1200 个问题和 5000 个漏洞：Ivanti软件供应链存在深层安全问题

Eclypsium 专家已经粉碎了 Pulse Secure 所吹嘘的安全性。

最近对Ivanti 的 Pulse Secure 设备固件进行的研究揭示了软件供应链中的深层安全问题。Eclypsium 专家发现了 许多漏洞，这些漏洞证明了确保保护此类软件系统的复杂性。

在分析中，研究人员使用逆向工程来检查 Pulse Secure 硬件中使用的固件版本 9.1.18.2-24467.1。据透露，这些设备基于基于Linux的CentOS 6.4操作系统，该操作系统发布于11年前，并且已经三年多没有收到安全更新。

由于 最近 针对 Ivanti 产品（包括 Connect Secure、Policy Secure 和 ZTA 网关）的攻击激增，人们对该问题的关注日益增加。攻击者利用发现的漏洞传播恶意软件，危及用户数据和安全。

在被积极利用的漏洞中，确定了 CVE-2023-46805 、 CVE-2024-21887 和 CVE-2024-21893 。此外，Ivanti 还披露了有关新漏洞 CVE-2024-22024的信息 ，该漏洞简化了对受保护资源的未经授权的访问。

Eclypsium 报告 强调了 Pulse Secure 设备固件中使用过时组件的情况，包括 23 年未更新的 Perl 版本和 2016 年停产的 Linux 内核版本。这些发现证实了与使用过时软件相关的风险。

研究人员进一步分析发现，shell 脚本中存在 1,200 多个问题，Python 文件中存在 5,000 多个漏洞，表明固件存在深层安全问题。此外，还发现了133张过期证书，使情况更加糟糕。

特别关注了 Ivanti 推荐的完整性检查工具的缺点。该工具会跳过对关键目录的扫描，理论上允许攻击者通过创建“错误的安全感”来绕过检测。

基于这些发现，Eclypsium 演示了一种理论上的攻击，攻击者可以利用完整性检查器中的缺陷来秘密部署恶意软件。

Eclypsium专家的结论是，软件和硬件供应商应该建立一个开放、透明的系统来开发和支持其产品，允许第三方独立评估其完整性和安全性。

专家们总结道：“这个过程越开放，我们就越能验证数字供应链。”