Ο Ivanti υπόσχεται αναθεώρηση της ασφάλειας την ημέρα μετά την αποκάλυψη 4 άλλων Vulns

Ο Διευθύνων Σύμβουλος της Ivanti, Jeff Abbott, αυτή την εβδομάδα δήλωσε ότι η εταιρεία του θα ανανεώσει πλήρως τις πρακτικές ασφαλείας της, ακόμη και όταν ο πωλητής αποκάλυψε ένα άλλο νέο σύνολο σφαλμάτων στα προϊόντα απομακρυσμένης πρόσβασης Ivanti Connect Secure και Policy Secure με ευπάθειες.

Σε μια ανοιχτή επιστολή προς τους πελάτες, η Abbott δεσμεύτηκε σε μια σειρά αλλαγών που θα κάνει η εταιρεία τους επόμενους μήνες για να μεταμορφώσει το λειτουργικό μοντέλο ασφαλείας της μετά από ένα αδυσώπητο μπαράζ αποκαλύψεων σφαλμάτων από τον Ιανουάριο. Οι επιδιορθώσεις που υποσχέθηκαν περιλαμβάνουν μια πλήρη ολοκλήρωση των διαδικασιών μηχανικής, ασφάλειας και διαχείρισης τρωτών σημείων της Ivanti και εφαρμογή μιας νέας πρωτοβουλίας ασφαλούς ανά σχεδιασμό για την ανάπτυξη προϊόντων.

Μια ενδελεχής επισκευή

«Έχουμε προκαλέσει τους εαυτούς μας να εξετάσουμε κριτικά κάθε φάση των διαδικασιών μας και κάθε προϊόν, για να εξασφαλίσουμε το υψηλότερο επίπεδο προστασίας για τους πελάτες μας», δήλωσε ο Abbott, στη δήλωσή του. «Έχουμε ήδη αρχίσει να εφαρμόζουμε διδάγματα από πρόσφατα περιστατικά για να κάνουμε άμεσες βελτιώσεις στις δικές μας πρακτικές μηχανικής και ασφάλειας».

Μερικά από τα συγκεκριμένα βήματα περιλαμβάνουν την ενσωμάτωση της ασφάλειας σε κάθε στάδιο του κύκλου ζωής ανάπτυξης λογισμικού και την ενσωμάτωση νέων χαρακτηριστικών απομόνωσης και κατά της εκμετάλλευσης στα προϊόντα της για την ελαχιστοποίηση του πιθανού αντίκτυπου των τρωτών σημείων του λογισμικού. Η εταιρεία θα βελτιώσει επίσης τη διαδικασία ανακάλυψης και διαχείρισης της εσωτερικής ευπάθειας και θα αυξήσει τα κίνητρα για τρίτους κυνηγούς σφαλμάτων, είπε ο Abbott.

Επιπλέον, ο Ivanti θα διαθέσει περισσότερους πόρους στους πελάτες για την εύρεση πληροφοριών ευπάθειας και σχετικής τεκμηρίωσης και δεσμεύεται για μεγαλύτερο μετασχηματισμό και ανταλλαγή πληροφοριών με τους πελάτες, πρόσθεσε.

Πόσο αυτές οι δεσμεύσεις θα βοηθήσουν στην ανάσχεση αυξανόμενη απογοήτευση των πελατών με τον Ivanti παραμένει ασαφής δεδομένου του πρόσφατου ιστορικού ασφαλείας της εταιρείας. Στην πραγματικότητα, τα σχόλια του Abbot ήρθαν μια μέρα μετά την αποκάλυψη του Ivanti τέσσερα νέα σφάλματα στο Connect Secure και Policy Secure τεχνολογίες πύλης και εκδοθείσες ενημερώσεις κώδικα για καθεμία από αυτές.

Η αποκάλυψη ακολούθησε α παρόμοιο περιστατικό πριν από λιγότερο από δύο εβδομάδες που περιελάμβανε δύο σφάλματα στο Standalone Sentry του Ivanti και στο Neuron για τα προϊόντα ITSM. Η Ivanti μέχρι στιγμής έχει αποκαλύψει συνολικά 11 ευπάθειες — συμπεριλαμβανομένων των τεσσάρων αυτήν την εβδομάδα — στις τεχνολογίες της από την 1η Ιανουαρίου. Πολλά από αυτά ήταν κρίσιμα ελαττώματα — τουλάχιστον δύο ήταν μηδέν — στα προϊόντα απομακρυσμένης πρόσβασης της εταιρείας, τα οποία οι εισβολείς , συμπεριλαμβανομένων προηγμένων παραγόντων επίμονης απειλής όπως «Magnet Goblin,” έχουν αξιοποιούνται μαζικά. Η ανησυχία για το ενδεχόμενο μεγάλων παραβιάσεων από ορισμένα από αυτά τα σφάλματα ώθησε την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) τον Ιανουάριο να διατάξει όλες τις μη στρατιωτικές ομοσπονδιακές υπηρεσίες να πάρουν τα συστήματά τους Ivanti εκτός σύνδεσης και να μην επανασυνδέσετε τις συσκευές μέχρι να αποκατασταθούν πλήρως.

Ο ερευνητής ασφάλειας και μέλος της σχολής του IANS Research, Jake Williams, λέει ότι οι αποκαλύψεις ευπάθειας έχουν προκαλέσει σοβαρά ερωτήματα από τους πελάτες του Ivanti. «Με βάση τις συζητήσεις που κάνω, ειδικά με πελάτες του Fortune 500, ειλικρινά πιστεύω ότι είναι λίγο πολύ λίγο, πολύ αργά», λέει. «Ο χρόνος να αναληφθεί δημόσια αυτή η δέσμευση ήταν πριν από περισσότερο από ένα μήνα». Δεν υπάρχει αμφιβολία ότι τα προβλήματα με τη συσκευή Ivanti VPN (πρώην Pulse) κάνουν τους CISO να αμφισβητούν την ασφάλεια πολλών άλλων προϊόντων της Ivanti, λέει.

Ένα φρέσκο ​​σετ 4 bugs

Τα τέσσερα νέα σφάλματα που αποκάλυψε ο Ivanti αυτή την εβδομάδα περιελάμβαναν δύο ευπάθειες υπερχείλισης σωρού στο στοιχείο IPSec του Connect Secure και του Policy Secure, και τα δύο από τα οποία η εταιρεία χαρακτήρισε ως υψηλής σοβαρότητας κινδύνου για τους πελάτες. Ένα από τα τρωτά σημεία, που παρακολουθείται ως CVE-2024-21894, δίνει στους επιτιθέμενους χωρίς έλεγχο ταυτότητας έναν τρόπο να εκτελούν αυθαίρετο κώδικα σε συστήματα που επηρεάζονται. Το άλλο, που έχει εκχωρηθεί ως CVE-2024-22053, επιτρέπει σε έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας να διαβάζει τα περιεχόμενα από τη μνήμη του συστήματος υπό ορισμένες συνθήκες. Ο Ivanti περιέγραψε και τα δύο τρωτά σημεία ότι επιτρέπουν στους εισβολείς να στέλνουν αιτήματα που έχουν δημιουργηθεί με κακόβουλο τρόπο για να ενεργοποιήσουν τους όρους άρνησης παροχής υπηρεσιών.

Τα άλλα δύο ελαττώματα — CVE-2024-22052 και CVE-2024-22023 — είναι δύο μεσαίας σοβαρότητας ευπάθειες που μπορούν να εκμεταλλευτούν οι εισβολείς για να προκαλέσουν συνθήκες άρνησης υπηρεσίας στα επηρεαζόμενα συστήματα. Η Ivanti είπε ότι από τις 2 Απριλίου, δεν γνώριζε καμία δραστηριότητα εκμετάλλευσης στη φύση με στόχο τα τρωτά σημεία.

Η σταθερή ροή αποκαλύψεων σφαλμάτων έχει εγείρει ερωτήματα σχετικά με τον κίνδυνο που ενέχουν τα προϊόντα της Ivanti σε περισσότερους από 40,000 πελάτες παγκοσμίως, με ορισμένους να εκφράζουν την απογοήτευσή τους για φόρουμ όπως το Reddit. Μόλις πριν από δύο χρόνια, τα δελτία τύπου της Ivanti ανέφεραν ως πελάτες της 96 από τις 100 εταιρείες του Fortune. Στην τελευταία έκδοση, ο αριθμός αυτός μειώθηκε σχεδόν κατά 12% σε 85 εταιρείες. Ενώ η φθορά μπορεί να έχει να κάνει με άλλους παράγοντες εκτός από την ασφάλεια, ορισμένοι αντίπαλοι του Ivanti έχουν αρχίσει να αισθάνονται μια ευκαιρία. Η Cisco, για παράδειγμα, έχει ξεκινήσει προσφέροντας κίνητρα — συμπεριλαμβανομένης μιας δωρεάν δοκιμής 90 ημερών — για να προσπαθήσετε να κάνετε τους πελάτες του Ivanti VPN να μεταβούν στην πλατφόρμα Ασφαλούς Πρόσβασης, ώστε να μπορούν να «μετριάσουν τον κίνδυνο» από τα προϊόντα της Ivanti.

Προβλήματα που σχετίζονται με την απόκτηση;

Ο Eric Parizo, αναλυτής της Omdia, λέει ότι τουλάχιστον ορισμένες από τις προκλήσεις της Ivanti έχουν να κάνουν με το γεγονός ότι το χαρτοφυλάκιο προϊόντων της εταιρείας είναι το άθροισμα πολλών προηγούμενων εξαγορών. «Τα πρωτότυπα προϊόντα αναπτύχθηκαν σε διαφορετικούς χρόνους από διαφορετικές εταιρείες για διαφορετικούς σκοπούς χρησιμοποιώντας διαφορετικές μεθόδους. Αυτό σημαίνει ότι η ποιότητα του λογισμικού, ιδίως όσον αφορά την ασφάλεια του λογισμικού, μπορεί να είναι δραματικά άνιση», λέει.

 Η Parizo λέει ότι αυτό που κάνει τώρα η Ivanti με τη δέσμευσή της για τη βελτίωση των διαδικασιών και των διαδικασιών ασφάλειας σε όλους τους τομείς είναι ένα βήμα προς τη σωστή κατεύθυνση. «Θα ήθελα επίσης να δω τον πωλητή να αποζημιώνει τους πελάτες του για ζημιές που προκύπτουν άμεσα από αυτές τις ευπάθειες, καθώς αυτό θα βοηθήσει στην αποκατάσταση της εμπιστοσύνης σε μελλοντικές αγορές», λέει. «Ίσως η μοναδική χάρη για την Ivanti είναι ότι οι πελάτες είναι τόσο συνηθισμένοι σε τέτοιου είδους εκδηλώσεις, με τους προμηθευτές κυβερνοασφάλειας να έχουν υποστεί αμέτρητα παρόμοια περιστατικά τα τελευταία χρόνια, που οι πελάτες είναι πιο πιθανό να συγχωρήσουν και να ξεχάσουν».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns