D’après un rapport d’Eclypsium, le micrologiciel (firmware) de l’appliance Pulse Secure d’Ivanti contiendrait 1.216 problèmes dans 76 scripts shell, 5.218 vulnérabilités dans 5.392 fichiers Python, et plus de 133 certificats périmés.

Selon un billet de blog du spécialiste de la sécurité de la chaîne logistique du logiciel, « Pulse Secure utilise une version de Linux vieille de 11 ans qui n’est plus prise en charge depuis novembre 2020 ».

« Le produit Ivanti Connect Secure n’est pas vulnérable en raison d’anciennes versions de code open source », défend Ivanti. « Nous rétroportons les correctifs de sécurité lorsqu’ils sont applicables afin d’assurer la protection de la version 9.x du produit. Le rétroportage des correctifs de sécurité ne modifie pas la version du code open source, mais elle fournit une protection contre les vulnérabilités connues ». (…) « Ce processus permet de s’assurer que les solutions que nous fournissons à nos clients répondent à toutes les normes de l’industrie et que nos solutions ne comportent pas de vulnérabilités connues. Le matériel de la version 9.x ne dispose pas d’un processeur suffisant pour faire tourner un noyau Linux plus récent et, par conséquent, les limitations du noyau imposent l’utilisation de ce code open source plus ancien. La nouvelle version 22.x d’Ivanti Connect Secure est construite sur un nouveau noyau Linux qui nécessite un processeur plus puissant et nous avons donc introduit une nouvelle plateforme, l’ISA, qui ne contient pas les anciennes versions du code open source ».

Par ailleurs, « l’outil (Integrity Checker) exclut plus d’une douzaine de répertoires de l’analyse, ce qui signifie qu’un attaquant pourrait théoriquement laisser ses implants C2 persistants dans l’un de ces chemins et que l’appareil passerait quand même le contrôle d’intégrité », précise le billet de blog d’Eclypsium.

Les recherches menées par la start-up Eclypsium, installée à Portland, font suite à l’exploitation de plusieurs vulnérabilités de type zero day repérées au sein des logiciels d’Ivanti ces dernières semaines.

Nos lecteurs ont lu ensuite


Ivanti rachète MobileIron et Pulse Secure
Depuis l’été, le bruit courait d’une cession de MobileIron. C’est quasiment chose faite. Ivanti, avec le soutien de filiale du groupe Clearlake Capital Group, et de TA Associates, annonce la signature d’un accord définitif pour le...

Noyau Linux : un embonpoint qui vient aussi de son succès dans la mobilité
class= » alignleft size-full wp-image-26351″ style= »margin: 6px; float: left; » alt= »linux-logo75x75″ src= »https://www.channelnews.fr:8080/wp-content/uploads/2008/12/linux-logo75x75.gif » width= »75″ height= »75″ width= »75″ height= »75″ /...

Les 65 applications open source disponibles sur le Cloud
Avec l’avènement du Cloud, la problématique open source serait-elle passée au deuxième plan. Le discours est peut-être un moins présent mais la réalité est tout autre. En tous cas, la majorité des grands projets d’aujourd’hui...

En portant Windows sur ARM, Microsoft admet-il la fin de l’hégémonie Wintel ?
class= » alignleft size-full wp-image-25349″ style= »margin: 6px; float: left; » alt= »Windows » src= »https://www.channelnews.fr:8080/wp-content/uploads/2008/03/windows.gif » width= »75″ height= »75″ width= »75″ height= »75″ /...

Linux : Red Hat veut contre-carrer les plans d’Oracle
En préinstallant les correctifs au sein même du noyau d’Enterprise Linux, Red Hat a voulu compliquer la tâche d’Oracle et l’empêcher de fournir une version optimisée de son propre OS....