Uma engenharia reversa do firmware executado nos dispositivos Ivanti Pulse Secure revelou inúmeras fraquezas, ressaltando mais uma vez o duelo de proteger as cadeias de fornecimento de software.
A Eclypsiusm, que adquiriu a versão de firmware 9.1.18.2-24467.1 uma vez que secção do processo, disse que o sistema operacional indispensável usado pela empresa de software com sede em Utah para o dispositivo é o CentOS 6.4.
“O Pulse Secure executa uma versão do Linux com 11 anos que não tem suporte desde novembro de 2020”, disse a empresa de segurança de firmware em um relatório compartilhado com o The Hacker News.
O desenvolvimento ocorre no momento em que os agentes de ameaças estão capitalizando uma série de falhas de segurança descobertas nos gateways Ivanti Connect Secure, Policy Secure e ZTA para fornecer uma ampla gama de malware, incluindo web shells, ladrões e backdoors.
As vulnerabilidades que foram exploradas ativamente nos últimos meses incluem CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893. Na semana passada, a Ivanti também divulgou outro bug no software (CVE-2024-22024) que poderia permitir que os agentes da ameaço acessassem recursos de outra forma restritos sem qualquer autenticação.
Em um alerta publicado ontem, a empresa de infraestrutura web Akamai disse que observou “atividade de varredura significativa” visando CVE-2024-22024 a partir de 9 de fevereiro de 2024, posteriormente a publicação de uma prova de concepção (PoC) pela watchTowr.
Eclypsium disse que aproveitou uma exploração PoC para CVE-2024-21893 que foi lançada pela Rapid7 no início deste mês para obter um shell revirado para o dispositivo PSA3000, posteriormente exportando a imagem do dispositivo para estudo subsequente usando o analisador de segurança de firmware EMBA.
Isto não só revelou uma série de pacotes desatualizados – corroborando descobertas anteriores do pesquisador de segurança Will Dormann – mas também uma série de bibliotecas vulneráveis que são cumulativamente suscetíveis a 973 falhas, das quais 111 têm explorações publicamente conhecidas.
 |
| Número de solicitações de verificação por dia direcionadas a CVE-2024-22024 |
Perl, por exemplo, não foi atualizado desde a versão 5.6.1, lançada há 23 anos em 9 de abril de 2001. A versão do kernel Linux é 2.6.32, que atingiu o termo de vida (EoL) em março. 2016.
“Esses pacotes de software antigos são componentes do resultado Ivanti Connect Secure”, disse Eclypsium. “Nascente é um exemplo perfeito de por que a visibilidade nas cadeias de fornecimento digitais é importante e por que os clientes empresariais estão exigindo cada vez mais SBOMs de seus fornecedores”.
Aliás, um fiscalização mais aprofundado do firmware revelou 1.216 problemas em 76 scripts de shell, 5.218 vulnerabilidades em 5.392 arquivos Python, além de 133 certificados desatualizados.
Os problemas não param por aí, pois o Eclypsium encontrou uma “brecha de segurança” na lógica da Integrity Checker Tool (ICT) que a Ivanti recomendou a seus clientes para procurar indicadores de comprometimento (IoCs).
Especificamente, descobriu-se que o script exclui mais de uma dúzia de diretórios uma vez que /data, /etc, /tmp e /var da verificação, permitindo hipoteticamente que um invasor implante seus implantes persistentes em um desses caminhos e ainda passe o verificação de integridade. A utensílio, entretanto, verifica a partição /home que armazena todos os daemons e arquivos de formato específicos do resultado.
Porquê resultado, a implantação da estrutura pós-exploração Sliver no diretório /data e a realização de relatórios de ICT não apresentam problemas, descobriu o Eclypsium, sugerindo que a utensílio fornece uma “falsa sensação de segurança”.
É importante notar que também foram observados agentes de ameaças adulterando o ICT integrado em dispositivos Ivanti Connect Secure comprometidos, na tentativa de evitar a detecção.
Em um ataque teórico demonstrado pelo Eclypsium, um agente de ameaço poderia descartar suas ferramentas de próximo estágio e armazenar as informações coletadas na partição /data e logo desmandar de outra omissão de dia zero para obter aproximação ao dispositivo e exfiltrar os dados preparados anteriormente, tudo enquanto a utensílio de integridade não detecta sinais de atividade anômala.
“Deve possuir um sistema de verificações e equilíbrios que permita aos clientes e terceiros validar a integridade e segurança do resultado”, disse a empresa. “Quanto mais lhano for oriente processo, melhor poderemos fazer para validar a enxovia de provimento do dedo, nomeadamente os componentes de hardware, firmware e software utilizados nos seus produtos.”
“Quando os fornecedores não compartilham informações e/ou operam um sistema fechado, a validação se torna difícil, assim uma vez que a visibilidade. Os invasores certamente, uma vez que evidenciado recentemente, aproveitarão esta situação e explorarão a falta de controles e visibilidade do sistema.”
