Jag tror att jag har sett det här förut - The Ivanti Déjà vu

Om du googlar "it's always you three ivanti meme" idag är oddsen goda att du kommer att hitta något som tyder på att det verkliga problemet här inte bara är Ivanti. Men att lägga till några andra leverantörer är fortfarande inte tillräckligt för att faktiskt identifiera vad vi verkligen har att göra med här. Det vi kan lära oss här är att det finns ett mycket mer grundläggande problem att diskutera som går utöver att ta itu med några få zero-days hos några specifika leverantörer. Och det har funnits där i flera år, och det har varit känt och flaggats lika länge.

Låt oss ta en titt på vad Ivanti-fallet säger oss i ett bredare perspektiv. Var vi har sett allt detta förut, och varför vi  sannolikt kommer att se det igen i framtiden, som en onödig uppföljare till en film som redan var dålig från början.

Det är en självklarhet att programvara helt enkelt inte kan utvecklas utan brister. Det inkluderar buggar i vanliga bibliotek, enkla programmeringsfel och tyvärr även säkerhetsproblem. Dussintals av dessa sårbarheter upptäcks och publiceras varje dag och forskarna fokuserar naturligtvis främst på de vanligaste teknikerna.

Låt oss till exempel ta en titt på Microsoft. Vår CERT utfärdar flera hundra råd (så kallade "Signals") varje år, inklusive varningar om sårbarheter och hot. MS sårbarheter nämns överlägset mest i jämförelse med alla andra leverantörer (30 omnämnanden, jämfört med 6 för nästa leverantör) och vi har sett detta konsekvent under de senaste åren. I vår sårbarhetsskanning är 52,1% av de "kritiska" och 62,3% av de "höga" fynden relaterade till Windows 10. Det är viktigt att påpeka att detta inte betyder att Microsoft är en osäker leverantör eller att Windows 10 är ett osäkert system. Det betyder främst att de är vanligt förekommande och därmed i fokus för en hel del forskning [källa: Security Navigator 2024]. Naturligtvis gäller detta säkerhetsverktyg som Ivanti precis lika mycket som alla andra programvaror.

Stora varumärken som Microsoft kommer alltid att ligga högt, men 2020 observerade vi med nyfikenhet den plötsliga förekomsten av flera ledande leverantörer av säkerhetsprodukter på den mycket korta listan över teknikleverantörer som förekom flera gånger i våra signaler det året.

Vi noterade en distinkt "uppgång" som inträffade i maj det året, då ett ovanligt stort antal sårbarheter rapporterades i dessa säkerhetstekniker. Faktum är att det skedde en fyrfaldig ökning av antalet sårbarheter som rapporterades i utvalda säkerhetstekniker mellan mars och maj 2020.

I diagrammet nedan har vi tagit fram vad som skulle kunna beskrivas som en "research cascade", som visar hur relaterade CVE:er har undersökts, vilket ledde till mer forskning och därefter till upptäckten av fler CVE:er i liknande produktfamiljer [källa: Security Navigator 2021].

Some of the vendors mentioned might appear familiar. We believe this extraordinary surge in security product vulnerabilities was the function of three factors:

• The notable 'success' of Pulse Vulnerability, CVE-2019-11510, from May 2019, which had been exploited in several high-profile attacks.
• The rapid and sometimes reckless adoption or expansion of secure remote access capabilities to accommodate remote workers during the COVID lockdowns, which made these technologies a very attractive target.
• A cascade effect in which the discovery of one vulnerability created knowledge, experience and ideas, and thus led to the discovery of different vulnerabilities in the same product, or similar vulnerabilities in different products.

It is important to note that, when properly dealt with, responsibly disclosed vulnerabilities are beneficial to a system’s security. They help vendors patch and defenders to avoid gaps with early countermeasures. What this is perfectly demonstrating is that the discovery of a vulnerability triggers more research which commonly leads to the discovery of yet more vulnerabilities. No surprise that we have seen something very similar in the past few weeks.

I juli 2021 sammanställde US Cyber security and Infrastructure Security Agency (CISA) ett råd med information om de 30 största sårbarheterna som rutinmässigt utnyttjats av skadliga cyberaktörer under 2020 och 2021 [källa]. CISA anser att de listade sårbarheterna är de CVE:er som har utnyttjats mest regelbundet av cyberaktörer sedan 2020. Av de nio programvaruföretag som finns med på listan skulle fem kategoriseras som leverantörer av säkerhetstjänster eller "secure remote access". Det är 55 procent. 

Table: topmost regularly exploited CVEs by cyber actors during 2020 according to CISA, ACSC, NCSC and FBI [source]

Denna dramatiska datapunkt korrelerar med våra intryck, data och rapportering om denna fråga under de senaste åren. Vi vill återigen understryka att detta inte är ett påstående om att dessa leverantörer tillverkar mindre säkra produkter.

Snarare är denna förhöjda aktivitetsnivå som involverar dessa produkter en funktion av tre faktorer:

1. Dessa tekniker är placerade i utkanten av företagsnätverket - anslutna till nätverkets insida samtidigt som de utgör en attackyta mot internet - och är därmed ett naturligt mål för angripare.
2. Betydelsen av dessa tekniker ökade dramatiskt på grund av den ökade graden av distansarbete. Detta uppmärksammades av forskare, vars upptäckter i sin tur ledde till ytterligare forskning och vapenanvändning.
3. Teknikens kritiska roll i den nya "distansarbetsverkligheten", i kombination med ytterligare utmaningar som uppstår på grund av de komplexa relationerna mellan företag, leverantörer och tjänsteleverantörer, har ironiskt nog inneburit att tekniken inte patchar regelbundet och effektivt. 

I vår Security Navigator från 2022 tittade vi närmare på problemet med att hantera sårbarheter i säkerhetsprodukter. Som diagrammet nedan visar hade den totala volymen av sårbarheter i säkerhetsprodukter till och med minskat under en period. Man skulle kunna tro att detta hade lett till en möjlighet att ta ett andetag och slappna av, men man skulle faktiskt ha fel.

Med över 50 råd från 9 leverantörer i augusti samma år var det en betydande ansträngning att upprätthålla lämpliga patchnivåer eller mildra effekterna av dessa tekniker. [källa: Security Navigator 2022]

På Orange Cyberdefense anser vi att denna situation måste förbättras, och vi föreslog då (och föreslår fortfarande) att ett samtal snarast bör föras med olika leverantörer av säkerhetsprodukter om utmaningen att hantera sårbarheter i produkter som brandväggar och VPN.

Detta är de slutsatser vi drar:

1. Angripare riktar in sig på säkerhetsprodukter: Flera datapunkter och anekdoter tyder på att säkerhetsteknik i hög grad är i skottgluggen för kriminella och statsstödda hackergrupper. Forskningen om sårbarheter i säkerhetsteknik går allt snabbare, och sådana sårbarheter används i en alarmerande takt för att åstadkomma allvarliga kompromisser.
2. Effektiv sårbarhets- och patchhantering är av avgörande betydelse: Med tanke på den nya verkligheten är det viktigare än någonsin att organisationer snabbt kan få information om nya sårbarheter, korrigeringar och lösningar, enkelt identifiera berörd utrustning samt tillämpa åtgärder och bekräfta deras effektivitet med minimal friktion.
3. Många kunder hanterar olika fastigheter, vilket MSSP:er nästan alltid gör: Utmaningen med sårbarhets- och patchhantering förvärras av att man måste hantera olika leverantörer och verktyg. Det är till exempel vanligt med olika uppsättningar brandväggar. Detta gäller i ännu högre grad för Managed Service Providers som oss, som ofta och snabbt måste underhålla olika tekniker, i olika versioner och konfigurationer, hos sina kunder. Underlåtenhet att göra detta, särskilt när det gäller teknik för internet och perimeter, kan få allvarliga konsekvenser.
4. De nuvarande processerna är kaotiska och ineffektiva: Direkt återkoppling från våra Security Operations Centers, med stöd av data som vi har samlat in om frågan, tyder på att det finns mycket som kan göras för att förbättra sårbarhetshanteringen inom säkerhetsteknik.
   Utmaningar som identifierats av våra SOCs inkluderar:
   • Varje leverantör har sitt eget format och sin egen distributionsprocess - RSS, e-post, webbsida eller autentiserad webbportal. Automatisering är därför näst intill omöjligt.
   • Klassificering, bedömning och prioritering av sårbarheter varierar mellan olika leverantörer.
   • Sårbarheter och tidpunkter för offentliggörande varierar mellan olika leverantörer, vilket gör att SOC inte har någon möjlighet att planera eller strukturera sina insatser.
   • Det är en utmaning att kartlägga sårbarheter och korrigeringar i de lager som hanteras, för att kunna garantera att alla potentiellt påverkade system har skyddats på lämpligt sätt.
   • Licenser och serviceavgifter är ett problem. Patchar och säkerhetsuppgraderingar måste ofta betalas för, vilket skapar intressekonflikter och fördröjningar.
   • Det är ofta svårt att beskriva hotet och den potentiella påverkan i samband med en riskreducering, vilket leder till att kunderna skjuter upp nödvändiga åtgärder eller på ett olämpligt sätt accepterar risker som går att undvika.
5. Vi borde lösa dessa problem, inte skapa dem: Som en stor leverantör av produkter och tjänster anser vi att vi har en skyldighet att arbeta med våra leverantörspartners för att förbättra situationen för oss själva och våra kunder. Det är ett moraliskt och kommersiellt imperativ för oss som bransch att visa ledarskap och i grunden bidra till ett säkrare digitalt samhälle.

Helt enkelt: det här handlar inte om Ivanti. Att gå över till ett annat verktyg nu är bara att ersätta en enda felkälla med ytterligare en enda felkälla. Den verkliga frågan är att undvika att ha bara en enda felkälla över huvud taget och i stället skapa cybersäkerhet i flera lager.

Den andra viktiga punkten att notera är att vi måste förbättra vårt sätt att hantera sårbarheter i säkerhetsverktyg. Med tanke på argumenten ovan anser vi att en branschövergripande diskussion måste föras för att avgöra om problemet är så verkligt som vi uppfattar det, identifiera befintliga insatser som redan kan vara på gång för att ta itu med problemet eller skapa någon form av partnerskap för att arbeta mot en bättre situation för oss själva och våra kunder.

Mer specifikt: kan vi som bransch komma överens om standarder och normer för sårbarhetsrådgivning?

Kan vi förbättra vår förmåga att tekniskt undersöka en produkt så att den kan matchas med ett råd?