Ivanti Pulse Secure se encuentra utilizando el sistema operativo CentOS 6 al final de su vida útil
Los dispositivos Ivanti Pulse Secure VPN han sido recientemente objeto de varios ataques sofisticados, lo que pone de relieve los retos constantes a la hora de salvaguardar infraestructuras informáticas críticas como los dispositivos de red. UNC5221, un grupo de estado-nación, explotó estas vulnerabilidades hasta al menos el 3 de diciembre de 2023, con la posterior explotación masiva por parte de múltiples grupos. Estos incidentes ponen de relieve las vulnerabilidades inherentes a los dispositivos de seguridad de red, a pesar de su función prevista de mejorar la seguridad de las organizaciones.
Sin embargo, durante la ingeniería inversa del firmware de los dispositivos Ivanti, Eclypsium, una empresa de seguridad de la cadena de suministro, descubrió numerosos problemas no revelados anteriormente. En esta entrada del blog, profundizaremos en el espectro de vulnerabilidades descubiertas durante este proceso y sus ramificaciones más amplias para el panorama de la ciberseguridad.
Eclypsium expone el firmware seguro de Ivanti Pulse
Eclypsium mencionó que utilizaron un exploit PoC para CVE-2024-21893, publicado por Rapid7, para establecer una shell inversa en su dispositivo de laboratorio PSA3000. Durante el examen, obtuvieron la versión de firmware 9.1.18.2-24467.1 e identificaron que el sistema operativo subyacente utilizado por Ivanti Pulse Secure es CentOS 6.4. Esta versión de firmware es la más antigua de Ivanti Pulse Secure. Alarmantemente, esta versión de CentOS Linux está obsoleta tras alcanzar el final de su vida útil el 30 de noviembre de 2020.
Posteriormente, Eclypsium procedió a un análisis más exhaustivo de la imagen del dispositivo exportada utilizando el analizador de seguridad de firmware EMBA, que reveló la presencia de varios paquetes obsoletos en el producto Ivanti Connect Secure. Estos incluyen la versión 2.6.32 del kernel de Linux, que llegó al final de su vida útil en febrero de 2016, OpenSSL 1.0.2n (sin soporte desde diciembre de 2019), Python 2.6.6 (sin soporte desde octubre de 2013) y Perl v5.6.1 publicado el 9 de abril de 2001 para i386-linux, no x64. Además, se encontraron numerosas bibliotecas desactualizadas, con CVEs conocidas y exploits potenciales. Sin embargo, Bash 4.1.2, a pesar de estar desactualizado, se ha encontrado parcheado para la vulnerabilidad Shellshock.
Además, Eclypsium dijo que encontraron un script Python que contiene un importante agujero de seguridad en su lógica: "Excluye más de una docena de directorios del escaneo, permitiendo potencialmente a un atacante ocultar implantes C2 persistentes en estas rutas sin ser detectados durante las comprobaciones de integridad".
Explotación activa de las vulnerabilidades de los productos Ivanti
Estas revelaciones llegan en un momento en el que las amenazas están explotando activamente los fallos de seguridad de las pasarelas Ivanti Pulse Secure, Policy Secure y ZTA para distribuir diversas formas de malware, como web shells, ladrones y puertas traseras. Entre las vulnerabilidades susceptibles de explotación destacan CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 y la recientemente revelada CVE-2024-22024, que permite el acceso no autorizado a recursos restringidos sin autenticación.
Protección de CentOS 6 tras el fin de su vida útil
Las organizaciones pueden seguir ejecutando CentOS 6 después de EOL, pero sin actualizaciones de seguridad, las nuevas vulnerabilidades en los servidores CentOS 6 permanecerán sin parchear, exponiendo las aplicaciones y los usuarios a la explotación potencial. No hay disponible una ruta de actualización directa de CentOS 6.x a 7.x. Por lo tanto, el proceso recomendado consiste en hacer una copia de seguridad del servidor CentOS 6.x, realizar una nueva instalación de CentOS 7.x e importar posteriormente los datos de la copia de seguridad del servidor CentOS 6.x antiguo. Sin embargo, el proceso de migración suele ser una tarea ardua y laboriosa. La migración de CentOS 6 a CentOS 7 requiere una planificación y ejecución cuidadosas para garantizar una transición sin problemas.
Por otra parte, las empresas como Ivanti que aún utilizan el anticuado sistema operativo CentOS 6 pueden recurrir al soporte de ciclo de vida ampliado de T uxCare para garantizar la seguridad y el cumplimiento de las cargas de trabajo de CentOS 6. TuxCare proporciona actualizaciones de seguridad para CentOS 6, corrigiendo vulnerabilidades altas y críticas hasta noviembre de 2026. El soporte ampliado también da tiempo suficiente para planificar la migración manteniendo el sistema seguro y protegido.
Las fuentes de este artículo incluyen un artículo de Eclypsium.