Ivanti Pulse Secureのファームウェアに関するリバースエンジニアリングの結果、同社の製品が11年前のLinuxバージョン(CentOS 6.4)および古いライブラリを使用していることが明らかになりました。このLinuxバージョンは2020年11月以降サポートされていません。この発見は、ソフトウェアサプライチェーンのセキュリティ確保がいかに困難であるかを再び浮き彫りにしています。
セキュリティ企業Eclypsiumは、Ivanti Connect Secure、Policy Secure、およびZTAゲートウェイにおける複数のセキュリティ脆弱性が悪用され、マルウェア、ウェブシェル、スティーラー、バックドアなどが配信されていることを指摘しています。特に活発に悪用されている脆弱性にはCVE-2023-46805、CVE-2024-21887、CVE-2024-21893が含まれます。さらに、Ivantiは別のバグ(CVE-2024-22024)も公表しており、これにより脅威アクターが認証なしで制限されたリソースにアクセスできる可能性があります。
Eclypsiumは、CVE-2024-21893のPoCエクスプロイトを利用してPSA3000アプライアンスにリバースシェルを取得し、EMBAファームウェアセキュリティアナライザーを使用してデバイスイメージの分析を行いました。この分析により、古いパッケージや973の脆弱性を持つライブラリが多数存在することが確認されました。これらのライブラリのうち111は公に知られたエクスプロイトが存在します。例えば、Perlは23年前のバージョン5.6.1で更新が停止しており、Linuxカーネルバージョン2.6.32は2016年3月にサポート終了(EoL)となっています。
さらに、ファームウェアの深い調査により、76のシェルスクリプトに1,216の問題、5,392のPythonファイルに5,218の脆弱性が見つかりました。また、133の古い証明書も発見されました。Eclypsiumは、Ivantiが顧客に使用を推奨しているIntegrity Checker Tool (ICT)のロジックに「セキュリティホール」があることも指摘しています。具体的には、このスクリプトは/data、/etc、/tmp、/varなどの複数のディレクトリをスキャンから除外しており、攻撃者がこれらのパスに永続的なインプラントを配置しても、整合性チェックをパスする可能性があります。
Eclypsiumは、デジタルサプライチェーン、すなわち製品に使用されるハードウェア、ファームウェア、ソフトウェアコンポーネントの整合性とセキュリティを検証するために、顧客と第三者がチェックとバランスのシステムを持つ必要があると述べています。また、ベンダーが情報を共有せず、閉じたシステムを運用する場合、検証が困難になり、システムへの可視性が低下するため、攻撃者がこの状況を利用して悪用する可能性があると警告しています。
【ニュース解説】
Ivanti Pulse Secureのファームウェアが、11年前のLinuxバージョン(CentOS 6.4)および古いライブラリを使用していることが、セキュリティ企業Eclypsiumによるリバースエンジニアリングで明らかになりました。この古いソフトウェアは、2020年11月以降サポートされておらず、セキュリティ上のリスクを高めています。この問題は、ソフトウェアサプライチェーンのセキュリティを確保する上での課題を浮き彫りにしています。
Eclypsiumの分析では、Ivanti Connect Secure製品に含まれる古いパッケージやライブラリが、973の脆弱性にさらされていることが判明しました。これらの脆弱性のうち111は、公に知られたエクスプロイトが存在します。さらに、ファームウェアの深い調査により、シェルスクリプトやPythonファイルにも多数の問題が見つかりました。
このような古いソフトウェアの使用は、攻撃者による悪用のリスクを高めるだけでなく、企業が自社のデジタル資産を適切に管理し、保護することの重要性を示しています。特に、サプライチェーンを通じて提供されるソフトウェアやファームウェアのセキュリティを確保することは、企業にとって重要な課題となっています。
この問題に対処するためには、ベンダーと顧客の間で透明性を高め、製品のセキュリティ状態を定期的に検証することが重要です。また、ソフトウェアビル・オブ・マテリアルズ(SBOM)のようなツールを活用し、製品に含まれるソフトウェアコンポーネントのリストを提供することで、セキュリティリスクの特定と対策が容易になります。
このニュースは、ソフトウェアとファームウェアのセキュリティが、単に最新の脅威に対処するだけでなく、長期的な視点での管理と更新が必要であることを示しています。企業は、製品のセキュリティを維持するために、古いソフトウェアの更新や脆弱性の修正に積極的に取り組む必要があります。また、サプライチェーン全体のセキュリティを確保するために、ベンダーと顧客が協力し、情報を共有することが不可欠です。
from Ivanti Pulse Secure Found Using 11-Year-Old Linux Version and Outdated Libraries.
“古いLinux使用でセキュリティ危機、Ivanti製品の脆弱性が露呈” への1件のコメント
このような技術の進歩が著しい時代において、11年前のLinuxバージョンや古いライブラリを使用しているというのは、正直驚きました。特にセキュリティ関連の製品である以上、最新のセキュリティ対策を施すことは当然だと私は考えています。これは、単に一社の問題ではなく、多くの企業が直面しているであろうソフトウェアサプライチェーンのセキュリティの問題を象徴しているように感じます。
長年勤めた会社でも、時代に合わせてシステムの更新やセキュリティ対策の強化が求められました。しかし、実際には更新作業には莫大なコストや時間がかかるため、後回しにされがちです。だからといって、セキュリティリスクを放置するわけにはいきません。攻撃者は常に新しい手法を見つけ出しており、古いシステムは狙われやすいのですから。
特に指摘されているセキュリティ脆弱性が悪用される事例があるというのは、非常に憂慮すべき状況です。企業は顧客の信頼を得るためにも、セキュリティを最優先事項として取り組むべきです。透明性のある情報共有や、顧客と協力して製品のセキュリティ状態を定期的に検証することが重要だと思います。また