Security Week 2415: новые уязвимости в продуктах Ivanti
2 апреля компания Ivanti сообщила о закрытии четырех новых уязвимостей в сетевых шлюзах Ivanti Connect Secure и Ivanti Policy Secure. Из них наибольшую опасность представляет проблема, получившая идентификатор CVE-2024-21894. Ошибка в компоненте IPSec при некоторых условиях приводит к «переполнению кучи». В результате потенциальный злоумышленник может отправить на уязвимый сервер подготовленный пакет данных и вызвать либо отказ в обслуживании, либо, при ряде условий, выполнение произвольного кода.
По данным разработчика, эта уязвимость не эксплуатировалась на момент обнаружения, что отличает новую проблему от набора предыдущих, обнаруженных еще в начале января. Тогда критические уязвимости были найдены в ходе расследования реальной атаки, а разработчик довольно долго не мог выпустить патч для активно эксплуатируемой проблемы. Это даже привело к достаточно нестандартной рекомендации от американского государственного агентства CISA: сначала отключить уязвимые VPN-серверы вовсе, а потом уже разбираться с наличием или отсутствием патча. Сложная обстановка с защищенностью систем, призванных ограждать корпоративный периметр от неавторизованного доступа, привела также к публикации открытого письма от генерального директора Ivanti, в котором он пообещал пересмотреть подход к безопасности.
Еще три свежие уязвимости не приведут к гарантированному взлому сетевого шлюза, но тоже позволят провести эффективную DoS-атаку. Всего три из четырех проблем относятся к модулю IPSec, еще одна относится к функциональности Single Sign-On. Через три дня после выпуска патча в сети можно было обнаружить более 16 тысяч уязвимых серверов Connect Secure. Январские уязвимости были серьезнее: обнаруженная тогда пара уязвимостей позволяла обойти систему аутентификации и выполнить на сервере произвольный код. Отсутствие патча в условиях активной атаки поставило операторов VPN-серверов Ivanti в сложное положение: нужно было не только пропатчить уязвимые серверы, когда это стало возможным, но и убедиться в том, что они ранее не были взломаны. Пользователям были предложены временные решения, ограничивающие функциональность Connect Secure/Policy Secure, которые в некоторых случаях удавалось обойти. Штатная утилита для проверки целостности кода сервера вроде бы давала гарантию, что в нем не установлен веб-шелл взломщика, но оказалось, что не во всех случаях. Позднее выяснилось, что агентство CISA также использовало решения Ivanti и также пострадало от взлома.
Это непростая ситуация для любого разработчика ПО, от уязвимостей в котором страдают клиенты. Как-то отреагировать на репутационные издержки было необходимо, и на прошлой неделе гендиректор Ivanti Джефф Эбботт сделал такую попытку, объявив в письме для клиентов «новую эру» в компании. В письме Ivanti обещает сделать тему защищенности продуктов центральной, пересмотрев абсолютно все процессы разработки. Помимо этих общих заявлений приведено также несколько конкретных обещаний, которые в целом будет полезно выполнить многим разработчикам.
Конкретно генеральный директор Ivanti говорит о подходе Secure-by-Design. Под этим понимается внедрение механизмов проверки продукта на безопасность на всех стадиях разработки, начиная с проектирования. Обещано внедрение технологий изоляции кода и систем защиты от эксплойтов — даже если какую-то уязвимость удастся эксплуатировать, это не должно приводить к компрометации сетевого шлюза целиком. Справедливо указывается на то, что для пользователей должен быть упрощен процесс установки патчей и мониторинга защищенности решения. Внутренние процессы для поиска ошибок в коде должны быть дополнены привлечением внешней экспертизы. Не обошлось в письме и без модных словечек: там в том числе упоминается некая «интерактивная голосовая система поддержки на основе AI». Отдельно говорится о необходимости сделать работу над безопасностью решений прозрачной для клиентов.
Ivanti — далеко не первая и не последняя компания, в которой происходит процесс пересмотра разработки так, чтобы сделать продукт безопаснее. Очевидно, что ранее защищенность решений не была основным приоритетом для этого разработчика. Проведенный в феврале быстрый анализ продукта Ivanti выявил использование устаревшего дистрибутива CentOS 6.4, не обновлявшегося с 2020 года, пакетов OpenSSL от 2017 года и Python 2.6.6 из 2010-го. Именно тогда было обнаружено, что встроенная система проверки целостности на самом деле не проверяет большое количество директорий, где злоумышленники теоретически могут спрятать вредоносный код. Перейти из этого состояния в искомый secure-by-design будет нелегко, но направление, конечно же, выбрано этим вендором правильное.
Что еще произошло
Две уязвимости нулевого дня обнаружены и закрыты свежим патчем в смартфонах Google Pixel.
Свежая публикация исследователей «Лаборатории Касперского» анализирует развитие программного обеспечения для нелегальной слежки, так называемого stalkerware.
Свежая уязвимость обнаружена в NAS-устройствах D-Link. Комбинация из дефолтного пароля и способа выполнения произвольного кода на момент публикации отчета наблюдалась в 92 тысячах устройств по всему миру. Что еще печальнее, патча для этой проблемы не будет, так как подверженные устройства более не поддерживаются производителем, он рекомендует заменить их на что-нибудь посвежее.
Интересный пример простейшей уязвимости в системе, которая обеспечивает электронный чек-ин в отелях группы Ibis. Для гостей есть возможность получить доступ в номер через терминал на входе, где нужно ввести код бронирования. Если ввести вместо кода несколько дефисов подряд, терминал показывает список текущих бронирований, причем для каждого из них выводится код для открытия двери.
Свежее исследование американских и китайских ученых показывает, как можно реконструировать картинку с камеры видеонаблюдения путем анализа ее электромагнитного излучения.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.