D’après un rapport d’Eclypsium, le micrologiciel (firmware) de l’appliance Pulse Secure d’Ivanti contiendrait 1.216 problèmes dans 76 scripts shell, 5.218 vulnérabilités dans 5.392 fichiers Python, et plus de 133 certificats périmés.
Selon un billet de blog du spécialiste de la sécurité de la chaîne logistique du logiciel, « Pulse Secure utilise une version de Linux vieille de 11 ans qui n’est plus prise en charge depuis novembre 2020 ».
« Le produit Ivanti Connect Secure n’est pas vulnérable en raison d’anciennes versions de code open source », défend Ivanti. « Nous rétroportons les correctifs de sécurité lorsqu’ils sont applicables afin d’assurer la protection de la version 9.x du produit. Le rétroportage des correctifs de sécurité ne modifie pas la version du code open source, mais elle fournit une protection contre les vulnérabilités connues ». (…) « Ce processus permet de s’assurer que les solutions que nous fournissons à nos clients répondent à toutes les normes de l’industrie et que nos solutions ne comportent pas de vulnérabilités connues. Le matériel de la version 9.x ne dispose pas d’un processeur suffisant pour faire tourner un noyau Linux plus récent et, par conséquent, les limitations du noyau imposent l’utilisation de ce code open source plus ancien. La nouvelle version 22.x d’Ivanti Connect Secure est construite sur un nouveau noyau Linux qui nécessite un processeur plus puissant et nous avons donc introduit une nouvelle plateforme, l’ISA, qui ne contient pas les anciennes versions du code open source ».
Par ailleurs, « l’outil (Integrity Checker) exclut plus d’une douzaine de répertoires de l’analyse, ce qui signifie qu’un attaquant pourrait théoriquement laisser ses implants C2 persistants dans l’un de ces chemins et que l’appareil passerait quand même le contrôle d’intégrité », précise le billet de blog d’Eclypsium.
Les recherches menées par la start-up Eclypsium, installée à Portland, font suite à l’exploitation de plusieurs vulnérabilités de type zero day repérées au sein des logiciels d’Ivanti ces dernières semaines.