Ivanti Pulse Secure wurde mit dem End-of-Life-Betriebssystem CentOS 6 gefunden
Ivanti Pulse Secure VPN-Appliances waren kürzlich Ziel mehrerer ausgeklügelter Angriffe, was die anhaltenden Herausforderungen bei der Absicherung kritischer IT-Infrastrukturen wie Netzwerkgeräte verdeutlicht. UNC5221, eine nationalstaatliche Gruppe, nutzte diese Schwachstellen bis mindestens zum 3. Dezember 2023 aus und wurde anschließend von mehreren Gruppen in großem Umfang ausgenutzt. Diese Vorfälle unterstreichen die Schwachstellen von Netzwerksicherheitsgeräten, obwohl sie eigentlich die Sicherheit von Unternehmen erhöhen sollen.
Beim Reverse-Engineering der Firmware von Ivanti-Geräten stieß Eclypsium, ein Unternehmen für Sicherheit in der Lieferkette, jedoch auf zahlreiche, bisher unbekannte Probleme. In diesem Blogbeitrag befassen wir uns mit dem Spektrum der Schwachstellen, die während dieses Prozesses aufgedeckt wurden, und mit ihren weiteren Auswirkungen auf die Cybersicherheitslandschaft.
Eclypsium entlarvt Ivanti Pulse Secure Firmware
Eclypsium erwähnte, dass sie einen PoC-Exploit für CVE-2024-21893, der von Rapid7 veröffentlicht wurde, verwendet haben, um eine Reverse Shell für ihr Laborgerät PSA3000 einzurichten. Während der Untersuchung erhielten sie die Firmware-Version 9.1.18.2-24467.1 und stellten fest, dass das zugrundeliegende Betriebssystem, das von Ivanti Pulse Secure verwendet wird, CentOS 6.4 ist. Alarmierenderweise ist diese Version von CentOS Linux veraltet, da sie am 30. November 2020 das Ende ihrer Lebensdauer erreicht hat.
Anschließend unterzog Eclypsium das exportierte Geräte-Image einer weiteren Analyse mit dem EMBA Firmware Security Analyzer, die das Vorhandensein mehrerer veralteter Pakete im Ivanti Connect Secure-Produkt ergab. Dazu gehören die Linux-Kernel-Version 2.6.32, die im Februar 2016 ihr Lebensende erreicht hat, OpenSSL 1.0.2n (seit Dezember 2019 nicht mehr unterstützt), Python 2.6.6 (seit Oktober 2013 nicht mehr unterstützt) und Perl v5.6.1, das am 9. April 2001 für i386-Linux (nicht x64) veröffentlicht wurde. Außerdem wurde festgestellt, dass zahlreiche Bibliotheken veraltet sind, mit bekannten Sicherheitslücken und potenziellen Schwachstellen. Allerdings wurde festgestellt, dass Bash 4.1.2 zwar veraltet ist, aber für die Shellshock-Schwachstelle gepatcht wurde.
Darüber hinaus hat Eclypsium nach eigenen Angaben ein Python-Skript gefunden, das eine erhebliche Sicherheitslücke in seiner Logik aufweist: "Es schließt mehr als ein Dutzend Verzeichnisse vom Scannen aus, was es einem Angreifer ermöglichen könnte, persistente C2-Implantate in diesen Pfaden zu verstecken, ohne bei Integritätsprüfungen entdeckt zu werden."
Aktive Ausnutzung von Schwachstellen in Ivanti-Produkten
Diese Enthüllungen kommen zu einer Zeit, in der Bedrohungsakteure aktiv Sicherheitslücken in Ivanti Pulse Secure, Policy Secure und ZTA-Gateways ausnutzen, um verschiedene Formen von Malware zu verbreiten, darunter Web Shells, Stealer und Backdoors. Zu den bemerkenswerten Schwachstellen, die ausgenutzt werden können, gehören CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 und die kürzlich bekannt gewordene CVE-2024-22024, die einen nicht autorisierten Zugriff auf eingeschränkte Ressourcen ohne Authentifizierung ermöglicht.
Absicherung von CentOS 6 nach dem Ende der Lebensdauer
Unternehmen können CentOS 6 auch nach dem Auslaufen weiter betreiben, aber ohne Sicherheitsupdates bleiben die neuen Schwachstellen in CentOS 6-Servern ungepatched, wodurch die Anwendungen und Benutzer potenziell ausgenutzt werden können. Ein direkter Upgrade-Pfad von CentOS 6.x auf 7.x ist nicht verfügbar. Daher besteht der empfohlene Prozess darin, den CentOS 6.x-Server zu sichern, eine Neuinstallation von CentOS 7.x durchzuführen und anschließend die gesicherten Daten vom alten CentOS 6.x-Server zu importieren. Der Migrationsprozess ist jedoch oft eine anspruchsvolle und zeitaufwändige Aufgabe. Die Migration von CentOS 6 auf CentOS 7 erfordert eine sorgfältige Planung und Durchführung, um einen reibungslosen Übergang zu gewährleisten.
Alternativ können Unternehmen wie Ivanti, die noch das veraltete Betriebssystem CentOS 6 einsetzen, den Extended Lifecycle Support von TuxCare nutzen, um die Sicherheit und Compliance der CentOS 6-Workloads zu gewährleisten. TuxCare stellt Sicherheitsupdates für CentOS 6 zur Verfügung, die hohe und kritische Schwachstellen bis November 2026 beheben. Der verlängerte Support gibt auch genügend Zeit, um die Migration zu planen, während das System sicher und geschützt bleibt.
Zu den Quellen für diesen Artikel gehört ein Bericht von Eclypsium.