Jag tror att jag har sett det här förut - The Ivanti Déjà vu
Problemet är egentligen inte Ivanti
Om du googlar "it's always you three ivanti meme" idag är oddsen goda att du kommer att hitta något som tyder på att det verkliga problemet här inte bara är Ivanti. Men att lägga till några andra leverantörer är fortfarande inte tillräckligt för att faktiskt identifiera vad vi verkligen har att göra med här. Det vi kan lära oss här är att det finns ett mycket mer grundläggande problem att diskutera som går utöver att ta itu med några få zero-days hos några specifika leverantörer. Och det har funnits där i flera år, och det har varit känt och flaggats lika länge.
Låt oss ta en titt på vad Ivanti-fallet säger oss i ett bredare perspektiv. Var vi har sett allt detta förut, och varför vi sannolikt kommer att se det igen i framtiden, som en onödig uppföljare till en film som redan var dålig från början.
Vatten är vått, en timme har 60 minuter och programvara har sårbarheter
Det är en självklarhet att programvara helt enkelt inte kan utvecklas utan brister. Det inkluderar buggar i vanliga bibliotek, enkla programmeringsfel och tyvärr även säkerhetsproblem. Dussintals av dessa sårbarheter upptäcks och publiceras varje dag och forskarna fokuserar naturligtvis främst på de vanligaste teknikerna.
Låt oss till exempel ta en titt på Microsoft. Vår CERT utfärdar flera hundra råd (så kallade "Signals") varje år, inklusive varningar om sårbarheter och hot. MS sårbarheter nämns överlägset mest i jämförelse med alla andra leverantörer (30 omnämnanden, jämfört med 6 för nästa leverantör) och vi har sett detta konsekvent under de senaste åren. I vår sårbarhetsskanning är 52,1% av de "kritiska" och 62,3% av de "höga" fynden relaterade till Windows 10. Det är viktigt att påpeka att detta inte betyder att Microsoft är en osäker leverantör eller att Windows 10 är ett osäkert system. Det betyder främst att de är vanligt förekommande och därmed i fokus för en hel del forskning [källa: Security Navigator 2024]. Naturligtvis gäller detta säkerhetsverktyg som Ivanti precis lika mycket som alla andra programvaror.
Research cascade
Stora varumärken som Microsoft kommer alltid att ligga högt, men 2020 observerade vi med nyfikenhet den plötsliga förekomsten av flera ledande leverantörer av säkerhetsprodukter på den mycket korta listan över teknikleverantörer som förekom flera gånger i våra signaler det året.
Vi noterade en distinkt "uppgång" som inträffade i maj det året, då ett ovanligt stort antal sårbarheter rapporterades i dessa säkerhetstekniker. Faktum är att det skedde en fyrfaldig ökning av antalet sårbarheter som rapporterades i utvalda säkerhetstekniker mellan mars och maj 2020.
I diagrammet nedan har vi tagit fram vad som skulle kunna beskrivas som en "research cascade", som visar hur relaterade CVE:er har undersökts, vilket ledde till mer forskning och därefter till upptäckten av fler CVE:er i liknande produktfamiljer [källa: Security Navigator 2021].
- May 08, 2019: CVE-2019-11510
Orange Tsai & Meh Chang discovered a critical vulnerability affecting Pulse Connect Secure which would allow arbitrary file reading due to permission issues. - Aug 23, 2019: CVE-2019-1580/1
Nicholas Newsom discovered a critical memory corruption vulnerability affecting PAN-OS SSHD. The UK’s NCSC reported an RCE vulnerability in the PAN-OS SSH device management interface. - Aug 23, 2019: CVE-2019-6695
Also due to improper input validation another critical vulnerability was reported in Fortinet FortiManager by an independent research team. - Dec 27, 2019: CVE-2019-19781
A directory traversal vulnerability in Citrix Application Delivery Controller & Citrix Gateway which could lead to arbitrary code execution was discovered by Mikhail Klyuchnikov, Gianlorenzo Cipparrone and Miguel Gonzalez. - Apr 30, 2020: CVE-2020-5884/5/6/7
4 critical vulnerabilities were disclosed affecting various F5 BIG-IP products. 3 were caused by an issue with Inadequate Encryption Strength with the fourth being reported as an Exposure of Resource to Wrong Sphere. - May 04,2020: CVE-2020-1631
A critical vulnerability in the HTTP/HTTPS service of Juniper Junos OS was discovered by Liang Bian and Leishen - May 06, 2020: CVE-2020-3125
Four researchers were credited with the discovery of a vulnerability in the Kerberos authentication feature of Cisco Adaptive Security Appliance (ASA) Software. The flaw was due to improper authentication bypassing Kerberos. - May 06, 2020: CVE-2020-3187
Mikhail Klyuchnikov again found another critical directory traversal vulnerability affecting Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software. - May 13, 2020: CVE-2020-2001/18
Ben Nott is credited with finding two vulnerabilities affecting Palo Alto Networks PAN-OS Panorama. The first is a critical flaw that could allow an unauthenticated attacker to elevate privileges. The second could allow an attacker with access to the management interface to gain privileged access - Jun 29, 2020: CVE-2020-2021
Another vulnerability affecting Palo Alto Networks PAN-OS was reported by Cameron Duck & Salman Khan. This flaw could enable an unauthenticated attacker to access protected resources. - Jul 01, 2020: CVE-2020-5902
Mikhail Klyuchnikov was again credited with a vulnerability disclosure, this time impacting various F5 BIG-IP products. The critical flaw could allow an attacker to execute arbitrary commands and ultimately lead to complete system compromise. - Jul 30, 2020: CVE-2020-8206
A high severity vulnerability affecting Pulse Connect Secure was disclosed as part of a security advisory. Orange Tsai & Meh Chang, who disclosed CVE-2019-11510 in May 2019, were again listed. The flaw was an improper authentication vulnerability which could allow an attacker to bypass Google TOTP (Time-based One Time Password).
Some of the vendors mentioned might appear familiar. We believe this extraordinary surge in security product vulnerabilities was the function of three factors:
- The notable 'success' of Pulse Vulnerability, CVE-2019-11510, from May 2019, which had been exploited in several high-profile attacks.
- The rapid and sometimes reckless adoption or expansion of secure remote access capabilities to accommodate remote workers during the COVID lockdowns, which made these technologies a very attractive target.
- A cascade effect in which the discovery of one vulnerability created knowledge, experience and ideas, and thus led to the discovery of different vulnerabilities in the same product, or similar vulnerabilities in different products.
It is important to note that, when properly dealt with, responsibly disclosed vulnerabilities are beneficial to a system’s security. They help vendors patch and defenders to avoid gaps with early countermeasures. What this is perfectly demonstrating is that the discovery of a vulnerability triggers more research which commonly leads to the discovery of yet more vulnerabilities. No surprise that we have seen something very similar in the past few weeks.
Du är sårbar och du vet det: Att hantera sårbarheter i säkerhetsverktyg
I juli 2021 sammanställde US Cyber security and Infrastructure Security Agency (CISA) ett råd med information om de 30 största sårbarheterna som rutinmässigt utnyttjats av skadliga cyberaktörer under 2020 och 2021 [källa]. CISA anser att de listade sårbarheterna är de CVE:er som har utnyttjats mest regelbundet av cyberaktörer sedan 2020. Av de nio programvaruföretag som finns med på listan skulle fem kategoriseras som leverantörer av säkerhetstjänster eller "secure remote access". Det är 55 procent.
Table: topmost regularly exploited CVEs by cyber actors during 2020 according to CISA, ACSC, NCSC and FBI [source]
| Vendor | CVE | Type |
|---|---|---|
| Citrix | CVE-2019-19781 | arbitrary code execution |
| Pulse Secure | CVE 2019-11510 | arbitrary file reading |
| Fortinet | CVE 2018-13379 | path traversal |
| F5- Big IP | CVE 2020-5902 | remote code execution |
| MobileIron | CVE 2020-15505 | remote code execution |
| Microsoft | CVE-2017-11882 | remote code execution |
| Atlassian | CVE-2019-11580 | remote code execution |
| Drupal | CVE-2018-7600 | remote code execution |
| Telerik | CVE 2019-18935 | remote code execution |
| Microsoft | CVE-2019-0604 | remote code execution |
| Microsoft | CVE-2020-0787 | elevation of privilege |
| Microsoft | CVE-2020-1472 | elevation of privilege |
Denna dramatiska datapunkt korrelerar med våra intryck, data och rapportering om denna fråga under de senaste åren. Vi vill återigen understryka att detta inte är ett påstående om att dessa leverantörer tillverkar mindre säkra produkter.
Snarare är denna förhöjda aktivitetsnivå som involverar dessa produkter en funktion av tre faktorer:
- Dessa tekniker är placerade i utkanten av företagsnätverket - anslutna till nätverkets insida samtidigt som de utgör en attackyta mot internet - och är därmed ett naturligt mål för angripare.
- Betydelsen av dessa tekniker ökade dramatiskt på grund av den ökade graden av distansarbete. Detta uppmärksammades av forskare, vars upptäckter i sin tur ledde till ytterligare forskning och vapenanvändning.
- Teknikens kritiska roll i den nya "distansarbetsverkligheten", i kombination med ytterligare utmaningar som uppstår på grund av de komplexa relationerna mellan företag, leverantörer och tjänsteleverantörer, har ironiskt nog inneburit att tekniken inte patchar regelbundet och effektivt.
Elefanten i rummet: Patchy patch procedures
I vår Security Navigator från 2022 tittade vi närmare på problemet med att hantera sårbarheter i säkerhetsprodukter. Som diagrammet nedan visar hade den totala volymen av sårbarheter i säkerhetsprodukter till och med minskat under en period. Man skulle kunna tro att detta hade lett till en möjlighet att ta ett andetag och slappna av, men man skulle faktiskt ha fel.
Med över 50 råd från 9 leverantörer i augusti samma år var det en betydande ansträngning att upprätthålla lämpliga patchnivåer eller mildra effekterna av dessa tekniker. [källa: Security Navigator 2022]
På Orange Cyberdefense anser vi att denna situation måste förbättras, och vi föreslog då (och föreslår fortfarande) att ett samtal snarast bör föras med olika leverantörer av säkerhetsprodukter om utmaningen att hantera sårbarheter i produkter som brandväggar och VPN.
Detta är de slutsatser vi drar:
- Angripare riktar in sig på säkerhetsprodukter: Flera datapunkter och anekdoter tyder på att säkerhetsteknik i hög grad är i skottgluggen för kriminella och statsstödda hackergrupper. Forskningen om sårbarheter i säkerhetsteknik går allt snabbare, och sådana sårbarheter används i en alarmerande takt för att åstadkomma allvarliga kompromisser.
- Effektiv sårbarhets- och patchhantering är av avgörande betydelse: Med tanke på den nya verkligheten är det viktigare än någonsin att organisationer snabbt kan få information om nya sårbarheter, korrigeringar och lösningar, enkelt identifiera berörd utrustning samt tillämpa åtgärder och bekräfta deras effektivitet med minimal friktion.
- Många kunder hanterar olika fastigheter, vilket MSSP:er nästan alltid gör: Utmaningen med sårbarhets- och patchhantering förvärras av att man måste hantera olika leverantörer och verktyg. Det är till exempel vanligt med olika uppsättningar brandväggar. Detta gäller i ännu högre grad för Managed Service Providers som oss, som ofta och snabbt måste underhålla olika tekniker, i olika versioner och konfigurationer, hos sina kunder. Underlåtenhet att göra detta, särskilt när det gäller teknik för internet och perimeter, kan få allvarliga konsekvenser.
- De nuvarande processerna är kaotiska och ineffektiva: Direkt återkoppling från våra Security Operations Centers, med stöd av data som vi har samlat in om frågan, tyder på att det finns mycket som kan göras för att förbättra sårbarhetshanteringen inom säkerhetsteknik.
Utmaningar som identifierats av våra SOCs inkluderar:- Varje leverantör har sitt eget format och sin egen distributionsprocess - RSS, e-post, webbsida eller autentiserad webbportal. Automatisering är därför näst intill omöjligt.
- Klassificering, bedömning och prioritering av sårbarheter varierar mellan olika leverantörer.
- Sårbarheter och tidpunkter för offentliggörande varierar mellan olika leverantörer, vilket gör att SOC inte har någon möjlighet att planera eller strukturera sina insatser.
- Det är en utmaning att kartlägga sårbarheter och korrigeringar i de lager som hanteras, för att kunna garantera att alla potentiellt påverkade system har skyddats på lämpligt sätt.
- Licenser och serviceavgifter är ett problem. Patchar och säkerhetsuppgraderingar måste ofta betalas för, vilket skapar intressekonflikter och fördröjningar.
- Det är ofta svårt att beskriva hotet och den potentiella påverkan i samband med en riskreducering, vilket leder till att kunderna skjuter upp nödvändiga åtgärder eller på ett olämpligt sätt accepterar risker som går att undvika.
- Vi borde lösa dessa problem, inte skapa dem: Som en stor leverantör av produkter och tjänster anser vi att vi har en skyldighet att arbeta med våra leverantörspartners för att förbättra situationen för oss själva och våra kunder. Det är ett moraliskt och kommersiellt imperativ för oss som bransch att visa ledarskap och i grunden bidra till ett säkrare digitalt samhälle.
Vad kan vi göra bättre?
Helt enkelt: det här handlar inte om Ivanti. Att gå över till ett annat verktyg nu är bara att ersätta en enda felkälla med ytterligare en enda felkälla. Den verkliga frågan är att undvika att ha bara en enda felkälla över huvud taget och i stället skapa cybersäkerhet i flera lager.
Den andra viktiga punkten att notera är att vi måste förbättra vårt sätt att hantera sårbarheter i säkerhetsverktyg. Med tanke på argumenten ovan anser vi att en branschövergripande diskussion måste föras för att avgöra om problemet är så verkligt som vi uppfattar det, identifiera befintliga insatser som redan kan vara på gång för att ta itu med problemet eller skapa någon form av partnerskap för att arbeta mot en bättre situation för oss själva och våra kunder.
Mer specifikt: kan vi som bransch komma överens om standarder och normer för sårbarhetsrådgivning?
Kan vi förbättra vår förmåga att tekniskt undersöka en produkt så att den kan matchas med ett råd?
Läs mer:
40 days of mayhem - Summarising the Ivanti Connect Secure Vulnerability - details, discovery, detection and remediation
40 days of mayhem - Summarising the Ivanti Connect Secure Vulnerability - details, discovery, detection and remediation
29th of Feb
Ivanti Connect Secure
7 February 2024
Ivanti 0-days alert: Threat level 5/5
17 January 2024
Direktaccess till internet och/eller VPN-koppling mot företaget?
24 April 2020