SBOM en action : Firmware Ivanti Pulse
Ingénierie
Ivanti — l'entreprise derrière les produits Connect Secure VPN — traverse une crise.
Ivanti Pulse est récemment devenu une obsession pour les attaquants et les chercheurs.
Cela a conduit les chercheurs d'Eclypsium à analyser la composition de son firmware.
Mauvaises nouvelles
Et cela n'avait pas l'air bon. La recherche suggère que le firmware est construit sur une version du noyau Linux qui a pris fin en 2016, ainsi que sur des versions de paquets aussi anciennes que 23 ans.
L'âge des composants à lui seul n'est pas nécessairement un risque sûr.
Cependant, lorsqu'il est combiné à un manque de transparence, cela donne l'impression d'une organisation priorisant le faible coût de construction au détriment des pratiques de sécurité efficaces.
Sans incitations à promouvoir une telle transparence, de nombreuses organisations auront des difficultés avec des préoccupations de sécurité et de réputation simultanément.
Bonne nouvelle
La bonne nouvelle est que la transparence logicielle avec SBOM aide.
Le SBOM permet aux clients de voir à travers de telles pratiques et incite à une prise de décision consciente en matière de sécurité.
Si Ivanti publiait ou partageait SBOM de manière privée, l'analyser pour les vulnérabilités et le niveau de support des composants serait trivial.
Chez Interlynk, il nous a fallu moins de deux minutes pour construire le SBOM d'Ivanti à partir de zéro en nous basant sur la recherche publiée (concentrez-vous uniquement sur les composants outrageusement obsolètes).
Le scan de vulnérabilités d'Interlynk a instantanément montré 35 vulnérabilités Critiques, 798 élevées, et 1099 Moyennes.
Cela pourrait être le premier ensemble de questions des clients.
Nous sommes ensuite passés à l'onglet Support pour trouver les détails correspondant aux constatations des chercheurs d'Eclypsium.
Cela constituerait les questions de suivi pour Ivanti.
Interlynk croit que la transparence logicielle crée l'incitation appropriée pour équilibrer le coût de production et la sécurité. Et avec les intégrations de pointe en place, analyser le SBOM avec Interlynk est aussi trivial que de glisser et déposer. Nous espérons qu'une telle transparence fera économiser aux éditeurs de logiciels et aux consommateurs de nombreux coûts de maintenance en aval et de réputation, et empêchera les équipes informatiques de subir des crises évitables.