Az Ivanti vezérigazgatója, Jeff Abbott a héten azt mondta, hogy cége teljesen meg fogja változtatni biztonsági gyakorlatát, még akkor is, amikor a gyártó újabb hibákat hozott nyilvánosságra a sebezhetőségekkel teli Ivanti Connect Secure és Policy Secure távelérési termékeiben.
Ügyfeleinek küldött nyílt levélben az Abbott kötelezettséget vállalt arra, hogy a következő hónapokban változtatásokat hajt végre, hogy átalakítsa biztonsági működési modelljét, miután január óta könyörtelenül felfedték a hibákat. A beígért javítások közé tartozik az Ivanti mérnöki, biztonsági és sebezhetőség-kezelési folyamatainak teljes átdolgozása, valamint egy új, biztonságosan tervezett termékfejlesztési kezdeményezés megvalósítása.
Alapos felújítás
„Megpróbáltuk magunkat, hogy kritikusan tekintsünk folyamataink minden fázisára és minden termékre, hogy ügyfeleink számára a legmagasabb szintű védelmet biztosítsuk” – mondta Abbott. nyilatkozatában. „Már megkezdtük a közelmúltbeli incidensek tanulságainak alkalmazását saját mérnöki és biztonsági gyakorlatunk azonnali fejlesztésére.”
A konkrét lépések közé tartozik a biztonság beágyazása a szoftverfejlesztési életciklus minden szakaszába, valamint új elkülönítési és kizsákmányolás elleni funkciók integrálása a termékeibe a szoftver sebezhetőségeinek lehetséges hatásának minimalizálása érdekében. A vállalat emellett javítani fogja belső sebezhetőség-felderítési és -kezelési folyamatát, és növeli a külső hibavadászok ösztönzőit, mondta Abbott.
Ezen túlmenően az Ivanti több erőforrást bocsát az ügyfelek rendelkezésére a sebezhetőségi információk és a kapcsolódó dokumentáció megkereséséhez, és elkötelezett a nagyobb átalakítás és az ügyfelekkel való információmegosztás mellett – tette hozzá.
Mennyire segítenek ezek a kötelezettségvállalások megállítani növekvő vásárlói csalódottság Ivantival továbbra is tisztázatlan, tekintettel a cég közelmúltbeli biztonsági múltjára. Valójában Abbot megjegyzései egy nappal azután érkeztek, hogy Ivanti nyilvánosságra hozta négy új hiba a Connect Secure-ban és a Policy Secure-ban átjárótechnológiákat és mindegyikhez kiadott javításokat.
A nyilvánosságra hozatalt a hasonló eset alig két héttel ezelőtt amely két hibát tartalmazott az Ivanti Standalone Sentry-ben és a Neuron ITSM-termékeiben. Az Ivanti eddig összesen 11 sebezhetőséget tárt fel technológiáiban – köztük négyet ezen a héten – január 1. óta. Ezek közül sok kritikus hiba volt – legalább kettő nulla nap volt – a vállalat távoli elérési termékeiben, amelyeket a támadók , beleértve a fejlett, tartós fenyegetés szereplőit, mint példáulMágnes goblin,”Van tömegdivatban használják ki. Aggodalomra ad okot, hogy ezek a hibák némelyike súlyos jogsértéseket okozhat, arra késztette az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségét (CISA) januárban, hogy elrendelje az összes polgári szövetségi ügynökséget, offline állapotba hozhatja Ivanti rendszereiket és ne csatlakoztassa újra az eszközöket a teljes helyreállításig.
A biztonsági kutató és az IANS Research oktatója, Jake Williams szerint a sebezhetőség feltárása komoly kérdéseket vet fel az Ivanti ügyfeleinél. „A beszélgetéseim alapján, különösen a Fortune 500-as ügyfelekkel, őszintén úgy gondolom, hogy ez egy kicsit túl kevés, túl késő” – mondja. „Több mint egy hónapja volt itt az ideje ennek a kötelezettségvállalásnak a nyilvános megtételére.” Nem kérdéses, hogy az Ivanti VPN-eszközzel (korábban Pulse) kapcsolatos problémák miatt a CISO-k megkérdőjelezik az Ivanti számos más termékének biztonságát.
Friss készlet 4 bogarat
A négy új hiba, amelyet Ivanti a héten nyilvánosságra hozott, két kupac túlcsordulási sérülékenységet tartalmazott a Connect Secure és a Policy Secure IPSec összetevőjében, amelyeket a vállalat az ügyfelek számára súlyos kockázatként jellemez. Az egyik sebezhetőség, amelyet CVE-2024-21894 néven nyomon követnek, lehetőséget ad a nem hitelesített támadóknak tetszőleges kód futtatására az érintett rendszereken. A másik, CVE-2024-22053 jelzéssel rendelkezik, lehetővé teszi egy hitelesítés nélküli távoli támadó számára, hogy bizonyos feltételek mellett beolvassa a tartalmat a rendszermemóriából. Ivanti mindkét biztonsági rést úgy írta le, hogy lehetővé teszi a támadók számára, hogy rosszindulatú kéréseket küldjenek szolgáltatásmegtagadási feltételek kiváltására.
A másik két hiba – CVE-2024-22052 és CVE-2024-22023 – két közepes súlyosságú biztonsági rést jelent, amelyeket kihasználva szolgáltatásmegtagadási állapotokat idézhetnek elő a támadók az érintett rendszereken. Ivanti azt mondta, hogy április 2-ig nem tudott semmiféle kizsákmányoló tevékenységről a vadonban, amely a sebezhetőséget célozta volna.
A hibák folyamatos felfedése kérdéseket vetett fel azzal kapcsolatban, hogy az Ivanti termékei világszerte több mint 40,000 XNUMX vásárló számára jelentenek kockázatot, és néhányan csalódottságukat fejezték ki fórumokon, mint például a Reddit. Mindössze két évvel ezelőtt az Ivanti sajtóközleményei a Fortune 96 listán szereplő cégek közül 100-ot állítottak ügyfelei közé. A legutóbbi kiadásban ez a szám közel 12%-kal 85 vállalatra csökkent. Noha a lemorzsolódás a biztonságon kívül más tényezőkkel is összefügghet, néhány ivanti rivális kezdi érezni a lehetőséget. A Cisco például elkezdődött ösztönzőket kínál – beleértve a 90 napos ingyenes próbaverziót is –, hogy megpróbálja rávenni az Ivanti VPN ügyfeleit arra, hogy áttérjenek a Secure Access platformra, így „mérsékelni tudják” az Ivanti termékeiből származó kockázatokat.
Beszerzéssel kapcsolatos problémák?
Eric Parizo, az Omdia elemzője szerint az Ivanti előtt álló kihívások legalább egy része azzal a ténnyel kapcsolatos, hogy a vállalat termékportfóliója számos korábbi akvizíció összessége. „Az eredeti termékeket különböző időpontokban fejlesztették ki különböző cégek különböző célokra, eltérő módszerekkel. Ez azt jelenti, hogy a szoftver minősége, különösen a szoftverbiztonság tekintetében, drámaian egyenetlen lehet” – mondja.
Parizo szerint amit Ivanti tesz most a biztonsági folyamatok és eljárások átfogó javítása iránti elkötelezettségével, az egy lépés a helyes irányba. „Szeretném azt is látni, hogy az eladó megtéríti ügyfeleit az ezekből a sérülékenységekből közvetlenül eredő károkért, mivel ez segít helyreállítani a jövőbeni vásárlásokba vetett bizalmat” – mondja. "Talán az egyetlen megmentő kegyelem Ivanti számára, hogy a vásárlók annyira hozzászoktak az efféle eseményekhez, mivel a kiberbiztonsági szolgáltatók számtalan hasonló incidenst szenvedtek el az elmúlt években, hogy az ügyfelek hajlamosabbak megbocsátani és elfelejteni."
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
- :van
- :is
- :nem
- 000
- 000 vásárló
- 1
- 100
- 11
- 40
- 500
- 7
- a
- Rólunk
- hozzáférés
- beszerzés
- felvásárlások
- át
- tevékenység
- szereplők
- hozzáadott
- mellett
- fejlett
- érintett
- Után
- ügynökségek
- ügynökség
- Augusztus
- Minden termék
- lehetővé téve
- lehetővé teszi, hogy
- már
- Is
- an
- elemző
- és a
- és az infrastruktúra
- Másik
- bármilyen
- Alkalmazása
- április
- önkényes
- VANNAK
- AS
- kijelölt
- társult
- At
- támadó
- veszteség
- elérhető
- tudatában van
- zárótűz
- alapján
- BE
- óta
- megkezdett
- Bit
- bizottság
- mindkét
- megsértésének
- Bogár
- bogarak
- by
- jött
- TUD
- Okoz
- vezérigazgató
- bizonyos
- megtámadta
- kihívások
- Változások
- jellemzett
- Cisco
- polgári
- azt állította,
- ügyfél részére
- kód
- érkező
- Hozzászólások
- elkötelezettség
- kötelezettségvállalások
- elkötelezett
- Companies
- vállalat
- teljes
- teljesen
- összetevő
- Vonatkozik
- Körülmények
- bizalom
- Csatlakozás
- tartalom
- beszélgetések
- kidolgozott
- kritikai
- vevő
- Ügyfelek
- Kiberbiztonság
- ciklus
- nap
- Denial of Service
- leírt
- fejlett
- Fejlesztés
- Eszközök
- különböző
- irány
- közvetlenül
- közzététel
- felfedezés
- do
- dokumentáció
- Ennek
- drámaian
- minden
- beágyazás
- Mérnöki
- biztosítására
- különösen
- Még
- esemény
- Minden
- Exploit
- kifejező
- tény
- tényezők
- messze
- Jellemzők
- Szövetségi
- megtalálása
- javítások
- hibái
- követ
- következő
- A
- korábban
- Szerencse
- négy
- Ingyenes
- ingyenes próbaverzió
- friss
- ból ből
- csalódottság
- teljesen
- jövő
- gateway
- kap
- adott
- ad
- kegyelem
- nagyobb
- Legyen
- tekintettel
- he
- segít
- legnagyobb
- övé
- Őszintén
- HTTPS
- i
- azonnali
- Hatás
- végrehajtás
- javul
- fejlesztések
- javuló
- in
- Ösztönzők
- incidens
- tartalmaz
- beleértve
- Beleértve
- Növelje
- információ
- Infrastruktúra
- Kezdeményezés
- példa
- integrálása
- belső
- bele
- részt
- szigetelés
- Kiadott
- kérdések
- IT
- ITS
- január
- január
- jpg
- éppen
- Késő
- legutolsó
- legutolsó kiadás
- tanulás
- legkevésbé
- kevesebb
- levél
- szint
- élet
- mint
- Valószínű
- kis
- néz
- fontos
- csinál
- Gyártás
- vezetés
- sok
- Tömeg
- eszközök
- tag
- Memory design
- mód
- esetleg
- vándorol
- minimalizálása
- Enyhít
- modell
- Hónap
- hónap
- több
- sok
- közel
- Új
- nem
- Most
- szám
- számos
- of
- Odüsszeia
- on
- ONE
- nyitva
- üzemeltetési
- Alkalom
- érdekében
- eredeti
- Más
- mi
- magunkat
- felett
- Nagyjavítás
- saját
- különös
- múlt
- Patches
- talán
- fázis
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- politika
- portfolió
- póz
- potenciális
- gyakorlat
- nyomja meg a
- Hírek
- problémák
- eljárások
- folyamat
- Folyamatok
- Termékek
- termékfejlesztés
- Termékek
- igért
- védelem
- nyilvánosan
- impulzus
- vásárlások
- célokra
- világítás
- kérdés
- Kérdések
- emelt
- Olvass
- új
- dugja
- rekord
- tekintik
- összefüggő
- engedje
- Releases
- könyörtelen
- maradványok
- távoli
- távoli hozzáférés
- kéri
- kutatás
- kutató
- Tudástár
- visszaad
- kapott
- jobb
- Kockázat
- rivális
- futás
- s
- Mondott
- megtakarítás
- azt mondja,
- biztonság
- biztonság
- lát
- küld
- értelemben
- Series of
- súlyos
- szolgáltatás
- készlet
- megosztás
- hasonló
- óta
- So
- eddig
- szoftver
- szoftverfejlesztés
- néhány
- különleges
- Színpad
- önálló
- állandó
- Származik
- Lépés
- Lépései
- folyam
- ilyen
- szenvedő
- rendszer
- Systems
- célzás
- Technologies
- mint
- hogy
- A
- azok
- Őket
- Ott.
- Ezek
- ők
- Szerintem
- harmadik fél
- ezt
- ezen a héten
- alapos
- fenyegetés
- fenyegetés szereplői
- idő
- alkalommal
- nak nek
- is
- Végösszeg
- felé
- vágány
- múlttal
- Átalakítás
- Átalakítás
- próba
- kiváltó
- megpróbál
- kettő
- alatt
- -ig
- us
- használt
- segítségével
- változó
- eladó
- gyártók
- VPN
- sérülékenységek
- sebezhetőség
- sebezhetőségi információk
- volt
- Út..
- we
- hét
- Hetek
- voltak
- Mit
- ami
- míg
- Vadon
- lesz
- Williams
- val vel
- világszerte
- lenne
- év
- zephyrnet