Eclypsium, una compañía de seguridad informática, ha llevado a cabo un análisis del firmware de los dispositivos de Ivanti Pulse Secure y ha descubierto múltiples debilidades. Este hallazgo destaca la importancia de proteger las cadenas de suministro de software.
La versión de firmware 9.1.18.2-24467.1 de Ivanti Pulse Secure utiliza CentOS 6.4, una versión de sistema operativo base de hace 11 años que ya no ha recibido soporte desde noviembre de 2020, según el informe compartido por Eclypsium.
Esta situación coincide con un aumento en las vulnerabilidades explotadas por los ciberdelincuentes en las puertas de enlace de Ivanti Connect Secure, Policy Secure y ZTA, como CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893. Recientemente, Ivanti reveló otro error de software (CVE-2024-22024) que podría permitir a los atacantes acceder a recursos restringidos sin ningún tipo de autenticación.
Akamai, una empresa de infraestructura web, ha advertido de «actividad de escaneo significativa» dirigida a CVE-2024-22024 desde el 9 de febrero de 2024, después de la publicación de un PoC de watchTowr.
Eclypsium ha utilizado un exploit PoC para CVE-2024-21893 para obtener acceso al dispositivo PSA3000 y ha encontrado paquetes obsoletos y bibliotecas vulnerables que son susceptibles acumulativamente a 973 fallos, de los cuales 111 tienen exploits públicamente conocidos. Por ejemplo, Perl no ha sido actualizado en 23 años y la versión del kernel de Linux utilizada ha llegado al final de su vida útil (EoL).
Eclypsium ha encontrado un «agujero de seguridad» en la Herramienta de Verificación de Integridad (ICT) de Ivanti que hipotéticamente permitiría a los atacantes desplegar implantes persistentes en directorios excluidos por el script de la herramienta. Además, los atacantes han estado manipulando la ICT para evitar ser detectados.
La compañía reafirma la necesidad de validaciones y verificaciones transparentes en la cadena de suministro de software y de tener un sistema de controles y contrapesos que permita a los clientes y terceros validar la integridad y seguridad del producto. La falta de transparencia puede provocar la explotación de vulnerabilidades por parte de los ciberdelincuentes.
Vía The Hacker News
