Une ingénierie inverse du micrologiciel exécuté sur les appliances Ivanti Pulse Secure a révélé de nombreuses faiblesses, soulignant une fois de plus le défi de sécuriser les chaînes d’approvisionnement logicielles.
Eclypsiusm, qui a acquis la version 9.1.18.2-24467.1 du micrologiciel dans le cadre du processus, a déclaré que le système d’exploitation de base utilisé par la société de logiciels basée dans l’Utah pour l’appareil est CentOS 6.4.
« Pulse Secure exécute une version de Linux vieille de 11 ans qui n’est plus prise en charge depuis novembre 2020 », déclare la société de sécurité du firmware. dit dans un rapport partagé avec The Hacker News.
Cette évolution intervient alors que les acteurs malveillants exploitent un certain nombre de failles de sécurité découvertes dans les passerelles Ivanti Connect Secure, Policy Secure et ZTA pour diffuser une large gamme de logiciels malveillants, notamment des shells Web, des voleurs et des portes dérobées.
Les vulnérabilités qui ont été activement exploitées ces derniers mois comprennent CVE-2023-46805, CVE-2024-21887 et CVE-2024-21893. La semaine dernière, Ivanti a également révélé un autre bug dans le logiciel (CVE-2024-22024) qui pourrait permettre aux acteurs malveillants d’accéder à des ressources autrement restreintes sans aucune authentification.
Dans une alerte publié Hier, la société d’infrastructure Web Akamai a déclaré avoir observé une « activité d’analyse significative » ciblant CVE-2024-22024 à partir du 9 février 2024, suite à la publication d’une preuve de concept (PoC) par watchTowr.
Eclypsium a déclaré avoir exploité un Exploit PoC pour CVE-2024-21893 qui a été publié par Rapid7 plus tôt ce mois-ci pour obtenir une coque inversée pour l’appliance PSA3000, exportant ensuite l’image de l’appareil pour une analyse de suivi à l’aide du EMBA analyseur de sécurité du micrologiciel.
Cela a non seulement révélé un certain nombre de packages obsolètes, ce qui corrobore découvertes précédentes du chercheur en sécurité Will Dormann – mais aussi un certain nombre de bibliothèques vulnérables qui sont cumulativement sensibles à 973 failles, dont 111 ont des exploits publiquement connus.
 |
| Nombre de demandes d’analyse par jour ciblant CVE-2024-22024 |
Perl, par exemple, n’a pas été mis à jour depuis la version 5.6.1, publiée il y a 23 ans, le 9 avril 2001. La version du noyau Linux est la 2.6.32, qui atteint fin de vie (EoL) à compter de mars 2016.
« Ces anciens progiciels sont des composants du produit Ivanti Connect Secure », a déclaré Eclypsium. « Il s’agit d’un exemple parfait de l’importance de la visibilité sur les chaînes d’approvisionnement numériques et de la raison pour laquelle les entreprises clientes exigent de plus en plus des SBOM de la part de leurs fournisseurs. »
En outre, un examen plus approfondi du micrologiciel a révélé 1 216 problèmes dans 76 scripts shell, 5 218 vulnérabilités dans 5 392 fichiers Python, en plus de 133 certificats obsolètes.
Les problèmes ne s’arrêtent pas là, car Eclypsium a trouvé une « faille de sécurité » dans la logique de l’outil de vérification d’intégrité (TIC) qu’Ivanti a recommandé ses clients à utiliser afin de rechercher des indicateurs de compromission (IoC).
Plus précisément, il a été constaté que le script excluait de l’analyse plus d’une douzaine de répertoires tels que /data, /etc, /tmp et /var, permettant ainsi hypothétiquement à un attaquant de déployer ses implants persistants dans l’un de ces chemins tout en transmettant le vérification de l’intégrité. Cependant, l’outil analyse la partition /home qui stocke tous les démons et fichiers de configuration spécifiques au produit.
En conséquence, le déploiement du framework de post-exploitation Sliver dans le répertoire /data et l’exécution d’ICT ne posent aucun problème, a découvert Eclypsium, suggérant que l’outil procure un « faux sentiment de sécurité ».
Il convient de noter que des acteurs malveillants ont également été observés en train de falsifier les TIC intégrées sur les appareils Ivanti Connect Secure compromis pour tenter d’éviter la détection.
Dans une attaque théorique démontrée par Eclypsium, un acteur malveillant pourrait abandonner ses outils de l’étape suivante et stocker les informations collectées dans la partition /data, puis abuser d’une autre faille zero-day pour accéder à l’appareil et exfiltrer les données préparées précédemment, le tout. tandis que l’outil d’intégrité ne détecte aucun signe d’activité anormale.
« Il doit y avoir un système de freins et contrepoids qui permette aux clients et aux tiers de valider l’intégrité et la sécurité des produits », a déclaré la société. « Plus ce processus est ouvert, meilleur est notre travail pour valider la chaîne d’approvisionnement numérique, à savoir les composants matériels, micrologiciels et logiciels utilisés dans leurs produits. »
« Lorsque les fournisseurs ne partagent pas d’informations et/ou n’exploitent pas un système fermé, la validation devient difficile, tout comme la visibilité. Les attaquants vont très certainement, comme cela a été démontré récemment, profiter de cette situation et exploiter le manque de contrôles et de visibilité sur le système. »