Ivanti promet une refonte de la sécurité le lendemain de la divulgation de 4 vulnérabilités supplémentaires

Jeff Abbott, PDG d'Ivanti, a déclaré cette semaine que son entreprise allait complètement réorganiser ses pratiques de sécurité, même si le fournisseur a révélé une nouvelle série de bogues dans ses produits d'accès à distance Ivanti Connect Secure et Policy Secure criblés de vulnérabilités.

Dans une lettre ouverte aux clients, Abbott s'est engagé à apporter une série de changements dans les mois à venir pour transformer son modèle opérationnel de sécurité suite à un barrage incessant de divulgations de bogues depuis janvier. Les correctifs promis incluent une refonte complète des processus d'ingénierie, de sécurité et de gestion des vulnérabilités d'Ivanti et la mise en œuvre d'une nouvelle initiative de sécurité dès la conception pour le développement de produits.

Une refonte en profondeur

"Nous nous sommes mis au défi d'examiner d'un œil critique chaque phase de nos processus et chaque produit, afin de garantir le plus haut niveau de protection à nos clients", a déclaré Abbott. dans sa déclaration. « Nous avons déjà commencé à appliquer les enseignements tirés des incidents récents pour apporter des améliorations immédiates à nos propres pratiques d'ingénierie et de sécurité. »

Certaines des étapes spécifiques incluent l'intégration de la sécurité à chaque étape du cycle de vie du développement logiciel et l'intégration de nouvelles fonctionnalités d'isolation et anti-exploit dans ses produits afin de minimiser l'impact potentiel des vulnérabilités logicielles. La société améliorera également son processus interne de découverte et de gestion des vulnérabilités et augmentera les incitations pour les chasseurs de bogues tiers, a déclaré Abbott.

En outre, Ivanti mettra davantage de ressources à la disposition des clients pour rechercher des informations sur les vulnérabilités et la documentation associée et s'engage à une transformation et un partage d'informations plus poussés avec les clients, a-t-il ajouté.

Dans quelle mesure ces engagements contribueront-ils à endiguer désenchantement croissant des clients avec Ivanti reste flou étant donné les récents antécédents de sécurité de l'entreprise. En fait, les commentaires d'Abbot sont intervenus un jour après qu'Ivanti a révélé quatre nouveaux bugs dans ses Connect Secure et Policy Secure technologies de passerelle et publié des correctifs pour chacune d'entre elles.

La divulgation fait suite à un incident similaire il y a moins de deux semaines qui impliquait deux bogues dans les produits Standalone Sentry et Neuron d'Ivanti pour ITSM. Ivanti a jusqu'à présent divulgué un total de 11 vulnérabilités — dont les quatre cette semaine — dans ses technologies depuis le 1er janvier. Beaucoup d'entre elles étaient des failles critiques — au moins deux étaient de type zéro jour — dans les produits d'accès à distance de l'entreprise, que les attaquants ont découvert. , y compris des acteurs de menaces persistantes avancées tels que «Aimant Gobelin," avoir exploité de manière massive. L'inquiétude suscitée par le potentiel de violations majeures de certains de ces bugs a incité l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) en janvier à ordonner à toutes les agences fédérales civiles de mettre leurs systèmes Ivanti hors ligne et ne pas reconnecter les appareils jusqu'à ce que la solution soit complètement corrigée.

Jake Williams, chercheur en sécurité et membre du corps professoral de l'IANS Research, affirme que les révélations de vulnérabilités ont suscité de sérieuses questions de la part des clients d'Ivanti. « D'après les conversations que j'ai, notamment avec les clients Fortune 500, je pense honnêtement que c'est un peu trop peu, trop tard », dit-il. "Le moment était venu de prendre publiquement cet engagement il y a plus d'un mois." Il ne fait aucun doute que les problèmes liés à l'appliance VPN Ivanti (anciennement Pulse) amènent les RSSI à remettre en question la sécurité de nombreux autres produits Ivanti, dit-il.

Un nouvel ensemble de 4 bugs

Les quatre nouveaux bogues révélés par Ivanti cette semaine comprenaient deux vulnérabilités de débordement de tas dans le composant IPSec de Connect Secure et Policy Secure, que la société a qualifiées de risque élevé pour les clients. L'une des vulnérabilités, identifiée comme CVE-2024-21894, donne aux attaquants non authentifiés un moyen d'exécuter du code arbitraire sur les systèmes concernés. L'autre, attribué comme CVE-2024-22053, permet à un attaquant distant non authentifié de lire le contenu de la mémoire système sous certaines conditions. Ivanti a décrit les deux vulnérabilités comme permettant aux attaquants d'envoyer des requêtes malveillantes pour déclencher des conditions de déni de service.

Les deux autres failles — CVE-2024-22052 et CVE-2024-22023 — sont deux vulnérabilités de gravité moyenne que les attaquants peuvent exploiter pour provoquer des conditions de déni de service sur les systèmes affectés. Ivanti a déclaré qu'au 2 avril, il n'avait connaissance d'aucune activité d'exploitation ciblant ces vulnérabilités.

Le flux constant de divulgations de bogues a soulevé des questions sur le risque que les produits Ivanti représentent pour plus de 40,000 XNUMX clients dans le monde, certains exprimant leur frustration sur des forums comme Reddit. Il y a à peine deux ans, les communiqués de presse d'Ivanti affirmaient que 96 des sociétés Fortune 100 étaient ses clients. Dans la dernière version, ce nombre a diminué de près de 12 % pour atteindre 85 entreprises. Même si l'attrition peut être liée à des facteurs autres que la simple sécurité, certains concurrents d'Ivanti ont commencé à sentir une opportunité. Cisco, par exemple, a commencé offrant des incitations - comprenant un essai gratuit de 90 jours - pour essayer d'inciter les clients Ivanti VPN à migrer vers sa plate-forme Secure Access afin de pouvoir « atténuer les risques » liés aux produits Ivanti.

Problèmes liés à l’acquisition ?

Eric Parizo, analyste chez Omdia, affirme qu'au moins certains des défis d'Ivanti sont liés au fait que le portefeuille de produits de l'entreprise est la somme de nombreuses acquisitions passées. « Les produits originaux ont été développés à différentes époques par différentes entreprises à des fins différentes en utilisant différentes méthodes. Cela signifie que la qualité des logiciels, notamment en ce qui concerne leur sécurité, peut être considérablement inégale », explique-t-il.

 Parizo affirme que ce qu'Ivanti fait maintenant avec son engagement à améliorer les processus et procédures de sécurité à tous les niveaux est un pas dans la bonne direction. «J'aimerais également que le vendeur indemnise ses clients pour les dommages résultant directement de ces vulnérabilités, car cela contribuera à rétablir la confiance dans les achats futurs», dit-il. « Le seul point positif pour Ivanti est peut-être que les clients sont tellement habitués à ce type d'événement, les fournisseurs de cybersécurité ayant subi d'innombrables incidents similaires ces dernières années, que les clients sont plus susceptibles de pardonner et d'oublier.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns