Uma engenharia reversa do firmware que opera os dispositivos Ivanti Pulse Secure revelou inúmeras fraquezas, destacando novamente o desafio de garantir a segurança das cadeias de suprimentos de software.
Eclypsiusm, que adquiriu a versão de firmware 9.1.18.2-24467.1 como parte do processo, disse que o sistema operacional base usado pela empresa de software sediada em Utah para o dispositivo é CentOS 6.4.
"A Pulse Secure roda uma versão de Linux de 11 anos que não é suportada desde novembro de 2020", disse a empresa de segurança do firmware em um relatório compartilhado com The Hacker News.
O desenvolvimento surge enquanto os atores de ameaças estão capitalizando em uma série de falhas de segurança descobertas em Ivanti Connect Secure, Policy Secure e gateways ZTA para entregar uma ampla gama de malwares, incluindo web shells, stealers e portas traseiras.
As vulnerabilidades que estiveram sob exploração ativa nos últimos meses incluem CVE-2023-46805, CVE-2024-21887 e
CVE-2024-21893
.
Na semana passada, a Ivanti também divulgou outro bug no software (CVE-2024-22024) que poderia permitir que os atores de ameaças acessem recursos normalmente restritos sem qualquer autenticação.
Em um alerta publicado ontem, a empresa de infraestrutura web Akamai disse que observou "atividade de varredura significativa" direcionada ao CVE-2024-22024 a partir de 9 de fevereiro de 2024, seguindo a publicação de uma prova de conceito (PoC) pela watchTowr.
A Eclypsium disse que utilizou um exploit PoC para
CVE-2024-21893
que foi lançado pela Rapid7 no início deste mês para obter um shell reverso para o aparelho PSA3000, exportando subsequentemente a imagem do dispositivo para análise subsequente usando o analisador de segurança do firmware EMBA.
Isso não apenas descobriu uma série de pacotes desatualizados - corroborando as descobertas anteriores do pesquisador de segurança Will Dormann - mas também uma série de bibliotecas vulneráveis que são cumulativamente suscetíveis a 973 falhas, das quais 111 têm exploits publicamente conhecidos.
Número de solicitações de varredura por dia direcionadas à CVE-2024-22024
Perl, por exemplo, não foi atualizado desde a versão 5.6.1, lançada há 23 anos, em 9 de abril de 2001.
A versão do kernel Linux é a 2.6.32, que atingiu o fim da vida útil (EoL) em março de 2016.
"Esses pacotes de software antigos são componentes no produto Ivanti Connect Secure", disse a Eclypsium.
"Este é um exemplo perfeito de por que a visibilidade nas cadeias de suprimentos digitais é importante e por que os clientes corporativos estão cada vez mais exigindo SBOMs de seus fornecedores."
Além disso, um exame mais aprofundado do firmware descobriu 1.216 problemas em 76 scripts de shell, 5.218 vulnerabilidades em 5.392 arquivos Python, além de 133 certificados desatualizados.
Os problemas não acabam aí, pois a Eclypsium encontrou um "buraco de segurança" na lógica do Integrity Checker Tool (ICT) que a Ivanti recomendou que seus clientes usem para procurar indicadores de comprometimento (IoCs).
Especificamente, descobriu-se que o script exclui mais de uma dúzia de diretórios como /data, /etc, /tmp e /var de serem verificados, permitindo hipoteticamente que um invasor implante seus implantes persistentes em um desses caminhos e ainda passe a verificação de integridade.
A ferramenta, no entanto, verifica a partição /home que armazena todos os daemons e arquivos de configuração específicos do produto.
Como resultado, a implantação do framework de pós-exploração Sliver no diretório /data e a execução de relatórios do ICT não apresentam problemas, descobriu a Eclypsium, sugerindo que a ferramenta oferece uma "falsa sensação de segurança".
Vale a pena notar que os atores de ameaças também foram observados adulterando o ICT integrado em dispositivos Ivanti Connect Secure comprometidos em uma tentativa de evadir a detecção.
Em um ataque teórico demonstrado pela Eclypsium, um ator de ameaças poderia lançar sua próxima ferramenta de estágio e armazenar as informações colhidas na partição /data e então abusar de outra falha de zero day para ganhar acesso ao dispositivo e exfiltrar os dados preparados previamente, enquanto a ferramenta de integridade não detecta sinais de atividade anômala.
"Deve haver um sistema de controles e equilíbrios que permita aos clientes e terceiros validar a integridade e segurança do produto", disse a empresa.
"Quanto mais aberto for esse processo, melhor faremos para validar a cadeia de suprimentos digital, nomeadamente os componentes de hardware, firmware e software utilizados em seus produtos."
"Quando os fornecedores não compartilham informações e/ou operam um sistema fechado, a validação se torna difícil, assim como a visibilidade.
Os invasores certamente, como evidenciado recentemente, tiram vantagem dessa situação e exploram a falta de controles e visibilidade no sistema."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...