1200 个问题和 5000 个漏洞:Ivanti软件供应链存在深层安全问题

阅读量38106

发布时间 : 2024-02-18 11:27:36

Eclypsium 专家已经粉碎了 Pulse Secure 所吹嘘的安全性。

最近对Ivanti 的 Pulse Secure 设备固件进行的研究揭示了软件供应链中的深层安全问题。Eclypsium 专家发现了 许多漏洞,这些漏洞证明了确保保护此类软件系统的复杂性。

在分析中,研究人员使用逆向工程来检查 Pulse Secure 硬件中使用的固件版本 9.1.18.2-24467.1。据透露,这些设备基于基于Linux的CentOS 6.4操作系统,该操作系统发布于11年前,并且已经三年多没有收到安全更新。

由于 最近 针对 Ivanti 产品(包括 Connect Secure、Policy Secure 和 ZTA 网关)的攻击激增,人们对该问题的关注日益增加。攻击者利用发现的漏洞传播恶意软件,危及用户数据和安全。

在被积极利用的漏洞中,确定了 CVE-2023-46805 、 CVE-2024-21887 和 CVE-2024-21893 。此外,Ivanti 还披露了有关新漏洞 CVE-2024-22024的信息 ,该漏洞简化了对受保护资源的未经授权的访问。

Eclypsium 报告 强调了 Pulse Secure 设备固件中使用过时组件的情况,包括 23 年未更新的 Perl 版本和 2016 年停产的 Linux 内核版本。这些发现证实了与使用过时软件相关的风险。

研究人员进一步分析发现,shell 脚本中存在 1,200 多个问题,Python 文件中存在 5,000 多个漏洞,表明固件存在深层安全问题。此外,还发现了133张过期证书,使情况更加糟糕。

特别关注了 Ivanti 推荐的完整性检查工具的缺点。该工具会跳过对关键目录的扫描,理论上允许攻击者通过创建“错误的安全感”来绕过检测。

基于这些发现,Eclypsium 演示了一种理论上的攻击,攻击者可以利用完整性检查器中的缺陷来秘密部署恶意软件。

Eclypsium专家的结论是,软件和硬件供应商应该建立一个开放、透明的系统来开发和支持其产品,允许第三方独立评估其完整性和安全性。

专家们总结道:“这个过程越开放,我们就越能验证数字供应链。”

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66