圖片來源: 

Ivanti

2019年資安業者Pulse Secure公布旗下的SSL VPN系統Pulse Connect Secure高風險漏洞CVE-2019-11510、CVE-2019-11539,隨後這些漏洞便成為駭客經常利用的對象。

先是有研究人員公布細節、察覺大規模的漏洞嘗試利用行動,後來更引起英國網路安全中心(NCSC)美國網路安全暨基礎設施安全局(CISA)的警告。到了2020年,Ivanti併購Pulse Secure,經過數年的整併,這套SSL VPN系統的安全性是否得到改善?

近期Ivanti揭露一系列的漏洞,讓這套系統的安全性再度浮上檯面。

高風險漏洞接連爆發,公布後皆遭駭客用於攻擊行動

今年1月上旬,Ivanti針對Ivanti Connect Secure(原Pulse Connect Secure,簡稱ICS)、NAC解決方案Ivanti Policy Secure(IPS)發出公告,指出這些系統存在身分驗證繞過漏洞CVE-2023-46805、命令注入漏洞CVE-2024-21887,通報上述漏洞的資安業者Volexity指出,中國駭客組織UTA0178(亦稱UNC5221)已在去年底將其用於攻擊

在公布上述漏洞後,Ivanti著手進行調查,3週後揭露另外2個新漏洞,這些是:網頁元件權限提升漏洞CVE-2024-21888、SAML元件SSRF漏洞CVE-2024-21893,並表明已有部分客戶遭到CVE-2024-21893漏洞利用攻擊,並先後於1月31日、2月1日針對不同版本的Connect Secure、Policy Secure,提供上述4個漏洞的修補程式。

事隔一週,2月8日Ivanti又公布第5個漏洞CVE-2024-22024,此為SAML元件的XML外部實體(XXE)漏洞,並於8日至14日陸續上架各版本的更新程式。但值得留意的是,該公司在不到1個月的時間裡,公布了5個漏洞,其中有3個是在公開之前就遭到利用,另外2個則是在公布後也出現被利用的情況,這使得該產品線的安全性令人擔憂。

後續有研究人員揭露新的發現,證實該系統確實存在大量容易受到攻擊的弱點,而成為駭客偏好下手的目標。

採用大量已不再受到支援的陳年元件、過期憑證,至少曝露近1千個已登記CVE編號的漏洞

專精韌體安全的資安業者Eclypsium取得ICS韌體ICS-9.1.18.2-24467.1版進行分析,結果發現,此韌體底層執行的作業系統竟是已在2013年發布、2020年終止支援的CentOS 6.4,其Linux核心更是在2016年終止支援的2.6.32版,還有很多元件也相當老舊,而可能存在不會被修補的漏洞,例如:2017年終止支援的OpenSSL 1.0.2n、2010年終止支援的Python 2.6.6,以及2001年終止支援、32位元版本的Perl 5.6.1。

唯一令研究人員意外的部分,是韌體裡採用的4.1.2版Bash(2010年推出),因為Ivanti修補了2014年出現的重大漏洞Shellshock

此外,研究人員也在該系統找出大量弱點,包含973個已登記CVE編號的已知漏洞,其中有396個為高風險層級;他們也從76個Shell指令碼找到1,216個弱點、並在5,392個Python檔案找出5,218個漏洞,再者,該系統所使用的800個憑證當中,有133個已經過期。

附帶一提的是,可能是基於防堵他人對ICS韌體及虛擬機器(VM)版本系統的檔案進行逆向工程、拆解,危害這類系統的完整性,Ivanti對於上述檔案進行加密處理,但沒有對加密的強度進行說明。

研究人員認為該公司這麼做意義不大,原因是中國駭客仍能找出這套系統的漏洞並加以利用。而他們在研究的過程中,並未直接突破虛擬機器的加密防護,而是採用真實設備來取得分析所需的韌體。

另一方面,有鑑於漏洞攻擊的肆虐,Ivanti提供了「完整性檢查工具(Integrity Checking Tool,ICT)」,讓企業組織檢查相關系統是否遭到入侵。

這套工具內含物料清單(BOM)檔案目錄,並根據SHA256雜湊值比對系統檔案是否遭到竄改。但研究人員發現,用來執行比對的指令碼存在嚴重的邏輯錯誤,會略過部分的系統資料夾而不予比對,換言之,攻擊者可以將作案工具植入這些資料夾,以便持續存取受害伺服器,而IT人員執行上述的ICT工具卻不會察覺異狀。

修補程式等待時間長,IT人員須持續追蹤公告、安排套用緩解措施行程

值得留意的是,Ivanti對這些漏洞發出公告與提供修補程式的時間並不一致,其中間隔最長的就是CVE-2023-46805、CVE-2024-21887,這兩個漏洞從公告到修補程式推出,間隔超過20天,但該公司發布資安公告不久就出現攻擊行動。這樣的情況,導致IT人員須持續追蹤公告、安排套用緩解措施及部署更新的行程,疲於奔命。

話雖如此,研究人員發現,可透過網際網路存取的Ivanti系統,仍有超過半數未修補。

2月14日Shadowserver基金會指出,約有3,900臺Ivanti設備曝露於CVE-2024-22024的風險,此外,該基金會也提及仍有1,000臺主機存在CVE-2024-21887的弱點。

研究人員Yutaka Sejiyama也公布調查結果,他指出,截至2月15日為止,全球可透過網際網路存取的Ivanti主機有24,239臺,目前約有10,603臺套用1月31日的修補程式,但修補CVE-2024-22024的主機僅有5,107臺,換言之,至少約有1.3萬臺主機尚未修補上述漏洞。

而在臺灣的部分,總共有672臺主機可透過網際網路存取,其中有164臺套用1月31日的修補程式,但修補CVE-2024-22024的主機,卻僅有9臺。

熱門新聞

Advertisement