Ivanti ígéretet tesz a biztonsági felülvizsgálatra a következő napon, miután 4 további vulns nyilvánosságra került

Az Ivanti vezérigazgatója, Jeff Abbott a héten azt mondta, hogy cége teljesen meg fogja változtatni biztonsági gyakorlatát, még akkor is, amikor a gyártó újabb hibákat hozott nyilvánosságra a sebezhetőségekkel teli Ivanti Connect Secure és Policy Secure távelérési termékeiben.

Ügyfeleinek küldött nyílt levélben az Abbott kötelezettséget vállalt arra, hogy a következő hónapokban változtatásokat hajt végre, hogy átalakítsa biztonsági működési modelljét, miután január óta könyörtelenül felfedték a hibákat. A beígért javítások közé tartozik az Ivanti mérnöki, biztonsági és sebezhetőség-kezelési folyamatainak teljes átdolgozása, valamint egy új, biztonságosan tervezett termékfejlesztési kezdeményezés megvalósítása.

Alapos felújítás

„Megpróbáltuk magunkat, hogy kritikusan tekintsünk folyamataink minden fázisára és minden termékre, hogy ügyfeleink számára a legmagasabb szintű védelmet biztosítsuk” – mondta Abbott. nyilatkozatában. „Már megkezdtük a közelmúltbeli incidensek tanulságainak alkalmazását saját mérnöki és biztonsági gyakorlatunk azonnali fejlesztésére.”

A konkrét lépések közé tartozik a biztonság beágyazása a szoftverfejlesztési életciklus minden szakaszába, valamint új elkülönítési és kizsákmányolás elleni funkciók integrálása a termékeibe a szoftver sebezhetőségeinek lehetséges hatásának minimalizálása érdekében. A vállalat emellett javítani fogja belső sebezhetőség-felderítési és -kezelési folyamatát, és növeli a külső hibavadászok ösztönzőit, mondta Abbott.

Ezen túlmenően az Ivanti több erőforrást bocsát az ügyfelek rendelkezésére a sebezhetőségi információk és a kapcsolódó dokumentáció megkereséséhez, és elkötelezett a nagyobb átalakítás és az ügyfelekkel való információmegosztás mellett – tette hozzá.

Mennyire segítenek ezek a kötelezettségvállalások megállítani növekvő vásárlói csalódottság Ivantival továbbra is tisztázatlan, tekintettel a cég közelmúltbeli biztonsági múltjára. Valójában Abbot megjegyzései egy nappal azután érkeztek, hogy Ivanti nyilvánosságra hozta négy új hiba a Connect Secure-ban és a Policy Secure-ban átjárótechnológiákat és mindegyikhez kiadott javításokat.

A nyilvánosságra hozatalt a hasonló eset alig két héttel ezelőtt amely két hibát tartalmazott az Ivanti Standalone Sentry-ben és a Neuron ITSM-termékeiben. Az Ivanti eddig összesen 11 sebezhetőséget tárt fel technológiáiban – köztük négyet ezen a héten – január 1. óta. Ezek közül sok kritikus hiba volt – legalább kettő nulla nap volt – a vállalat távoli elérési termékeiben, amelyeket a támadók , beleértve a fejlett, tartós fenyegetés szereplőit, mint példáulMágnes goblin,”Van tömegdivatban használják ki. Aggodalomra ad okot, hogy ezek a hibák némelyike ​​súlyos jogsértéseket okozhat, arra késztette az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségét (CISA) januárban, hogy elrendelje az összes polgári szövetségi ügynökséget, offline állapotba hozhatja Ivanti rendszereiket és ne csatlakoztassa újra az eszközöket a teljes helyreállításig.

A biztonsági kutató és az IANS Research oktatója, Jake Williams szerint a sebezhetőség feltárása komoly kérdéseket vet fel az Ivanti ügyfeleinél. „A beszélgetéseim alapján, különösen a Fortune 500-as ügyfelekkel, őszintén úgy gondolom, hogy ez egy kicsit túl kevés, túl késő” – mondja. „Több mint egy hónapja volt itt az ideje ennek a kötelezettségvállalásnak a nyilvános megtételére.” Nem kérdéses, hogy az Ivanti VPN-eszközzel (korábban Pulse) kapcsolatos problémák miatt a CISO-k megkérdőjelezik az Ivanti számos más termékének biztonságát.

Friss készlet 4 bogarat

A négy új hiba, amelyet Ivanti a héten nyilvánosságra hozott, két kupac túlcsordulási sérülékenységet tartalmazott a Connect Secure és a Policy Secure IPSec összetevőjében, amelyeket a vállalat az ügyfelek számára súlyos kockázatként jellemez. Az egyik sebezhetőség, amelyet CVE-2024-21894 néven nyomon követnek, lehetőséget ad a nem hitelesített támadóknak tetszőleges kód futtatására az érintett rendszereken. A másik, CVE-2024-22053 jelzéssel rendelkezik, lehetővé teszi egy hitelesítés nélküli távoli támadó számára, hogy bizonyos feltételek mellett beolvassa a tartalmat a rendszermemóriából. Ivanti mindkét biztonsági rést úgy írta le, hogy lehetővé teszi a támadók számára, hogy rosszindulatú kéréseket küldjenek szolgáltatásmegtagadási feltételek kiváltására.

A másik két hiba – CVE-2024-22052 és CVE-2024-22023 – két közepes súlyosságú biztonsági rést jelent, amelyeket kihasználva szolgáltatásmegtagadási állapotokat idézhetnek elő a támadók az érintett rendszereken. Ivanti azt mondta, hogy április 2-ig nem tudott semmiféle kizsákmányoló tevékenységről a vadonban, amely a sebezhetőséget célozta volna.

A hibák folyamatos felfedése kérdéseket vetett fel azzal kapcsolatban, hogy az Ivanti termékei világszerte több mint 40,000 XNUMX vásárló számára jelentenek kockázatot, és néhányan csalódottságukat fejezték ki fórumokon, mint például a Reddit. Mindössze két évvel ezelőtt az Ivanti sajtóközleményei a Fortune 96 listán szereplő cégek közül 100-ot állítottak ügyfelei közé. A legutóbbi kiadásban ez a szám közel 12%-kal 85 vállalatra csökkent. Noha a lemorzsolódás a biztonságon kívül más tényezőkkel is összefügghet, néhány ivanti rivális kezdi érezni a lehetőséget. A Cisco például elkezdődött ösztönzőket kínál – beleértve a 90 napos ingyenes próbaverziót is –, hogy megpróbálja rávenni az Ivanti VPN ügyfeleit arra, hogy áttérjenek a Secure Access platformra, így „mérsékelni tudják” az Ivanti termékeiből származó kockázatokat.

Beszerzéssel kapcsolatos problémák?

Eric Parizo, az Omdia elemzője szerint az Ivanti előtt álló kihívások legalább egy része azzal a ténnyel kapcsolatos, hogy a vállalat termékportfóliója számos korábbi akvizíció összessége. „Az eredeti termékeket különböző időpontokban fejlesztették ki különböző cégek különböző célokra, eltérő módszerekkel. Ez azt jelenti, hogy a szoftver minősége, különösen a szoftverbiztonság tekintetében, drámaian egyenetlen lehet” – mondja.

 Parizo szerint amit Ivanti tesz most a biztonsági folyamatok és eljárások átfogó javítása iránti elkötelezettségével, az egy lépés a helyes irányba. „Szeretném azt is látni, hogy az eladó megtéríti ügyfeleit az ezekből a sérülékenységekből közvetlenül eredő károkért, mivel ez segít helyreállítani a jövőbeni vásárlásokba vetett bizalmat” – mondja. "Talán az egyetlen megmentő kegyelem Ivanti számára, hogy a vásárlók annyira hozzászoktak az efféle eseményekhez, mivel a kiberbiztonsági szolgáltatók számtalan hasonló incidenst szenvedtek el az elmúlt években, hogy az ügyfelek hajlamosabbak megbocsátani és elfelejteni."

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns