Ivanti接連公布5個Connect Secure漏洞，有研究人員拆解韌體發現恐有大量弱點可被利用

2019年資安業者Pulse Secure公布旗下的SSL VPN系統Pulse Connect Secure高風險漏洞CVE-2019-11510、CVE-2019-11539，隨後這些漏洞便成為駭客經常利用的對象。

先是有研究人員公布細節、察覺大規模的漏洞嘗試利用行動，後來更引起英國網路安全中心（NCSC）、美國網路安全暨基礎設施安全局（CISA）的警告。到了2020年，Ivanti併購Pulse Secure，經過數年的整併，這套SSL VPN系統的安全性是否得到改善？

近期Ivanti揭露一系列的漏洞，讓這套系統的安全性再度浮上檯面。

高風險漏洞接連爆發，公布後皆遭駭客用於攻擊行動

今年1月上旬，Ivanti針對Ivanti Connect Secure（原Pulse Connect Secure，簡稱ICS）、NAC解決方案Ivanti Policy Secure（IPS）發出公告，指出這些系統存在身分驗證繞過漏洞CVE-2023-46805、命令注入漏洞CVE-2024-21887，通報上述漏洞的資安業者Volexity指出，中國駭客組織UTA0178（亦稱UNC5221）已在去年底將其用於攻擊。

在公布上述漏洞後，Ivanti著手進行調查，3週後揭露另外2個新漏洞，這些是：網頁元件權限提升漏洞CVE-2024-21888、SAML元件SSRF漏洞CVE-2024-21893，並表明已有部分客戶遭到CVE-2024-21893漏洞利用攻擊，並先後於1月31日、2月1日針對不同版本的Connect Secure、Policy Secure，提供上述4個漏洞的修補程式。

事隔一週，2月8日Ivanti又公布第5個漏洞CVE-2024-22024，此為SAML元件的XML外部實體（XXE）漏洞，並於8日至14日陸續上架各版本的更新程式。但值得留意的是，該公司在不到1個月的時間裡，公布了5個漏洞，其中有3個是在公開之前就遭到利用，另外2個則是在公布後也出現被利用的情況，這使得該產品線的安全性令人擔憂。

後續有研究人員揭露新的發現，證實該系統確實存在大量容易受到攻擊的弱點，而成為駭客偏好下手的目標。

採用大量已不再受到支援的陳年元件、過期憑證，至少曝露近1千個已登記CVE編號的漏洞

專精韌體安全的資安業者Eclypsium取得ICS韌體ICS-9.1.18.2-24467.1版進行分析，結果發現，此韌體底層執行的作業系統竟是已在2013年發布、2020年終止支援的CentOS 6.4，其Linux核心更是在2016年終止支援的2.6.32版，還有很多元件也相當老舊，而可能存在不會被修補的漏洞，例如：2017年終止支援的OpenSSL 1.0.2n、2010年終止支援的Python 2.6.6，以及2001年終止支援、32位元版本的Perl 5.6.1。

唯一令研究人員意外的部分，是韌體裡採用的4.1.2版Bash（2010年推出），因為Ivanti修補了2014年出現的重大漏洞Shellshock。

此外，研究人員也在該系統找出大量弱點，包含973個已登記CVE編號的已知漏洞，其中有396個為高風險層級；他們也從76個Shell指令碼找到1,216個弱點、並在5,392個Python檔案找出5,218個漏洞，再者，該系統所使用的800個憑證當中，有133個已經過期。

附帶一提的是，可能是基於防堵他人對ICS韌體及虛擬機器（VM）版本系統的檔案進行逆向工程、拆解，危害這類系統的完整性，Ivanti對於上述檔案進行加密處理，但沒有對加密的強度進行說明。

研究人員認為該公司這麼做意義不大，原因是中國駭客仍能找出這套系統的漏洞並加以利用。而他們在研究的過程中，並未直接突破虛擬機器的加密防護，而是採用真實設備來取得分析所需的韌體。

另一方面，有鑑於漏洞攻擊的肆虐，Ivanti提供了「完整性檢查工具（Integrity Checking Tool，ICT）」，讓企業組織檢查相關系統是否遭到入侵。

這套工具內含物料清單（BOM）檔案目錄，並根據SHA256雜湊值比對系統檔案是否遭到竄改。但研究人員發現，用來執行比對的指令碼存在嚴重的邏輯錯誤，會略過部分的系統資料夾而不予比對，換言之，攻擊者可以將作案工具植入這些資料夾，以便持續存取受害伺服器，而IT人員執行上述的ICT工具卻不會察覺異狀。

修補程式等待時間長，IT人員須持續追蹤公告、安排套用緩解措施行程

值得留意的是，Ivanti對這些漏洞發出公告與提供修補程式的時間並不一致，其中間隔最長的就是CVE-2023-46805、CVE-2024-21887，這兩個漏洞從公告到修補程式推出，間隔超過20天，但該公司發布資安公告不久就出現攻擊行動。這樣的情況，導致IT人員須持續追蹤公告、安排套用緩解措施及部署更新的行程，疲於奔命。

話雖如此，研究人員發現，可透過網際網路存取的Ivanti系統，仍有超過半數未修補。

2月14日Shadowserver基金會指出，約有3,900臺Ivanti設備曝露於CVE-2024-22024的風險，此外，該基金會也提及仍有1,000臺主機存在CVE-2024-21887的弱點。

研究人員Yutaka Sejiyama也公布調查結果，他指出，截至2月15日為止，全球可透過網際網路存取的Ivanti主機有24,239臺，目前約有10,603臺套用1月31日的修補程式，但修補CVE-2024-22024的主機僅有5,107臺，換言之，至少約有1.3萬臺主機尚未修補上述漏洞。

而在臺灣的部分，總共有672臺主機可透過網際網路存取，其中有164臺套用1月31日的修補程式，但修補CVE-2024-22024的主機，卻僅有9臺。