Ivanti Pulse Secure utilise un système d'exploitation CentOS 6 en fin de vie
Les appliances Ivanti Pulse Secure VPN ont récemment été la cible de plusieurs attaques sophistiquées, mettant en évidence les défis permanents que pose la protection des infrastructures informatiques critiques telles que les dispositifs de réseau. UNC5221, un groupe d'État-nation, a exploité ces vulnérabilités au moins jusqu'au 3 décembre 2023, avec une exploitation massive ultérieure par de multiples groupes. Ces incidents soulignent les vulnérabilités inhérentes aux dispositifs de sécurité des réseaux, malgré le rôle qu'ils sont censés jouer dans l'amélioration de la sécurité des organisations.
Cependant, au cours de l'ingénierie inverse du micrologiciel qui alimente les appareils Ivanti, Eclypsium, une société spécialisée dans la sécurité de la chaîne d'approvisionnement, a mis au jour de nombreux problèmes qui n'avaient pas été divulgués auparavant. Dans cet article de blog, nous allons nous pencher sur l'éventail des vulnérabilités découvertes au cours de ce processus et sur leurs ramifications plus larges pour le paysage de la cybersécurité.
Eclypsium a exposé le micrologiciel sécurisé d'Ivanti Pulse
Eclypsium a indiqué qu'ils ont utilisé un exploit PoC pour CVE-2024-21893, publié par Rapid7, pour établir un shell inversé sur leur dispositif de laboratoire PSA3000. Au cours de l'examen, ils ont obtenu la version 9.1.18.2-24467.1 du micrologiciel et ont identifié que le système d'exploitation sous-jacent utilisé par Ivanti Pulse Secure est CentOS 6.4. Il est alarmant de constater que cette version de CentOS Linux est obsolète, ayant atteint la fin de sa durée de vie le 30 novembre 2020.
Par la suite, Eclypsium a procédé à une analyse plus poussée de l'image exportée de l'appareil à l'aide de l'analyseur de sécurité du firmware EMBA, qui a révélé la présence de plusieurs paquets obsolètes dans le produit Ivanti Connect Secure. Il s'agit notamment de la version 2.6.32 du noyau Linux, qui a atteint sa fin de vie en février 2016, d'OpenSSL 1.0.2n (non pris en charge depuis décembre 2019), de Python 2.6.6 (non pris en charge depuis octobre 2013) et de Perl v5.6.1 publié le 9 avril 2001 pour i386-linux, et non pour x64. En outre, de nombreuses bibliothèques se sont révélées obsolètes, avec des CVE connues et des exploits potentiels. Cependant, Bash 4.1.2, bien qu'obsolète, a été corrigé de la vulnérabilité Shellshock.
En outre, Eclypsium a déclaré avoir trouvé un script Python contenant une importante faille de sécurité dans sa logique : "Il exclut plus d'une douzaine de répertoires de l'analyse, ce qui permet potentiellement à un attaquant de cacher des implants C2 persistants dans ces chemins sans être détecté lors des contrôles d'intégrité."
Exploitation active des vulnérabilités des produits Ivanti
Ces révélations interviennent à un moment où les acteurs de la menace exploitent activement les failles de sécurité des passerelles Ivanti Pulse Secure, Policy Secure et ZTA pour distribuer diverses formes de logiciels malveillants, notamment des shells web, des voleurs et des portes dérobées. Les principales vulnérabilités susceptibles d'être exploitées sont CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 et la CVE-2024-22024 récemment divulguée, qui permet un accès non autorisé à des ressources restreintes sans authentification.
Sécuriser CentOS 6 après la fin de vie
Les organisations peuvent continuer à utiliser CentOS 6 après la fin de vie du système, mais sans mises à jour de sécurité, les nouvelles vulnérabilités des serveurs CentOS 6 ne seront pas corrigées, exposant les applications et les utilisateurs à une exploitation potentielle. Il n'existe pas de voie de mise à niveau directe de CentOS 6.x vers 7.x. Par conséquent, le processus recommandé consiste à sauvegarder le serveur CentOS 6.x, à effectuer une nouvelle installation de CentOS 7.x, puis à importer les données sauvegardées de l'ancien serveur CentOS 6.x. Cependant, le processus de migration est souvent une tâche difficile et longue. La migration de CentOS 6 vers CentOS 7 nécessite une planification et une exécution minutieuses afin d'assurer une transition en douceur.
Par ailleurs, les entreprises comme Ivanti qui utilisent encore le système d'exploitation dépassé CentOS 6 peuvent utiliser l'Extended Lifecycle Support de TuxCare pour garantir la sécurité et la conformité des charges de travail CentOS 6. TuxCare fournit des mises à jour de sécurité pour CentOS 6, corrigeant les vulnérabilités importantes et critiques jusqu'en novembre 2026. Le support étendu donne également suffisamment de temps pour planifier la migration tout en gardant le système sûr et sécurisé.
Les sources de cet article comprennent un article d'Eclypsium.