1200 проблем и 5000 уязвимостей: Ivanti, пора на пенсию

Недавнее исследование прошивки устройств Pulse Secure от Ivanti проливает свет на глубокие проблемы безопасности в цепочках поставок программного обеспечения. Специалисты компании Eclypsium обнаружили многочисленные уязвимости, демонстрирующие всю сложность обеспечения защиты подобных программных систем.

В ходе своего анализа исследователи использовали реверс-инжиниринг для изучения прошивка версии 9.1.18.2-24467.1, используемой в аппаратном обеспечении Pulse Secure. Было выявлено, что основой для устройств служит операционная система CentOS 6.4, базированная на Linux , которая была выпущена 11 лет назад и не получала обновления безопасности уже более трёх лет.

Повышенное внимание к этой проблеме вызвано недавним всплеском числа атак на продукты Ivanti, включая Connect Secure, Policy Secure и ZTA-шлюзы. Злоумышленники используют обнаруженные уязвимости для распространения вредоносного ПО, что ставит под угрозу данные и безопасность пользователей.

Среди активно эксплуатируемых уязвимостей были идентифицированы CVE-2023-46805 , CVE-2024-21887 и CVE-2024-21893 . Дополнительно, Ivanti раскрыла информацию о новой уязвимости CVE-2024-22024 , которая упрощает несанкционированный доступ к защищённым ресурсам.

Отчёт Eclypsium подчёркивает использование устаревших компонентов в прошивке устройств Pulse Secure, включая версию Perl, не обновлявшуюся на протяжении 23 лет, и версию ядра Linux, поддержка которой прекратилась в 2016 году. Такие находки подтверждают риск, связанный с использованием неактуального программного обеспечения.

Дальнейший анализ исследователей выявил более 1200 проблем в скриптах командной оболочки и свыше 5000 уязвимостей в файлах Python, указывая на глубокие проблемы безопасности в прошивке. Кроме того, было обнаружено 133 устаревших сертификата, что усугубляет ситуацию ещё больше.

Особое внимание было уделено недостаткам инструмента проверки целостности, рекомендованного Ivanti. Этот инструмент пропускает сканирование ключевых директорий, что теоретически позволяет злоумышленникам обходить обнаружение, создавая «ложное чувство безопасности».

На основе этих открытий Eclypsium продемонстрировала теоретическую атаку, в которой злоумышленник мог бы использовать неисправности инструмента проверки целостности для скрытного размещения вредоносного ПО.

Эксперты Eclypsium пришли к выводу, что поставщики программного и аппаратного обеспечения должны выстроить открытую и прозрачную систему разработки и поддержки своих продуктов, давая возможность сторонним организациям самостоятельно оценивать их целостность и безопасность.

«Чем более открытым будет этот процесс, тем лучше мы сможем выполнить проверку цифровой цепочки поставок», — заключили специалисты.