ইভান্তি প্রতিশ্রুতি দেয় যে 4টি আরও ভলন প্রকাশের পরের দিন নিরাপত্তা ওভারহল

ইভান্তি প্রতিশ্রুতি দেয় যে 4টি আরও ভলন প্রকাশের পরের দিন নিরাপত্তা ওভারহল

সময় স্ট্যাম্প: 4 এপ্রিল, 2024 5:43 অপরাহ্ন
প্লাটোব্লকচেন ডেটা ইন্টেলিজেন্স প্রকাশের পর দিনই ইভান্তি নিরাপত্তা ওভারহল করার প্রতিশ্রুতি দিয়েছে। উল্লম্ব অনুসন্ধান. আ.

ইভান্তির সিইও জেফ অ্যাবট এই সপ্তাহে বলেছেন যে তার সংস্থাটি তার সুরক্ষা অনুশীলনগুলিকে সম্পূর্ণরূপে পুনর্গঠন করবে এমনকি বিক্রেতা তার দুর্বলতা-প্রবণ ইভান্তি কানেক্ট সিকিউর এবং পলিসি সিকিউর রিমোট অ্যাক্সেস পণ্যগুলিতে আরও একটি নতুন বাগ প্রকাশ করেছে৷

গ্রাহকদের কাছে একটি খোলা চিঠিতে, অ্যাবট জানুয়ারি থেকে বাগ প্রকাশের নিরলস বাধার পরে তার সুরক্ষা অপারেটিং মডেলকে রূপান্তর করতে আগামী মাসে কোম্পানিটি বেশ কয়েকটি পরিবর্তনের জন্য প্রতিশ্রুতিবদ্ধ। প্রতিশ্রুত সংশোধনগুলির মধ্যে রয়েছে ইভান্তির প্রকৌশল, নিরাপত্তা, এবং দুর্বলতা ব্যবস্থাপনা প্রক্রিয়াগুলির সম্পূর্ণ কাজ এবং পণ্য বিকাশের জন্য একটি নতুন সুরক্ষিত-বাই-ডিজাইন উদ্যোগের বাস্তবায়ন।

একটি পুঙ্খানুপুঙ্খ ওভারহল

"আমরা আমাদের গ্রাহকদের জন্য সর্বোচ্চ স্তরের সুরক্ষা নিশ্চিত করার জন্য আমাদের প্রক্রিয়াগুলির প্রতিটি পর্যায়ে এবং প্রতিটি পণ্যকে সমালোচনামূলকভাবে দেখার জন্য নিজেদের চ্যালেঞ্জ করেছি," অ্যাবট বলেছেন, তার বিবৃতিতে. "আমরা ইতিমধ্যেই আমাদের নিজস্ব প্রকৌশল এবং নিরাপত্তা অনুশীলনে অবিলম্বে উন্নতি করতে সাম্প্রতিক ঘটনাগুলি থেকে শেখার প্রয়োগ শুরু করেছি।"

কিছু নির্দিষ্ট পদক্ষেপের মধ্যে রয়েছে সফ্টওয়্যার বিকাশের জীবনচক্রের প্রতিটি পর্যায়ে নিরাপত্তা এম্বেড করা এবং সফ্টওয়্যার দুর্বলতার সম্ভাব্য প্রভাব কমাতে এর পণ্যগুলিতে নতুন বিচ্ছিন্নতা এবং শোষণবিরোধী বৈশিষ্ট্যগুলিকে একীভূত করা। সংস্থাটি তার অভ্যন্তরীণ দুর্বলতা আবিষ্কার এবং পরিচালনা প্রক্রিয়াকেও উন্নত করবে এবং তৃতীয় পক্ষের বাগ শিকারীদের জন্য প্রণোদনা বাড়াবে, অ্যাবট বলেছেন।

এছাড়াও, ইভান্তি দুর্বলতার তথ্য এবং সংশ্লিষ্ট ডকুমেন্টেশন খোঁজার জন্য গ্রাহকদের জন্য আরও সংস্থান তৈরি করবে এবং গ্রাহকদের সাথে আরও বেশি রূপান্তর এবং তথ্য ভাগ করে নেওয়ার জন্য প্রতিশ্রুতিবদ্ধ, তিনি যোগ করেছেন।

এই প্রতিশ্রুতি কতটা সাহায্য করবে কান্ড ক্রমবর্ধমান গ্রাহক বিরক্তি কোম্পানির সাম্প্রতিক নিরাপত্তা ট্র্যাক রেকর্ডের কারণে ইভান্তি অস্পষ্ট রয়ে গেছে। আসলে, ইভান্তি প্রকাশের একদিন পরে অ্যাবটের মন্তব্য এসেছিল এর কানেক্ট সিকিউর এবং পলিসি সিকিউরে চারটি নতুন বাগ গেটওয়ে প্রযুক্তি এবং তাদের প্রত্যেকের জন্য জারি প্যাচ.

প্রকাশ একটি অনুসরণ দুই সপ্তাহেরও কম আগে একই ধরনের ঘটনা যেটি আইটিএসএম পণ্যগুলির জন্য ইভান্তির স্বতন্ত্র সেন্ট্রি এবং নিউরনের দুটি বাগ জড়িত। ইভান্তি এখন পর্যন্ত মোট 11টি দুর্বলতা প্রকাশ করেছে — এই সপ্তাহে চারটি সহ — 1 জানুয়ারী থেকে তার প্রযুক্তিতে। তাদের মধ্যে অনেকগুলি গুরুতর ত্রুটি ছিল — কমপক্ষে দুটি ছিল শূন্য-দিনের — কোম্পানির রিমোট অ্যাক্সেস পণ্যগুলিতে, যা আক্রমণকারীরা , উন্নত ক্রমাগত হুমকি অভিনেতা সহ যেমন "চুম্বক গবলিন,”আছে ব্যাপক ফ্যাশনে শোষিত. এই ধরনের কিছু বাগ থেকে বড় ধরনের লঙ্ঘনের সম্ভাবনা নিয়ে উদ্বেগ জানুয়ারিতে ইউএস সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) কে নির্দেশ দেয় তাদের ইভান্তি সিস্টেম অফলাইনে নিন এবং সম্পূর্ণরূপে প্রতিকার না হওয়া পর্যন্ত ডিভাইসগুলি পুনরায় সংযোগ করবেন না।

নিরাপত্তা গবেষক এবং আইএএনএস রিসার্চ ফ্যাকাল্টি সদস্য জেক উইলিয়ামস বলেছেন যে দুর্বলতার প্রকাশগুলি ইভান্তির গ্রাহকদের কাছ থেকে গুরুতর প্রশ্ন তুলেছে। "আমার কথোপকথনের উপর ভিত্তি করে, বিশেষ করে ফরচুন 500 ক্লায়েন্টদের সাথে, আমি সত্যই মনে করি এটি খুব কম, খুব দেরি হয়েছে," তিনি বলেছেন। "জনসমক্ষে এই প্রতিশ্রুতি দেওয়ার সময় এক মাসেরও বেশি আগে ছিল।" কোন প্রশ্নই নেই যে ইভান্তি ভিপিএন অ্যাপ্লায়েন্সের (পূর্বে পালস) সমস্যাগুলি সিআইএসওগুলিকে ইভান্তির অন্যান্য অনেক পণ্যের সুরক্ষাকে প্রশ্নবিদ্ধ করছে, তিনি বলেছেন৷

একটি নতুন সেট 4 বাগ

এই সপ্তাহে ইভান্তি যে চারটি নতুন বাগ প্রকাশ করেছে তাতে কানেক্ট সিকিউর এবং পলিসি সিকিউর এর IPSec কম্পোনেন্টে দুটি হিপ ওভারফ্লো দুর্বলতা অন্তর্ভুক্ত রয়েছে, উভয়ই কোম্পানি গ্রাহকদের জন্য উচ্চ-তীব্র ঝুঁকি হিসেবে চিহ্নিত করেছে। একটি দুর্বলতা, CVE-2024-21894 হিসাবে ট্র্যাক করা, অপ্রমাণিত আক্রমণকারীদের প্রভাবিত সিস্টেমে নির্বিচারে কোড চালানোর একটি উপায় দেয়। অন্যটি, CVE-2024-22053 হিসাবে নির্ধারিত, একটি অননুমোদিত দূরবর্তী আক্রমণকারীকে নির্দিষ্ট শর্তে সিস্টেম মেমরি থেকে বিষয়বস্তু পড়ার অনুমতি দেয়। ইভান্তি উভয় দুর্বলতাকে আক্রমণকারীদের পরিষেবার শর্ত অস্বীকার করার জন্য দূষিতভাবে তৈরি করা অনুরোধ পাঠাতে অনুমতি দেয় বলে বর্ণনা করেছেন।

অন্য দুটি ত্রুটি — CVE-2024-22052 এবং CVE-2024-22023 — দুটি মাঝারি-তীব্রতার দুর্বলতা যা আক্রমণকারীরা প্রভাবিত সিস্টেমে পরিষেবার অস্বীকৃতির অবস্থার জন্য ব্যবহার করতে পারে৷ ইভান্তি বলেন যে 2 এপ্রিল পর্যন্ত, এটি বন্য অঞ্চলে দুর্বলতাকে লক্ষ্য করে কোনো শোষণ কার্যকলাপ সম্পর্কে সচেতন ছিল না।

বাগ প্রকাশের অবিচলিত প্রবাহ ইভান্তির পণ্যগুলি বিশ্বব্যাপী 40,000 টিরও বেশি গ্রাহকের কাছে ঝুঁকির বিষয়ে প্রশ্ন তুলেছে, কেউ কেউ তাদের হতাশা প্রকাশ করেছে ফোরাম যেমন Reddit. মাত্র দুই বছর আগে, ইভান্তির প্রেস রিলিজ ফরচুন 96 কোম্পানির মধ্যে 100টি তার গ্রাহক হিসেবে দাবি করেছিল। সর্বশেষ প্রকাশে এই সংখ্যাটি প্রায় 12% কমে 85টি কোম্পানিতে নেমে এসেছে। যদিও ক্ষয়ক্ষতি শুধুমাত্র নিরাপত্তা ছাড়া অন্য কারণগুলির সাথে সম্পর্কিত হতে পারে, কিছু ইভান্তি প্রতিদ্বন্দ্বী একটি সুযোগ অনুভব করতে শুরু করেছে। সিসকো, উদাহরণস্বরূপ, শুরু হয়েছে প্রণোদনা প্রদান — একটি 90-দিনের বিনামূল্যের ট্রায়াল সহ — Ivanti VPN গ্রাহকদের এটির নিরাপদ অ্যাক্সেস প্ল্যাটফর্মে স্থানান্তর করার চেষ্টা করতে এবং পেতে যাতে তারা ইভান্তির পণ্যগুলি থেকে "ঝুঁকি কমাতে" পারে৷

Omdia-এর একজন বিশ্লেষক এরিক পারিজো বলেছেন, অন্ততপক্ষে ইভান্তির কিছু চ্যালেঞ্জের সাথে কোম্পানির পণ্যের পোর্টফোলিও হল অতীতের অসংখ্য অধিগ্রহণের সমষ্টি। “মূল পণ্যগুলি বিভিন্ন সময়ে বিভিন্ন কোম্পানি দ্বারা বিভিন্ন উদ্দেশ্যে বিভিন্ন পদ্ধতি ব্যবহার করে তৈরি করা হয়েছিল। এর মানে হল সফ্টওয়্যার গুণমান, বিশেষ করে সফ্টওয়্যার নিরাপত্তার ক্ষেত্রে, নাটকীয়ভাবে অসম হতে পারে, "তিনি বলেছেন।

 পারিজো বলেছেন যে ইভান্তি এখন যা করছে তার প্রতিশ্রুতি নিয়ে বোর্ড জুড়ে নিরাপত্তা প্রক্রিয়া এবং পদ্ধতির উন্নতির জন্য তা সঠিক পথে একটি পদক্ষেপ। "আমি দেখতে চাই যে বিক্রেতা তার গ্রাহকদের এই দুর্বলতাগুলির ফলে সরাসরি ক্ষতির জন্য ক্ষতিপূরণ দেয়, কারণ এটি ভবিষ্যতের কেনাকাটাগুলিতে আস্থা পুনরুদ্ধার করতে সহায়তা করবে," তিনি বলেছেন। "সম্ভবত ইভান্তির জন্য একটি সঞ্চয় করুণা হল যে গ্রাহকরা এই ধরণের ইভেন্টে এতটাই অভ্যস্ত, সাইবার নিরাপত্তা বিক্রেতারা সাম্প্রতিক বছরগুলিতে অসংখ্য অনুরূপ ঘটনার শিকার হয়েছেন, যে গ্রাহকরা ক্ষমা করার এবং ভুলে যাওয়ার সম্ভাবনা বেশি।"

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া