Eclypsium : Le firmware d’Ivanti présente une « pléthore » de problèmes de sécurité

Le spécialiste de la sécurité de la chaîne logistique du logiciel Eclypsium a publié, jeudi dernier, une étude affirmant que le micrologiciel (firmware) Pulse Secure d’Ivanti présente « une pléthore de problèmes non signalés auparavant », y compris de nombreux composants logiciels obsolètes et non pris en charge.

Les recherches d’Eclypsium font suite à l’exploitation de plusieurs vulnérabilités de type 0day dans les logiciels Ivanti au cours des dernières semaines. Fin janvier, Ivanti a corrigé deux vulnérabilités critiques dans ses logiciels Ivanti Policy Secure (IPS) et Ivanti Connect Secure (ICS), identifiées comme CVE-2023-46805 et CVE-2024-21887. Ces deux failles, révélées par Volexity le 10 janvier, permettent l’exécution de code à distance. Les chercheurs de Volexity et de Mandiant (Google Cloud) ont attribué une première vague d’attaques en décembre à un acteur national chinois, mais un large éventail d’acteurs aurait exploité les failles depuis lors.

Plus tard en janvier, Ivanti a également divulgué deux nouveaux bogues dans les systèmes IPS et ICS. Le premier, CVE-2024-21888, est une faille d’escalade des privilèges, et le second, CVE-2024-21893, est une falsification de requête côté serveur. Ivanti a déclaré à l’époque que ce dernier était la cible d’attaques.

Les recherches d’Eclypsium, publiées dans un billet de blog, sont basées sur la rétro-ingénierie du firmware d’ICS dans le produit Pulse Secure d’Ivanti.

Les chercheurs ont déclaré avoir téléchargé une version d’essai de Pulse Secure pour analyser son micrologiciel, mais ils ont constaté que l’image du micrologiciel était chiffrée. Ils ont alors décidé d’exploiter un véritable dispositif matériel et de vider son micrologiciel pour l’analyser. « Cela s’est avéré beaucoup plus facile que prévu », peut-on lire dans le billet de blog.

Avec un Pulse Secure Appliance 3000, les chercheurs d’Eclypsium ont utilisé un court démonstrateur d’exploitation basé sur les recherches Rapid7 ainsi qu’un shell inversé pour compromettre le micrologiciel. Eclypsium a noté que l’exploit lui-même était suffisamment court pour tenir « dans un tweet ». Le code de l’interpréteur de commandes inversé était à peine plus grand.

Tous les détails techniques sont disponibles dans le billet de blog. Bien que ces travaux ne dévoilent pas de nouvelles vulnérabilités, les chercheurs d’Eclypsium affirment que le micrologiciel contient plusieurs faiblesses qui n’entrent pas dans le cadre des failles qui ont été divulguées récemment.

Par exemple, les chercheurs ont découvert qu’Ivanti utilisait une version de Linux pour le système d’exploitation de ses appareils qui est obsolète depuis plusieurs années.

« Après avoir exfiltré la partition /data, nous nous sommes intéressés au reste de l’appareil. C’est probablement le bon moment pour souligner le système d’exploitation de base utilisé par Ivanti : CentOS 6.4, sorti en 2013 et officiellement en fin de vie en 2020 », peut-on lire sur le blog. « Vous avez bien lu : Pulse Secure utilise une version de Linux vieille de 11 ans qui n’est plus prise en charge depuis novembre 2020 ».

Au-delà de CentOS 6.4, l’analyse effectuée à l’aide de l’outil d’analyse des microprogrammes EMBA a révélé plusieurs paquets obsolètes, notamment le noyau Linux 2.6.32, dont la fin de vie est fixée à février 2016 ; OpenSSL 1.0.2n, daté de décembre 2017 ; Python 2.6.6, daté d’août 2010 ; Perl 5.6.1 construit pour Linux i386, et non x64, daté d’avril 2001 ; Bash 4.1.2 et d’autres encore.

« Ces anciens logiciels sont des composants du produit Ivanti Connect Secure », a déclaré Eclypsium. « C’est un parfait exemple de l’importance de la visibilité dans les chaînes d’approvisionnement numériques et de la raison pour laquelle les entreprises clientes exigent de plus en plus des nomenclatures logicielles de la part de leurs fournisseurs ».

Les chercheurs ont également attiré l’attention sur l’outil Integrity Checker d’Ivanti, qui est utilisé pour confirmer qu’aucune modification anormale n’a été apportée au produit d’un client. Eclypsium a trouvé une « énorme faille de sécurité » dans la logique du script Python utilisé pour effectuer l’analyse. « L’outil exclut plus d’une douzaine de répertoires de l’analyse, ce qui signifie qu’un attaquant pourrait théoriquement laisser ses implants C2 persistants dans l’un de ces chemins et que l’appareil passerait quand même le contrôle d’intégrité », peut-on lire dans le billet de blog.

Les chercheurs ont ensuite testé leur théorie en plaçant une copie de Sliver C2 (un outil open source largement utilisé en red team) dans un dossier, avant d’exécuter l’outil d’intégrité. « Le rapport était parfaitement propre », a déclaré Eclypsium.

Nate Warfield, directeur de la recherche et du renseignement sur les menaces chez Eclypsium, a déclaré à la rédaction de TechTarget dans un courriel que les acteurs malveillants ciblent de plus en plus les dispositifs de réseau tels que ceux d’Ivanti, parce que ces dispositifs doivent être exposés sur Internet et ne prennent pas en charge les produits de détection et de réponse des points d’extrémité (EDR).

« Cela rend ces dispositifs particulièrement attrayants pour les attaquants qui peuvent les utiliser pour pivoter à l’intérieur des réseaux et échapper à la détection », a-t-il déclaré. « Les mauvaises pratiques en matière de sécurité des produits de la part des équipementiers réseau n’aident pas, mais l’obscurité sur ce qui se passe à l’intérieur de ces appareils empêche de voir la réalité ».

« Nous nous retrouvons dans cette situation parce que la chaîne d’approvisionnement occulte l’utilisation de pratiques, de politiques et de technologies sûres. »

Les conclusions d’Eclypsium font suite aux efforts déployés par le gouvernement américain pour tenir les fournisseurs de logiciels responsables des produits non sécurisés présentant des faiblesses et des vulnérabilités importantes. En mars dernier, l’Administration Biden a publié une nouvelle stratégie nationale de cybersécurité qui proposait de transférer la responsabilité de ces produits peu sûrs aux développeurs et aux fournisseurs.

Bien que Nate Warfield ait qualifié ce changement de « probablement une bonne chose dans l’ensemble », il a estimé que le problème fondamental était le manque de transparence des fournisseurs de logiciels.

« Nous nous retrouvons dans cette situation parce que la chaîne d’approvisionnement occulte l’utilisation de pratiques, de politiques et de technologies sûres », a-t-il déclaré. « Malheureusement, cette obscurité touche les fondements les plus critiques de nos logiciels, de nos micrologiciels et de notre matériel. Les changements en matière de responsabilité peuvent aider, mais la véritable solution ne viendra que de la transparence tout au long de la chaîne logistique. Tous les membres de la communauté des développeurs et des fabricants doivent contribuer à cette transparence ».