Ivanti lupasi turvallisuusuudistuksen seuraavana päivänä neljän muun haitan julkistamisen jälkeen

Ivantin toimitusjohtaja Jeff Abbott sanoi tällä viikolla, että hänen yrityksensä uudistaa täysin tietoturvakäytäntöjään, vaikka myyjä paljasti uuden joukon bugeja haavoittuvuuksista täynnä olevissa Ivanti Connect Secure- ja Policy Secure -etäkäyttötuotteissaan.

Asiakkaille osoittamassaan avoimessa kirjeessä Abbott sitoutui useisiin muutoksiin, joita yritys tekee tulevina kuukausina muuttaakseen tietoturvatoimintamalliaan tammikuusta lähtien jatkuneiden virheiden paljastumisen jälkeen. Luvatut korjaukset sisältävät Ivantin suunnittelu-, tietoturva- ja haavoittuvuuksien hallintaprosessien täydellisen vaihtamisen sekä uuden suojatun tuotekehitysaloitteen käyttöönoton.

Perusteellinen remontti

"Olemme haastaneet itsemme tarkastelemaan kriittisesti prosessiemme jokaista vaihetta ja jokaista tuotetta varmistaaksemme asiakkaillemme korkeimman suojan", Abbott sanoi. lausunnossaan. "Olemme jo alkaneet soveltaa viimeaikaisista tapahtumista oppimista tehdäksemme välittömiä parannuksia omiin suunnittelu- ja turvallisuuskäytäntöihimme."

Joitakin erityisiä vaiheita ovat tietoturvan sisällyttäminen ohjelmistokehityksen elinkaaren jokaiseen vaiheeseen ja uusien eristys- ja hyväksikäytön estoominaisuuksien integrointi tuotteisiin ohjelmiston haavoittuvuuksien mahdollisten vaikutusten minimoimiseksi. Yhtiö aikoo myös parantaa sisäistä haavoittuvuuksien havaitsemis- ja hallintaprosessiaan ja lisää kannustimia kolmansien osapuolien vianmetsästäjille, Abbott sanoi.

Lisäksi Ivanti aikoo tarjota asiakkaiden käyttöön enemmän resursseja haavoittuvuustietojen ja niihin liittyvien asiakirjojen etsimiseen ja on sitoutunut laajempaan muutokseen ja tiedon jakamiseen asiakkaiden kanssa, hän lisäsi.

Kuinka paljon nämä sitoumukset auttavat estämään kasvava asiakkaiden pettymys Ivantin kanssa on epäselvää, kun otetaan huomioon yhtiön viimeaikainen tietoturvahistoria. Itse asiassa Abbotin kommentit tulivat yksi päivä sen jälkeen, kun Ivanti paljasti neljä uutta vikaa Connect Securessa ja Policy Securessa yhdyskäytäväteknologiat ja julkaissut korjaustiedostot jokaiselle niistä.

Ilmoitus seurasi a vastaava tapaus alle kaksi viikkoa sitten joka sisälsi kaksi bugia Ivantin Standalone Sentryssä ja Neuronin ITSM-tuotteissa. Ivanti on tähän mennessä paljastanut yhteensä 11 haavoittuvuutta – mukaan lukien neljä tällä viikolla – teknologioissaan 1. tammikuuta lähtien. Monet niistä ovat olleet kriittisiä puutteita – ainakin kaksi oli nollapäivää – yrityksen etäkäyttötuotteissa, jotka hyökkääjät mukaan lukien kehittyneet jatkuvat uhkatekijät, kuten "Magneetti Goblin," omistaa käytetään hyväksi massamuodissa. Huoli joidenkin näistä virheistä mahdollisesti johtuvista merkittävistä tietomurroista sai Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvaviraston (CISA) tammikuussa määräämään kaikki liittovaltion siviilivirastot ottaa Ivanti-järjestelmänsä offline-tilaan äläkä kytke laitteita uudelleen ennen kuin ne on korjattu kokonaan.

Tietoturvatutkija ja IANS-tutkimuksen tiedekunnan jäsen Jake Williams sanoo, että haavoittuvuuden paljastukset ovat herättäneet vakavia kysymyksiä Ivantin asiakkailta. "Etenkin Fortune 500 -asiakkaiden kanssa käymieni keskustelujen perusteella uskon rehellisesti, että se on vähän liian vähän, liian myöhäistä", hän sanoo. "Aika tehdä tämä lupaus julkisesti oli yli kuukausi sitten." Ei ole epäilystäkään siitä, että Ivanti VPN -laitteen (entinen Pulse) ongelmat saavat CISO:t kyseenalaistamaan Ivantin monien muiden tuotteiden turvallisuuden, hän sanoo.

Tuore 4 bugin setti

Ivantin tällä viikolla paljastamat neljä uutta vikaa sisälsivät kaksi keon ylivuotohaavoittuvuutta Connect Securen ja Policy Securen IPSec-komponenteissa, joita yhtiö luonnehti erittäin vakaviksi riskeiksi asiakkaille. Yksi haavoittuvuuksista, jota jäljitetään nimellä CVE-2024-21894, antaa todentamattomille hyökkääjille tavan suorittaa mielivaltaista koodia järjestelmissä, joita tämä koskee. Toinen, joka on määritetty nimellä CVE-2024-22053, sallii todentamattoman etähyökkääjän lukea sisällön järjestelmämuistista tietyissä olosuhteissa. Ivanti kuvaili molempia haavoittuvuuksia antavan hyökkääjille mahdollisuuden lähettää haitallisia pyyntöjä palvelunestoehtojen laukaisemiseksi.

Kaksi muuta puutetta – CVE-2024-22052 ja CVE-2024-22023 – ovat kaksi keskivakavaa haavoittuvuutta, joita hyökkääjät voivat hyödyntää aiheuttaakseen palvelunestotilanteita kyseisissä järjestelmissä. Ivanti sanoi, ettei se ollut 2. huhtikuuta mennessä tietoinen haavoittuvuuksiin kohdistuvasta hyväksikäyttötoiminnasta luonnossa.

Jatkuva virheilmoitusten virta on herättänyt kysymyksiä riskistä, jonka Ivantin tuotteet aiheuttavat yli 40,000 XNUMX asiakkaalle maailmanlaajuisesti, ja jotkut ovat ilmaisseet turhautumisensa foorumeilla, kuten Reddit. Vain kaksi vuotta sitten Ivantin lehdistötiedotteet valitsivat 96 Fortune 100 -yrityksestä asiakkaikseen. Uusimmassa julkaisussa tämä määrä on laskenut lähes 12 prosenttia 85 yritykseen. Vaikka kuluminen saattaa liittyä muihin tekijöihin kuin vain turvallisuuteen, jotkut Ivantin kilpailijat ovat alkaneet aistia mahdollisuuden. Esimerkiksi Cisco on alkanut tarjoamalla kannustimia - mukaan lukien 90 päivän ilmainen kokeilu - yrittää saada Ivanti VPN -asiakkaat siirtymään sen Secure Access -alustalle, jotta he voivat "vähentää riskejä" Ivantin tuotteista.

Hankintaan liittyviä ongelmia?

Omdian analyytikko Eric Parizo sanoo, että ainakin osa Ivantin haasteista liittyy siihen, että yrityksen tuoteportfolio on lukuisten menneiden yritysostojen summa. ”Alkuperäiset tuotteet kehitettiin eri aikoina eri yrityksissä eri tarkoituksiin eri menetelmin. Tämä tarkoittaa, että ohjelmistojen laatu, erityisesti ohjelmistoturvallisuuden kannalta, voi olla dramaattisesti epätasaista”, hän sanoo.

 Parizon mukaan se, mitä Ivanti tekee nyt sitoutuessaan parantamaan turvallisuusprosesseja ja -menettelyjä kauttaaltaan, on askel oikeaan suuntaan. "Haluaisin myös, että myyjä korvaa asiakkailleen suoraan näistä haavoittuvuuksista aiheutuvat vahingot, koska se auttaa palauttamaan luottamusta tuleviin ostoihin", hän sanoo. "Ehkä Ivantin ainoa pelastus on se, että asiakkaat ovat niin tottuneet tällaisiin tapahtumiin, ja kyberturvallisuustoimittajat ovat kärsineet lukemattomista vastaavista tapauksista viime vuosina, että asiakkaat antavat todennäköisemmin anteeksi ja unohtavat."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns