Ivanti promette una revisione della sicurezza il giorno dopo la scoperta di altre 4 vulnerabilità

Il CEO di Ivanti, Jeff Abbott, questa settimana ha affermato che la sua azienda rinnoverà completamente le sue pratiche di sicurezza anche se il fornitore ha rivelato un'altra nuova serie di bug nei suoi prodotti di accesso remoto Ivanti Connect Secure e Policy Secure, pieni di vulnerabilità.

In una lettera aperta ai clienti, Abbott si è impegnata ad adottare una serie di modifiche che l'azienda apporterà nei prossimi mesi per trasformare il suo modello operativo di sicurezza dopo l'incessante raffica di segnalazioni di bug a partire da gennaio. Le soluzioni promesse includono un rifacimento completo dei processi di progettazione, sicurezza e gestione delle vulnerabilità di Ivanti e l'implementazione di una nuova iniziativa secure-by-design per lo sviluppo del prodotto.

Una revisione approfondita

"Ci siamo sfidati a guardare in modo critico ogni fase dei nostri processi e ogni prodotto, per garantire il massimo livello di protezione per i nostri clienti", ha affermato Abbott, nella sua dichiarazione. “Abbiamo già iniziato ad applicare quanto appreso dai recenti incidenti per apportare miglioramenti immediati alle nostre pratiche di ingegneria e sicurezza”.

Alcuni dei passaggi specifici includono l’integrazione della sicurezza in ogni fase del ciclo di vita dello sviluppo del software e l’integrazione di nuove funzionalità di isolamento e anti-exploit nei suoi prodotti per ridurre al minimo il potenziale impatto delle vulnerabilità del software. La società migliorerà inoltre il processo interno di rilevamento e gestione delle vulnerabilità e aumenterà gli incentivi per i cacciatori di bug di terze parti, ha affermato Abbott.

Inoltre, Ivanti metterà a disposizione dei clienti maggiori risorse per la ricerca di informazioni sulle vulnerabilità e della documentazione associata e si impegna a una maggiore trasformazione e condivisione delle informazioni con i clienti, ha aggiunto.

Quanto questi impegni contribuiranno ad arginare crescente disincanto dei clienti con Ivanti rimane poco chiaro dati i recenti trascorsi della società in materia di sicurezza. In effetti, i commenti di Abbot sono arrivati ​​un giorno dopo la rivelazione di Ivanti quattro nuovi bug nelle funzionalità Connect Secure e Policy Secure tecnologie gateway e patch rilasciate per ciascuna di esse.

La divulgazione ha fatto seguito a incidente simile meno di due settimane fa che riguardava due bug nei prodotti Standalone Sentry di Ivanti e Neuron per ITSM. Finora Ivanti ha rivelato un totale di 11 vulnerabilità (comprese le quattro di questa settimana) nelle sue tecnologie dal 1° gennaio. Molte di queste erano difetti critici (almeno due erano zero-day) nei prodotti di accesso remoto dell'azienda, che gli aggressori , compresi gli autori di minacce persistenti avanzate come "Magnete Goblin," avere sfruttato in maniera di massa. La preoccupazione per il rischio di gravi violazioni da parte di alcuni di questi bug ha spinto la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti a gennaio a ordinare a tutte le agenzie federali civili di mettere offline i loro sistemi Ivanti e non ricollegare i dispositivi fino alla completa risoluzione del problema.

Il ricercatore di sicurezza e membro della facoltà di ricerca IANS Jake Williams afferma che le rivelazioni sulle vulnerabilità hanno sollevato serie domande da parte dei clienti di Ivanti. "Sulla base delle conversazioni che sto avendo, soprattutto con i clienti Fortune 500, onestamente penso che sia un po' troppo poco e troppo tardi", afferma. “Il momento per assumere pubblicamente questo impegno è stato più di un mese fa”. Non c'è dubbio che i problemi con l'appliance VPN Ivanti (ex Pulse) stiano spingendo i CISO a mettere in dubbio la sicurezza di molti altri prodotti Ivanti, afferma.

Un nuovo set di 4 insetti

I quattro nuovi bug divulgati da Ivanti questa settimana includevano due vulnerabilità di heap overflow nel componente IPSec di Connect Secure e Policy Secure, entrambe caratterizzate dall'azienda come rischi ad alta gravità per i clienti. Una delle vulnerabilità, identificata come CVE-2024-21894, offre agli aggressori non autenticati la possibilità di eseguire codice arbitrario sui sistemi interessati. L'altro, assegnato come CVE-2024-22053, consente a un utente malintenzionato remoto non autenticato di leggere i contenuti dalla memoria di sistema in determinate condizioni. Ivanti ha descritto entrambe le vulnerabilità come se permettessero agli aggressori di inviare richieste dannose per attivare condizioni di negazione del servizio.

Gli altri due difetti, CVE-2024-22052 e CVE-2024-22023, sono due vulnerabilità di media gravità che gli aggressori possono sfruttare per causare condizioni di negazione del servizio sui sistemi interessati. Ivanti ha affermato che al 2 aprile non era a conoscenza di alcuna attività di exploit in circolazione che prendesse di mira le vulnerabilità.

Il flusso costante di segnalazioni di bug ha sollevato dubbi sul rischio che i prodotti Ivanti rappresentano per oltre 40,000 clienti in tutto il mondo, alcuni dei quali hanno espresso la loro frustrazione forum come Reddit. Solo due anni fa, i comunicati stampa di Ivanti rivendicavano come clienti 96 delle aziende Fortune 100. Nell'ultima versione tale numero è sceso di quasi il 12% a 85 aziende. Anche se il logoramento potrebbe avere a che fare con fattori diversi dalla semplice sicurezza, alcuni rivali di Ivanti hanno iniziato a percepire un’opportunità. Cisco, ad esempio, ha iniziato offrire incentivi - inclusa una prova gratuita di 90 giorni - per provare a convincere i clienti VPN di Ivanti a migrare alla sua piattaforma Secure Access in modo da poter "mitigare il rischio" derivante dai prodotti Ivanti.

Problemi relativi all'acquisizione?

Eric Parizo, analista di Omdia, afferma che almeno alcune delle sfide di Ivanti hanno a che fare con il fatto che il portafoglio di prodotti dell'azienda è la somma di numerose acquisizioni passate. “I prodotti originali sono stati sviluppati in tempi diversi da aziende diverse per scopi diversi utilizzando metodi diversi. Ciò significa che la qualità del software, in particolare per quanto riguarda la sicurezza del software, può essere notevolmente disomogenea”, afferma.

 Parizo ritiene che ciò che Ivanti sta facendo ora con il suo impegno volto a migliorare i processi e le procedure di sicurezza a tutti i livelli sia un passo nella giusta direzione. "Mi piacerebbe anche che il venditore risarcisse i propri clienti per i danni direttamente derivanti da queste vulnerabilità, in quanto ciò contribuirà a ripristinare la fiducia negli acquisti futuri", afferma. “Forse l’unica cosa che salva Ivanti è che i clienti sono così abituati a questo tipo di eventi, con i fornitori di sicurezza informatica che hanno subito innumerevoli incidenti simili negli ultimi anni, che i clienti sono più propensi a perdonare e dimenticare”.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns