Eine Reverse Engineering-Analyse der Firmware von Ivanti Pulse Secure Appliances hat zahlreiche Schwachstellen aufgedeckt und verdeutlicht erneut die Herausforderungen bei der Sicherung von Software-Lieferketten. Die Firmware-Sicherheitsfirma Eclypsium hat die Firmware-Version 9.1.18.2-24467.1 untersucht und herausgefunden, dass das Betriebssystem, das von dem in Utah ansässigen Softwareunternehmen verwendet wird, CentOS 6.4 ist. Das Betriebssystem wird seit November 2020 nicht mehr unterstützt. In den letzten Monaten wurden mehrere Sicherheitslücken in Ivanti Connect Secure, Policy Secure und ZTA Gateways entdeckt, die von Angreifern ausgenutzt wurden, um verschiedene Malware wie Web-Shells, Stealers und Backdoors zu verbreiten. Einige der ausgenutzten Schwachstellen sind CVE-2023-46805, CVE-2024-21887 und CVE-2024-21893. Letzte Woche wurde auch ein weiterer Fehler in der Software (CVE-2024-22024) bekannt gegeben, der es Angreifern ermöglichen könnte, auf anderweitig eingeschränkte Ressourcen ohne Authentifizierung zuzugreifen. Das Unternehmen Akamai hat eine „signifikante Scanning-Aktivität“ festgestellt, die seit dem 9. Februar 2024 auf die Schwachstelle CVE-2024-22024 abzielt, nachdem ein Proof-of-Concept (PoC) veröffentlicht wurde. Eclypsium hat einen PoC-Exploit für CVE-2024-21893 verwendet, der von Rapid7 veröffentlicht wurde, um eine Reverse-Shell auf das PSA3000-Gerät zu erhalten und anschließend das Geräteimage für eine weitere Analyse mit dem EMBA-Firmware-Sicherheitsanalysator zu exportieren. Dabei wurden veraltete Softwarepakete und verwundbare Bibliotheken entdeckt, die insgesamt 973 Schwachstellen aufweisen, von denen 111 öffentlich bekannte Exploits haben. Die Untersuchung der Firmware ergab außerdem 1.216 Probleme in 76 Shell-Skripten, 5.218 Schwachstellen in 5.392 Python-Dateien und 133 veraltete Zertifikate. Darüber hinaus wurde ein Sicherheitsleck in einem Integritätsprüfungs-Tool entdeckt, das Ivanti aufgrund von Kompromittierungsindikatoren empfohlen hatte. Das Tool überprüft jedoch nicht bestimmte Verzeichnisse wie /data, /etc, /tmp und /var, was einem Angreifer theoretisch erlauben würde, ihre Schadsoftware in einem dieser Pfade zu platzieren und dennoch die Integritätsprüfung zu bestehen. Die Analyse zeigt, dass das Tool ein „trügerisches Sicherheitsgefühl“ vermittelt. Es ist auch bekannt, dass Angreifer das integrierte Integritätsprüfungs-Tool auf kompromittierten Geräten umgehen. Eclypsium hat gezeigt, dass ein Angreifer ihre Tools in das /data-Verzeichnis der Geräte ablegen und dann ein weiteres Zero-Day-Leck ausnutzen könnte, um Zugriff auf das Gerät zu erhalten und die zuvor gesammelten Daten zu exfiltrieren, während das Integritätsprüfungstool keine Anzeichen von anomaler Aktivität feststellt. Es ist wichtig, dass Kunden und Dritte die Integrität und Sicherheit von Produkten überprüfen können. Ein offeneres Validierungsverfahren ermöglicht eine bessere Überprüfung der digitalen Lieferkette, einschließlich Hardware, Firmware und Software-Komponenten.