Pulse Secure ejecuta una versión de Linux de 11 años de antigüedad

Una ingeniería inversa del firmware que se ejecuta en los dispositivos Ivanti Pulse Secure ha revelado numerosas debilidades, lo que subraya una vez más el desafío de proteger las cadenas de suministro de software.

Eclypsiusm, que adquirió la versión de firmware 9.1.18.2-24467.1 como parte del proceso, dijo que el sistema operativo base utilizado por la compañía de software con sede en Utah para el dispositivo es CentOS 6.4.

"Pulse Secure ejecuta una versión de Linux de 11 años de antigüedad que no ha sido compatible desde noviembre de 2020", dijo la compañía de seguridad de firmware en un informe compartido con The Hacker News.

El desarrollo se produce en un momento en que los actores de amenazas están aprovechando una serie de fallos de seguridad descubiertos en las pasarelas Ivanti Connect Secure, Policy Secure y ZTA para entregar una amplia gama de malware, incluidos webshells, ladrones y puertas traseras.

Las vulnerabilidades que han sido objeto de explotación activa en los últimos meses comprenden CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893. La semana pasada, Ivanti también reveló otro error en el software (CVE-2024-22024) que podría permitir a los actores de amenazas acceder a recursos que de otro modo estarían restringidos sin ninguna autenticación.

En una alerta publicada ayer, la empresa de infraestructura web Akamai dijo que ha observado una "actividad de escaneo significativa" dirigida a CVE-2024-22024 a partir del 9 de febrero de 2024, tras la publicación de una prueba de concepto (PoC) por parte de watchTowr.

Eclypsium dijo que aprovechó un exploit PoC para CVE-2024-21893 que fue lanzado por Rapid7 a principios de este mes para obtener una carcasa inversa para el dispositivo PSA3000, exportando posteriormente la imagen del dispositivo para un análisis de seguimiento utilizando el analizador de seguridad de firmware EMBA.

Esto no solo descubrió una serie de paquetes obsoletos, lo que corrobora los hallazgos anteriores del investigador de seguridad Will Dormann, sino también una serie de bibliotecas vulnerables que son acumulativamente susceptibles a 973 fallas, de las cuales 111 tienen exploits conocidos públicamente.


Perl, por ejemplo, no se ha actualizado desde la versión 5.6.1, que se lanzó hace 23 años, el 9 de abril de 2001. La versión del kernel de Linux es la 2.6.32, que llegó al final de su vida útil (EoL) en marzo de 2016.

"Estos antiguos paquetes de software son componentes del producto Ivanti Connect Secure", dijo Eclypsium. "Este es un ejemplo perfecto de por qué la visibilidad de las cadenas de suministro digitales es importante y por qué los clientes empresariales exigen cada vez más SBOM a sus proveedores".

Además, un examen más profundo del firmware descubrió 1.216 problemas en 76 scripts de shell, 5.218 vulnerabilidades en 5.392 archivos de Python, además de 133 certificados obsoletos.


Los problemas no terminan ahí, ya que Eclypsium encontró un "agujero de seguridad" en la lógica de la herramienta Integrity Checker (ICT) que Ivanti ha recomendado a sus clientes que utilicen para buscar indicadores de compromiso (IoC).

Específicamente, se ha encontrado que el script excluye más de una docena de directorios como /data, /etc, /tmp y /var de ser escaneados, lo que hipotéticamente permite a un atacante implementar sus implantes persistentes en una de estas rutas y aún así pasar la verificación de integridad. Sin embargo, la herramienta analiza la partición /home que almacena todos los daemons y archivos de configuración específicos del producto.

Como resultado, la implementación del marco posterior a la explotación de Sliver en el directorio /data y la ejecución de informes de TIC no presenta problemas, descubrió Eclypsium, lo que sugiere que la herramienta proporciona una "falsa sensación de seguridad".

Vale la pena señalar que también se ha observado que los actores de amenazas manipulan las TIC integradas en los dispositivos Ivanti Connect Secure comprometidos en un intento de eludir la detección.

En un ataque teórico demostrado por Eclypsium, un actor de amenazas podría dejar caer sus herramientas de la siguiente etapa y almacenar la información recopilada en la partición /data y luego abusar de otra falla de día cero para obtener acceso al dispositivo y exfiltrar los datos preparados anteriormente, mientras la herramienta de integridad no detecta signos de actividad anómala.

"Debe haber un sistema de controles y equilibrios que permita a los clientes y a terceros validar la integridad y seguridad del producto", dijo la compañía. "Cuanto más abierto sea este proceso, mejor trabajo podremos hacer para validar la cadena de suministro digital, es decir, el hardware, el firmware y los componentes de software utilizados en sus productos".

"Cuando los proveedores no comparten información y/o operan un sistema cerrado, la validación se vuelve difícil, al igual que la visibilidad. Lo más seguro es que los atacantes, como se ha demostrado recientemente, se aprovechen de esta situación y exploten la falta de controles y visibilidad del sistema".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta