als zichtbaarheid. Aanvallers zullen zeer zeker, zoals onlangs is gebleken, misbruik maken van deze situatie en misbruik maken van het gebrek aan controles en zichtbaarheid in het systeem.”
