Ivanti CEO Jeff Abbott this week said his company will completely revamp its security practices even as the vendor disclosed another fresh set of bugs in its vulnerability-riddled Ivanti Connect Secure and Policy Secure remote access products.
در نامه ای سرگشاده به مشتریان، ابوت متعهد به مجموعه ای از تغییراتی است که شرکت در ماه های آینده برای تغییر مدل عملیاتی امنیتی خود پس از سیل بی امان افشای اشکالات از ژانویه ایجاد خواهد کرد. اصلاحات وعده داده شده شامل انجام کامل فرآیندهای مهندسی، امنیت و مدیریت آسیب پذیری Ivanti و اجرای یک ابتکار جدید امن با طراحی برای توسعه محصول است.
A Thorough Overhaul
“We have challenged ourselves to look critically at every phase of our processes, and every product, to ensure the highest level of protection for our customers,” Abbott said, در بیانیه خود. “We have already begun applying learning from recent incidents to make immediate improvements to our own engineering and security practices.”
Some of the specific steps include embedding security into every stage of the software development life cycle and integrating new isolation and anti-exploit features in its products to minimize the potential impact of software vulnerabilities. The company will also improve its internal vulnerability discovery and management process and increase incentives for third-party bug hunters, Abbott said.
In addition, Ivanti will make more resources available to customers for finding vulnerability information and associated documentation and is committed to greater transformation and information sharing with customers, he added.
How much these commitments will help stem growing customer disenchantment with Ivanti remains unclear given the company’s recent security track record. In fact, Abbot’s comments came one day after Ivanti disclosed four new bugs in its Connect Secure and Policy Secure gateway technologies and issued patches for each of them.
The disclosure followed a similar incident less than two weeks ago that involved two bugs in Ivanti’s Standalone Sentry and Neuron’s for ITSM products. Ivanti so far has disclosed a total of 11 vulnerabilities — including the four this week — in its technologies since Jan. 1. Many of them have been critical flaws — at least two were zero-days — in the company’s remote access products, which attackers, including advanced persistent threat actors such as “Magnet Goblin," دارند exploited in mass fashion. Concern over the potential for major breaches from some of these bugs prompted the US Cybersecurity and Infrastructure Security Agency (CISA) in January to order all civilian federal agencies to take their Ivanti systems offline and not reconnect the devices until fully remediated.
Security researcher and IANS Research faculty member Jake Williams says the vulnerability disclosures have prompted serious questions from Ivanti’s customers. “Based on conversations I’m having, especially with Fortune 500 clients, I honestly think it’s a bit of too little, too late,” he says. “The time to publicly make this commitment was more than a month ago.” There is no question that the issues with the Ivanti VPN appliance (formerly Pulse) are making CISOs question the security of Ivanti’s many other products, he says.
A Fresh Set of 4 Bugs
The four new bugs Ivanti disclosed this week included two heap overflow vulnerabilities in the IPSec component of Connect Secure and Policy Secure, both of which the company characterized as high-severity risk for customers. One of the vulnerabilities, tracked as CVE-2024-21894, gives unauthenticated attackers a way to run arbitrary code on affected systems. The other, assigned as CVE-2024-22053, allows an unauthenticated remote attacker to read the contents from system memory under certain conditions. Ivanti described both vulnerabilities as allowing attackers to send maliciously crafted requests to trigger denial of service conditions.
The other two flaws — CVE-2024-22052 and CVE-2024-22023 — are two medium-severity vulnerabilities that attackers can exploit to cause denial-of-service conditions on affected systems. Ivanti said that as of April 2, it was not aware of any exploit activity in the wild targeting the vulnerabilities.
The steady stream of bug disclosures has raised questions about the risk that Ivanti’s products pose to more than 40,000 customers worldwide, with some expressing their frustration on forums such as Reddit. Just two years ago, Ivanti’s press releases claimed 96 of the Fortune 100 companies as its customers. In the latest release that number has declined nearly 12% to 85 companies. While the attrition might have to do with factors other than just security, some Ivanti rivals have begun to sense an opportunity. Cisco, for instance, has begun ارائه مشوق — including a 90-day free trial — to try and get Ivanti VPN customers to migrate to its Secure Access platform so they can “mitigate risk” from Ivanti’s products.
Acquisition Related Problems?
Eric Parizo, an analyst with Omdia, says at least some of Ivanti’s challenges have to do with the fact that the company’s product portfolio is the sum of numerous past acquisitions. “The original products were developed at different times by different companies for different purposes using varying methods. This means the software quality, in particular with regard to software security, can be dramatically uneven,” he says.
Parizo says what Ivanti is doing now with its commitment towards improving security processes and procedures across the board is a step in the right direction. “I would also like to see the vendor indemnify its customers for damages directly resulting from these vulnerabilities, as that will help restore confidence in future purchases,” he says. “Perhaps the one saving grace for Ivanti is that customers are so used to this sort of event, with cybersecurity vendors suffering countless similar incidents in recent years, that customers are more likely to forgive and forget.”
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
- : دارد
- :است
- :نه
- 000
- 000 مشتری
- 1
- 100
- 11
- 40
- 500
- 7
- a
- درباره ما
- دسترسی
- اکتساب
- جمع آوری
- در میان
- فعالیت
- بازیگران
- اضافه
- اضافه
- پیشرفته
- تحت تاثیر قرار
- پس از
- سازمان
- نمایندگی
- پیش
- معرفی
- اجازه دادن
- اجازه می دهد تا
- قبلا
- همچنین
- an
- روانکاو
- و
- و زیرساخت
- دیگر
- هر
- با استفاده از
- آوریل
- دلخواه
- هستند
- AS
- اختصاص داده
- مرتبط است
- At
- مهاجم
- جذابیت
- در دسترس
- مطلع
- سد
- مستقر
- BE
- بوده
- شروع شد
- بیت
- تخته
- هر دو
- نقض
- اشکال
- اشکالات
- by
- آمد
- CAN
- علت
- مدیر عامل شرکت
- معین
- به چالش کشیده شد
- چالش ها
- تبادل
- مشخص شده است
- سیسکو
- غیر نظامی
- ادعا کرد که
- مشتریان
- رمز
- آینده
- نظرات
- تعهد
- تعهدات
- مرتکب شده
- شرکت
- شرکت
- کامل
- به طور کامل
- جزء
- نگرانی
- شرایط
- اعتماد به نفس
- اتصال
- محتویات
- گفتگو
- طراحی شده
- بحرانی
- مشتری
- مشتریان
- امنیت سایبری
- چرخه
- روز
- خود داری از خدمات
- شرح داده شده
- توسعه
- پروژه
- دستگاه ها
- مختلف
- جهت
- مستقیما
- افشاء
- کشف
- do
- مستندات
- عمل
- به طور چشمگیری
- هر
- تعبیه کردن
- مهندسی
- اطمینان حاصل شود
- به خصوص
- حتی
- واقعه
- هر
- بهره برداری
- بیان کننده
- واقعیت
- عوامل
- بسیار
- امکانات
- فدرال
- پیدا کردن
- ثابت
- معایب
- به دنبال
- پیروی
- برای
- سابق
- ثروت
- چهار
- رایگان
- امتحان رایگان
- تازه
- از جانب
- نا امیدی
- کاملا
- آینده
- دروازه
- دریافت کنید
- داده
- می دهد
- فضل
- بیشتر
- آیا
- داشتن
- he
- کمک
- بالاترین
- خود را
- صادقانه
- HTTPS
- i
- فوری
- تأثیر
- پیاده سازی
- بهبود
- ارتقاء
- بهبود
- in
- انگیزه
- حادثه
- شامل
- مشمول
- از جمله
- افزایش
- اطلاعات
- شالوده
- ابتکار عمل
- نمونه
- ادغام
- داخلی
- به
- گرفتار
- انزوا
- صادر
- مسائل
- IT
- ITS
- ژان
- ژانویه
- JPG
- تنها
- دیر
- آخرین
- آخرین نسخه
- یادگیری
- کمترین
- کمتر
- نامه
- سطح
- زندگی
- پسندیدن
- احتمالا
- کوچک
- نگاه کنيد
- عمده
- ساخت
- ساخت
- مدیریت
- بسیاری
- توده
- به معنی
- عضو
- حافظه
- روش
- قدرت
- مهاجرت
- به حداقل رساندن
- کاهش
- مدل
- ماه
- ماه
- بیش
- بسیار
- تقریبا
- جدید
- نه
- اکنون
- عدد
- متعدد
- of
- اودیا
- on
- ONE
- باز کن
- عملیاتی
- فرصت
- سفارش
- اصلی
- دیگر
- ما
- خودمان
- روی
- تعمیرات اساسی
- خود
- ویژه
- گذشته
- پچ های
- شاید
- فاز
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- مقام
- در برخواهد داشت
- پتانسیل
- شیوه های
- فشار
- اعلامیه مطبوعاتی
- مشکلات
- روش
- روند
- فرآیندهای
- محصول
- توسعه محصول
- محصولات
- وعده داده شده
- حفاظت
- عمومی
- نبض
- خرید
- اهداف
- کیفیت
- سوال
- سوالات
- مطرح شده
- خواندن
- اخیر
- دوباره به هم متصل
- رکورد
- ق
- نظر
- مربوط
- آزاد
- منتشر شده
- بی امان
- بقایای
- دور
- دسترسی از راه دور
- درخواست
- تحقیق
- پژوهشگر
- منابع
- بازیابی
- نتیجه
- راست
- خطر
- رقبای
- دویدن
- s
- سعید
- صرفه جویی کردن
- می گوید:
- امن
- تیم امنیت لاتاری
- دیدن
- ارسال
- حس
- سلسله
- جدی
- سرویس
- تنظیم
- اشتراک
- مشابه
- پس از
- So
- تا حالا
- نرم افزار
- توسعه نرم افزار
- برخی از
- خاص
- صحنه
- مستقل
- ثابت
- ساقه
- گام
- مراحل
- جریان
- چنین
- مبتلا
- سیستم
- سیستم های
- هدف گذاری
- فن آوری
- نسبت به
- که
- La
- شان
- آنها
- آنجا.
- اینها
- آنها
- فکر می کنم
- شخص ثالث
- این
- این هفته
- کامل
- تهدید
- بازیگران تهدید
- زمان
- بار
- به
- هم
- جمع
- طرف
- مسیر
- رکورد
- دگرگون کردن
- دگرگونی
- محاکمه
- ماشه
- امتحان
- دو
- زیر
- تا
- us
- استفاده
- با استفاده از
- متفاوت است
- فروشنده
- فروشندگان
- VPN
- آسیب پذیری ها
- آسیب پذیری
- اطلاعات آسیب پذیری
- بود
- مسیر..
- we
- هفته
- هفته
- بود
- چی
- که
- در حین
- وحشی
- اراده
- ویلیامز
- با
- در سرتاسر جهان
- خواهد بود
- سال
- زفیرنت