Desde hace varias semanas, la editorial Ivanti ha estado experimentando problemas de seguridad. Después de un Primera falla corregida a principios de enero en su EPM, Otro en sus soluciones Connect Secure y Policy Secure (su VPN Pulse), aprendimos Hace unos días que una actualización reciente que solucionó fallas anteriores en los productos del proveedor abrió la puerta a la explotación de otras vulnerabilidades. "Recientemente hemos visto una serie de ataques sofisticados dirigidos a los dispositivos Ivanti Pulse Secure VPN [...] La banda cibernética UNC5221 respaldada por el estado explotó estas vulnerabilidades hasta el 3 de diciembre de 2023, pero ahora están siendo explotadas en masa por múltiples grupos”. advierte Eclypsium, que investigó la seguridad de los productos Ivanti, utilizados por grandes grupos franceses, especialmente bancos.

Como parte de su investigación, Eclysium informó de un descubrimiento bastante sorprendente: “Como parte de nuestra ingeniería inversa del firmware que se ejecuta en estos dispositivos Ivanti, descubrimos una gran cantidad de problemas que no se habían informado anteriormente”, continúa el grupo. Entre ellos, la presencia en el corazón de Pulse Secure de una versión obsoleta de la distribución Linux CentOS lanzada en 2013 (6.4) y no actualizada desde 2020. Al impulsar su análisis, Eclysium también descubrió que Ivanti estaba usando otros paquetes obsoletos: kernel de Linux 2.6.32 (final de vida útil en febrero de 2016), OpenSSL 1.0.2n (diciembre de 2017), Python 2.6.6 (agosto de 2010), Perl v5.6.1 creado para i386-linux (abril de 2001) y Bash 4.1.2. Sin mencionar una serie de bibliotecas obsoletas con CVE y exploits conocidos.

Índice
  1. La cadena de suministro digital como punto débil
  2. Falta de controles

La cadena de suministro digital como punto débil

“Estos programas heredados son componentes del producto Ivanti Connect Secure”, afirmó Eclypsium. “Este es un ejemplo perfecto de por qué la visibilidad es tan importante en las cadenas de suministro digitales y por qué los clientes empresariales exigen cada vez más SBOM a sus proveedores”. Un análisis más profundo del firmware de Ivanti reveló 1216 problemas en 76 scripts de shell, 5218 vulnerabilidades en 5392 archivos Python y 133 certificados vencidos. Su lógica de script también tiene una enorme falla de seguridad, según Eclypsium: excluye más de una docena de directorios del análisis, lo que significa que, en teoría, un atacante podría dejar sus implantes C2 persistentes en cualquiera de estas rutas y el punto final aún pasaría la verificación de integridad.

Según Eclypsium, un atacante podría realizar un ataque persistente con fines de explotación, configurando su marco de comando y control, herramientas, datos exfiltrados, etc. en una estructura de particiones de la que el administrador no tiene ninguna visibilidad. “Dado que Ivanti prohíbe a sus clientes realizar cualquier tipo de análisis forense fuera de sus herramientas oficiales, su único recurso es confiar en la herramienta”, afirma el grupo, que ha establecido un escenario de ataque avanzado:

- Un cliente utiliza un equipo Ivanti que de repente sufre una vulnerabilidad de día cero y su terminal es víctima de un exploit;
- El atacante obtiene acceso y coloca su herramienta secundaria en la partición /data con una gran cantidad de datos preparados para la exfiltración;
- El cliente parchea sus sistemas antes de que el atacante pueda filtrar algo y ejecuta la herramienta de integridad: todo parece estar bien;
- El atacante encuentra una solución alternativa al parche o mitigación original, explota el dispositivo nuevamente y puede terminar de exfiltrar los datos que había preparado previamente.

Falta de controles

“No podemos confiar en que los proveedores proporcionen hardware y software perfectamente seguros. Es necesario que exista un sistema de controles y contrapesos que permita a los clientes y a terceros validar la integridad y seguridad de los productos”, advierte Eclypsium. “Cuanto más abierto sea este proceso, mejor podremos validar la cadena de suministro digital (los componentes de hardware, firmware y software utilizados en sus productos). Cuando los proveedores no comparten su información y/o utilizan un sistema cerrado, la validación se vuelve difícil, al igual que la visibilidad. Los atacantes, como hemos visto recientemente, se aprovecharán de esta situación y explotarán la falta de controles y visibilidad del sistema. Mientras tanto, depende de los clientes mitigar estos fallos de software: identificar estas vulnerabilidades en nuestros sistemas, detectar los IoC lo mejor que podamos y verificar la integridad del firmware y el software”.

Contactados para obtener detalles sobre los resultados de la investigación realizada por Eclypsium y las consecuencias para sus clientes, Ivanti aún no ha respondido a nuestras preguntas.

Actualizado 20/02/2024 a las 09:46 Ivanti proporcionó las siguientes respuestas a nuestras preguntas: “ El producto Ivanti Connect Secure no es vulnerable debido a versiones anteriores del código fuente abierto. Ivanti implementa correcciones de seguridad cuando corresponde para garantizar la protección de la versión 9.x del producto. Implementar correcciones de seguridad no cambia la versión del código fuente abierto, pero sí brinda protección contra vulnerabilidades conocidas. Este proceso ayuda a garantizar que las soluciones que brindamos a nuestros clientes cumplan con todos los estándares de la industria y que nuestras soluciones no contengan vulnerabilidades conocidas. El hardware en la versión 9.x no tiene suficiente potencia de procesador para ejecutar un kernel Linux más nuevo y, por lo tanto, las limitaciones del kernel requieren el uso de este código fuente abierto más antiguo. La nueva versión 22.x de Ivanti Connect Secure está construida sobre un kernel Linux más nuevo que requiere un procesador más potente, por lo que hemos introducido una nueva plataforma, ISA, que no contiene las versiones anteriores del código fuente abierto. Todo el código presente en los productos Ivanti, incluido el código fuente abierto 9.x más antiguo, se describe claramente en nuestras atribuciones y SBOM, que están disponibles en la documentación del producto disponible en Ivanti.com ".