Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Обратный инжиниринг встроенного ПО, работающего на устройствах Ivanti Pulse Secure, выявил многочисленные недостатки, что еще раз подчеркивает сложность обеспечения безопасности цепочек поставок программного обеспечения.
Eclypsiusm, которая приобрела версию прошивки 9.1.18.2-24467.1 в рамках процесса, сообщила, что базовой операционной системой, используемой компанией-разработчиком программного обеспечения из Юты для устройства, является CentOS 6.4.
"Pulse Secure работает под управлением версии Linux 11-летней давности, которая не поддерживалась с ноября 2020 года", - говорится в отчете компании по обеспечению безопасности прошивки, опубликованном в Hacker News.
Разработка происходит по мере того, как злоумышленники извлекают выгоду из ряда недостатков безопасности, обнаруженных в шлюзах Ivanti Connect Secure, Policy Secure и ZTA, для доставки широкого спектра вредоносных программ, включая веб-оболочки, похитители и бэкдоры.
Уязвимости, которые активно использовались в последние месяцы, включают CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893. На прошлой неделе Ivanti также раскрыла еще одну ошибку в программном обеспечении (CVE-2024-22024), которая может позволить субъектам угрозы получать доступ к ресурсам, ограниченным иным образом, без какой-либо аутентификации.
В предупреждении, опубликованном вчера, компания Akamai, занимающаяся веб-инфраструктурой, сообщила, что наблюдала "значительную активность сканирования", нацеленную на CVE-2024-22024, начиная с 9 февраля 2024 года, после публикации watchTowr проверки концепции (PoC).
Компания Eclypsium заявила, что использовала PoC-эксплойт для CVE-2024-21893, выпущенный Rapid7 ранее в этом месяце, для получения обратной оболочки для устройства PSA3000, впоследствии экспортировав образ устройства для последующего анализа с помощью анализатора безопасности прошивки EMBA.
При этом был обнаружен не только ряд устаревших пакетов – что подтверждает предыдущие выводы исследователя безопасности Уилла Дорманна, – но и ряд уязвимых библиотек, которые в совокупности подвержены 973 ошибкам, из которых 111 содержат общеизвестные эксплойты.
Количество запросов на сканирование в день, нацеленных на CVE-2024-22024
Perl, например, не обновлялся с версии 5.6.1, которая была выпущена 23 года назад, 9 апреля 2001 года. Версия ядра Linux - 2.6.32, срок годности которой достиг срока годности (EoL) по состоянию на март 2016 года.
"Эти старые программные пакеты являются компонентами продукта Ivanti Connect Secure", - сказали в Eclypsium. "Это прекрасный пример того, почему важна прозрачность цифровых цепочек поставок и почему корпоративные заказчики все чаще требуют от своих поставщиков SBOM".
Кроме того, более глубокое изучение прошивки выявило 1216 проблем в 76 сценариях командной оболочки, 5218 уязвимостей в 5392 файлах Python, в дополнение к 133 устаревшим сертификатам.
Проблемы на этом не заканчиваются, поскольку Eclypsium обнаружил "дыру в безопасности" в логике инструмента проверки целостности (ICT), который Ivanti рекомендовала своим клиентам использовать для поиска индикаторов компрометации (IoC).
В частности, было обнаружено, что скрипт исключает из проверки более десятка каталогов, таких как /data, / etc, / tmp и / var, тем самым гипотетически позволяя злоумышленнику развернуть свои постоянные имплантаты по одному из этих путей и при этом пройти проверку целостности. Однако инструмент сканирует раздел / home, в котором хранятся все демоны и файлы конфигурации, относящиеся к конкретному продукту.
В результате развертывание платформы Sliver post-exploitation framework в каталоге / data и выполнение отчетов ICT не вызывает проблем, обнаружил Eclypsium, предполагая, что инструмент обеспечивает "ложное чувство безопасности".
Стоит отметить, что также были замечены попытки злоумышленников подделать встроенные средства СВЯЗИ на скомпрометированных устройствах Ivanti Connect Secure в попытке обойти обнаружение.
В теоретической атаке, продемонстрированной Eclypsium, субъект угрозы мог отказаться от своего инструментария следующего этапа и сохранить собранную информацию в разделе / data, а затем воспользоваться другой ошибкой нулевого дня, чтобы получить доступ к устройству и отфильтровать данные, подготовленные ранее, при этом инструмент целостности не обнаруживает признаков аномальной активности.
"Должна существовать система сдержек и противовесов, позволяющая заказчикам и сторонним организациям проверять целостность и безопасность продукта", - заявили в компании. "Чем более открытым будет этот процесс, тем лучше мы сможем выполнить проверку цифровой цепочки поставок, а именно аппаратных, встроенных и программных компонентов, используемых в их продуктах".
"Когда поставщики не обмениваются информацией и / или не используют закрытую систему, проверка становится затруднительной, как и видимость. Злоумышленники наверняка, как недавно было продемонстрировано, воспользуются этой ситуацией и воспользуются отсутствием контроля и видимости системы."
Eclypsiusm, которая приобрела версию прошивки 9.1.18.2-24467.1 в рамках процесса, сообщила, что базовой операционной системой, используемой компанией-разработчиком программного обеспечения из Юты для устройства, является CentOS 6.4.
"Pulse Secure работает под управлением версии Linux 11-летней давности, которая не поддерживалась с ноября 2020 года", - говорится в отчете компании по обеспечению безопасности прошивки, опубликованном в Hacker News.
Разработка происходит по мере того, как злоумышленники извлекают выгоду из ряда недостатков безопасности, обнаруженных в шлюзах Ivanti Connect Secure, Policy Secure и ZTA, для доставки широкого спектра вредоносных программ, включая веб-оболочки, похитители и бэкдоры.
Уязвимости, которые активно использовались в последние месяцы, включают CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893. На прошлой неделе Ivanti также раскрыла еще одну ошибку в программном обеспечении (CVE-2024-22024), которая может позволить субъектам угрозы получать доступ к ресурсам, ограниченным иным образом, без какой-либо аутентификации.
В предупреждении, опубликованном вчера, компания Akamai, занимающаяся веб-инфраструктурой, сообщила, что наблюдала "значительную активность сканирования", нацеленную на CVE-2024-22024, начиная с 9 февраля 2024 года, после публикации watchTowr проверки концепции (PoC).
Компания Eclypsium заявила, что использовала PoC-эксплойт для CVE-2024-21893, выпущенный Rapid7 ранее в этом месяце, для получения обратной оболочки для устройства PSA3000, впоследствии экспортировав образ устройства для последующего анализа с помощью анализатора безопасности прошивки EMBA.
При этом был обнаружен не только ряд устаревших пакетов – что подтверждает предыдущие выводы исследователя безопасности Уилла Дорманна, – но и ряд уязвимых библиотек, которые в совокупности подвержены 973 ошибкам, из которых 111 содержат общеизвестные эксплойты.
Количество запросов на сканирование в день, нацеленных на CVE-2024-22024
Perl, например, не обновлялся с версии 5.6.1, которая была выпущена 23 года назад, 9 апреля 2001 года. Версия ядра Linux - 2.6.32, срок годности которой достиг срока годности (EoL) по состоянию на март 2016 года.
"Эти старые программные пакеты являются компонентами продукта Ivanti Connect Secure", - сказали в Eclypsium. "Это прекрасный пример того, почему важна прозрачность цифровых цепочек поставок и почему корпоративные заказчики все чаще требуют от своих поставщиков SBOM".
Кроме того, более глубокое изучение прошивки выявило 1216 проблем в 76 сценариях командной оболочки, 5218 уязвимостей в 5392 файлах Python, в дополнение к 133 устаревшим сертификатам.
Проблемы на этом не заканчиваются, поскольку Eclypsium обнаружил "дыру в безопасности" в логике инструмента проверки целостности (ICT), который Ivanti рекомендовала своим клиентам использовать для поиска индикаторов компрометации (IoC).
В частности, было обнаружено, что скрипт исключает из проверки более десятка каталогов, таких как /data, / etc, / tmp и / var, тем самым гипотетически позволяя злоумышленнику развернуть свои постоянные имплантаты по одному из этих путей и при этом пройти проверку целостности. Однако инструмент сканирует раздел / home, в котором хранятся все демоны и файлы конфигурации, относящиеся к конкретному продукту.
В результате развертывание платформы Sliver post-exploitation framework в каталоге / data и выполнение отчетов ICT не вызывает проблем, обнаружил Eclypsium, предполагая, что инструмент обеспечивает "ложное чувство безопасности".
Стоит отметить, что также были замечены попытки злоумышленников подделать встроенные средства СВЯЗИ на скомпрометированных устройствах Ivanti Connect Secure в попытке обойти обнаружение.
В теоретической атаке, продемонстрированной Eclypsium, субъект угрозы мог отказаться от своего инструментария следующего этапа и сохранить собранную информацию в разделе / data, а затем воспользоваться другой ошибкой нулевого дня, чтобы получить доступ к устройству и отфильтровать данные, подготовленные ранее, при этом инструмент целостности не обнаруживает признаков аномальной активности.
"Должна существовать система сдержек и противовесов, позволяющая заказчикам и сторонним организациям проверять целостность и безопасность продукта", - заявили в компании. "Чем более открытым будет этот процесс, тем лучше мы сможем выполнить проверку цифровой цепочки поставок, а именно аппаратных, встроенных и программных компонентов, используемых в их продуктах".
"Когда поставщики не обмениваются информацией и / или не используют закрытую систему, проверка становится затруднительной, как и видимость. Злоумышленники наверняка, как недавно было продемонстрировано, воспользуются этой ситуацией и воспользуются отсутствием контроля и видимости системы."
