Bakdörr i Pulse Secure når 119 organisationer via Ivantis nätverksport

I början av 2024 uppmanade USA:s myndighet för informationssäkerhet, CISA, federala myndigheter att koppla bort Ivantis nätverkstunnlar inom två dygn. Skälet var att sårbarheter utnyttjades aktivt, samtidigt som de ännu var okända för leverantören. Nu tillkommer, enligt Bloomberg (återgivet av TechCrunch), en tidigare och bredare episod: en bakdörr som planterats i Pulse Secures programvara för nätverkstunnlar – som senare hamnade hos Ivanti – ska ha använts för att nå ytterligare 119 organisationer, däribland europeiska och amerikanska militära underleverantörer, enligt personer med insyn i händelsen.

Detaljerna är viktiga därför att sådana utrustningar sitter längst ut vid företagsnätens gräns och av konstruktion har särskilt långtgående behörigheter. De säljs som en förenkling – en låda, en leverantör, ett supportavtal – men samma standardisering gör ett intrång skalbart. En angripare som hittar en pålitlig väg genom en brett spridd port behöver inte bryta sig in i tusen företag; det räcker att kompromettera en produktlinje och låta effekten multipliceras. Logiken är densamma som för e-postservrar eller identitetstjänster, men nätverkstunnlar hamnar ofta i skymundan internt: de betraktas som rörmokeri, sköts av en liten grupp och uppdateras först när någon vågar planera in driftstopp.

Bloombergs uppgifter, som TechCrunch sammanfattar, kopplar också säkerhetsproblemen till ägarbyte och bemanning. Efter att Clearlake Capital köpte Ivanti 2017 ska omgångar av kostnadsnedskärningar – särskilt 2022 – enligt uppgift ha slagit ut personal med djup produkt- och säkerhetskunskap. Det mönstret är välbekant i affärsprogramvara: intäkterna kommer från förnyelser och tillägg, medan den kostnadspost som enklast skärs ned är det otacksamma arbetet med kodunderhåll, säkra utvecklingsrutiner och långvariga återtestningar.

Följdverkningarna syns i kedjan av rättningar och kontroll. När en leverantör av nätverkstunnlar levererar en åtgärd måste kunderna ändå prova den mot sina egna autentiseringsupplägg, regler för delad trafik, klientprogram och äldre tillämpningar. Fördröjningen är inte bara driftsfriktion; den är tid som angripare kan köpa i storpack. Samtidigt förväntas försvarssidan lita på att utrustningen gör vad den påstår – men själva poängen med produkten är att den sitter på en plats där oberoende övervakning är svår.

Ivanti är inte ensamt. TechCrunch pekar på liknande granskning av Citrix efter stora personalneddragningar i spåren av ett uppköp 2022 av Elliott Investment Management och Vista Equity Partners. Marknaden för verktyg för åtkomst vid nätets ytterkant har blivit en tävling i att sälja ”säker distansarbete” som en förvaltad produkt, medan kostnaden för ett intrång – incidenthantering, driftstopp och anseendeskada – i huvudsak hamnar hos kunden.

CISA:s order om bortkoppling inom 48 timmar var ett trubbigt verktyg, men den speglade en lika trubbig verklighet: när nätets ytterkant läggs ut på entreprenad blir haveriet delat. I 2024 års fall var den snabbaste riskminskningen inte en rättning – det var att dra ur kontakten.