מנכ"ל Ivanti, ג'ף אבוט, אמר השבוע שהחברה שלו תשנה לחלוטין את נוהלי האבטחה שלה, אפילו כשהספק חשף עוד קבוצה חדשה של באגים במוצרי Ivanti Connect Secure ו-Policy Secure הגישה מרחוק מלאי הפגיעות.
במכתב פתוח ללקוחות, אבוט התחייבה לשורה של שינויים שהחברה תבצע בחודשים הקרובים כדי לשנות את מודל הפעולה האבטחה שלה בעקבות מטח בלתי פוסק של גילויי באגים מאז ינואר. התיקונים המובטחים כוללים ביצוע מלא של תהליכי ההנדסה, האבטחה וניהול הפגיעות של Ivanti והטמעה של יוזמה חדשה בעיצוב מאובטח לפיתוח מוצר.
שיפוץ יסודי
"אתגרנו את עצמנו להסתכל בביקורתיות על כל שלב של התהליכים שלנו, וכל מוצר, כדי להבטיח את רמת ההגנה הגבוהה ביותר עבור הלקוחות שלנו", אמר אבוט, בהצהרה שלו. "כבר התחלנו ליישם למידה מתקריות אחרונות כדי לבצע שיפורים מיידיים לנוהלי ההנדסה והאבטחה שלנו."
חלק מהשלבים הספציפיים כוללים הטמעת אבטחה בכל שלב במחזור החיים של פיתוח התוכנה ושילוב תכונות בידוד ואנטי-ניצול חדשות במוצרים שלה כדי למזער את ההשפעה הפוטנציאלית של פרצות תוכנה. החברה גם תשפר את תהליך הגילוי והניהול הפנימי של הפגיעות שלה ותגדיל את התמריצים עבור ציידי באגים של צד שלישי, אמר אבוט.
בנוסף, Ivanti תעמיד יותר משאבים לזמינים ללקוחות למציאת מידע על פגיעות ותיעוד משויך והיא מחויבת לשינוי גדול יותר ולשיתוף מידע עם לקוחות, הוא הוסיף.
עד כמה המחויבויות הללו יעזרו לבלום אכזבה גוברת של לקוחות עם Ivanti עדיין לא ברור בהתחשב ברקורד האבטחה האחרון של החברה. למעשה, ההערות של אבוט הגיעו יום אחד לאחר שאיבנטי חשף ארבעה באגים חדשים ב-Connect Secure ו-Policy Secure טכנולוגיות שער ותיקונים שהונפקו עבור כל אחת מהן.
החשיפה באה בעקבות א אירוע דומה לפני פחות משבועיים זה כלל שני באגים במוצרי Ivanti Standalone Sentry ו- Neuron's for ITSM. עד כה חשפה איבנטי סך של 11 נקודות תורפה - כולל ארבע השבוע - בטכנולוגיות שלה מאז 1 בינואר. רבות מהן היו פגמים קריטיים - לפחות שניים היו אפס ימים - במוצרי הגישה מרחוק של החברה, שתוקפים , כולל שחקנים מתקדמים לאיום מתמשך כגון "מגנט גובלין,”יש מנוצל באופנה המונית. דאגה לגבי הפוטנציאל להפרות גדולות מחלק מהבאגים הללו גרמה לסוכנות הביטחון הסייבר והתשתית האמריקאית (CISA) בינואר להורות לכל הסוכנויות הפדרליות האזרחיות לקחת את מערכות Ivanti שלהם במצב לא מקוון ולא לחבר מחדש את המכשירים עד לתיקון מלא.
חוקר האבטחה וחבר סגל המחקר של IANS, ג'ייק וויליאמס, אומר שגילויי הפגיעות עוררו שאלות רציניות מלקוחותיו של איבנטי. "בהתבסס על שיחות שאני מנהל, במיוחד עם לקוחות Fortune 500, אני באמת חושב שזה קצת מעט מדי, מאוחר מדי", הוא אומר. "הזמן להתחייבות זו בפומבי היה לפני יותר מחודש." אין ספק שהבעיות במכשיר ה-VPN של Ivanti (לשעבר Pulse) גורמות ל-CISO לפקפק באבטחה של מוצרים רבים אחרים של Ivanti, הוא אומר.
סט טרי של 4 באגים
ארבעת הבאגים החדשים שחשפה איבנטי השבוע כללו שתי פגיעויות של הצפה בערימה ברכיב ה-IPSec של Connect Secure ו-Policy Secure, את שתיהן אפיינה החברה כסיכון בדרגת חומרה גבוהה ללקוחות. אחת מהפגיעויות, במעקב כ-CVE-2024-21894, נותנת לתוקפים לא מאומתים דרך להפעיל קוד שרירותי במערכות מושפעות. השני, שהוקצה כ-CVE-2024-22053, מאפשר לתוקף מרוחק לא מאומת לקרוא את התוכן מזיכרון המערכת בתנאים מסוימים. איבנטי תיאר את שתי הפגיעויות כמאפשרות לתוקפים לשלוח בקשות בעלות מבנה זדוני כדי להפעיל תנאי מניעת שירות.
שני הפגמים האחרים - CVE-2024-22052 ו-CVE-2024-22023 - הם שתי נקודות תורפה בדרגת חומרה בינונית שתוקפים יכולים לנצל כדי לגרום למצבי מניעת שירות במערכות מושפעות. איבנטי אמר כי נכון ל-2 באפריל, היא לא הייתה מודעת לפעילות ניצול בטבע המכוונת לפגיעויות.
הזרם הקבוע של גילויי באגים העלה שאלות לגבי הסיכון שהמוצרים של איבנטי מהווים ליותר מ-40,000 לקוחות ברחבי העולם, וחלקם הביעו את התסכול שלהם על פורומים כגון Reddit. רק לפני שנתיים, ההודעות לעיתונות של איבנטי טענו ש-96 מחברות Fortune 100 היו לקוחות שלה. במהדורה האחרונה המספר הזה ירד בכמעט 12% ל-85 חברות. בעוד שהשחיקה עשויה להיות קשורה לגורמים שאינם רק ביטחון, כמה יריבים של איבנטי החלו לחוש בהזדמנות. סיסקו, למשל, התחילה מציע תמריצים - כולל ניסיון חינם של 90 יום - כדי לנסות לגרום ללקוחות Ivanti VPN לעבור לפלטפורמת הגישה המאובטחת שלה כדי שיוכלו "להפחית סיכונים" מהמוצרים של Ivanti.
בעיות הקשורות לרכישה?
אריק פאריזו, אנליסט באומדיה, אומר שלפחות חלק מהאתגרים של איבנטי קשורים לעובדה שפורטפוליו המוצרים של החברה הוא סכום של מספר רב של רכישות קודמות. "המוצרים המקוריים פותחו בזמנים שונים על ידי חברות שונות למטרות שונות בשיטות שונות. המשמעות היא שאיכות התוכנה, במיוחד בכל הנוגע לאבטחת תוכנה, יכולה להיות לא אחידה באופן דרמטי", הוא אומר.
פאריזו אומר שמה שאיוונטי עושה כעת עם המחויבות שלה לשיפור תהליכי ונהלי אבטחה בכל רחבי הלוח הוא צעד בכיוון הנכון. "אני גם רוצה לראות את הספק ישפה את לקוחותיו בגין נזקים הנובעים ישירות מפגיעות אלה, שכן זה יעזור להחזיר את האמון ברכישות עתידיות", הוא אומר. "אולי החסד המציל עבור איבנטי הוא שהלקוחות כל כך רגילים לאירועים מסוג זה, כשספקי אבטחת סייבר סובלים מאינספור תקריות דומות בשנים האחרונות, שסביר יותר שלקוחות יסלחו וישכחו".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
- :יש ל
- :הוא
- :לֹא
- 000
- 000 לקוחות
- 1
- 100
- 11
- 40
- 500
- 7
- a
- אודות
- גישה
- רכישה
- רכישות
- לרוחב
- פעילות
- שחקנים
- הוסיף
- תוספת
- מתקדם
- מושפע
- לאחר
- סוכנויות
- סוכנות
- לִפנֵי
- תעשיות
- מאפשר
- מאפשר
- כְּבָר
- גם
- an
- מנתח
- ו
- תשתיות
- אחר
- כל
- מריחה
- אַפּרִיל
- שרירותי
- ARE
- AS
- שהוקצה
- המשויך
- At
- תוקף
- התשה
- זמין
- מודע
- מסך אש
- מבוסס
- BE
- היה
- התחיל
- קצת
- לוּחַ
- שניהם
- פרות
- חרק
- באגים
- by
- הגיע
- CAN
- לגרום
- מנכ"ל
- מסוים
- תיגר
- האתגרים
- שינויים
- מאופיין
- סיסקו
- אזרחי
- נתבע
- לקוחות
- קוד
- מגיע
- הערות
- מחויבות
- התחייבויות
- מְחוּיָב
- חברות
- חברה
- להשלים
- לחלוטין
- רְכִיב
- דְאָגָה
- תנאים
- אמון
- לְחַבֵּר
- תוכן
- שיחות
- מעוצב
- קריטי
- לקוח
- לקוחות
- אבטחת סייבר
- מחזור
- יְוֹם
- מניעת שירות
- מְתוּאָר
- מפותח
- צעצועי התפתחות
- התקנים
- אחר
- כיוון
- ישירות
- חשיפה
- תגלית
- do
- תיעוד
- עושה
- באופן דרמטי
- כל אחד
- הטבעה
- הנדסה
- לְהַבטִיחַ
- במיוחד
- אֲפִילוּ
- אירוע
- כל
- לנצל
- מביע
- עובדה
- גורמים
- רחוק
- תכונות
- פדרלי
- מציאת
- תיקוני
- פגמים
- בעקבות
- הבא
- בעד
- לשעבר
- הון עתק
- ארבע
- חופשי
- ניסיון ללא תשלום
- טרי
- החל מ-
- תסכול
- לגמרי
- עתיד
- שער כניסה
- לקבל
- נתן
- נותן
- חסד
- יותר
- יש
- יש
- he
- לעזור
- הגבוה ביותר
- שֶׁלוֹ
- בִּיוֹשֶׁר
- HTTPS
- i
- מיידי
- פְּגִיעָה
- הפעלה
- לשפר
- שיפורים
- שיפור
- in
- תמריצים
- תקרית
- לכלול
- כלול
- כולל
- להגדיל
- מידע
- תשתית
- יוזמה
- למשל
- שילוב
- פנימי
- אל תוך
- מעורב
- בדידות
- הפיקו
- בעיות
- IT
- שֶׁלָה
- יאן
- יָנוּאָר
- jpg
- רק
- מְאוּחָר
- האחרון
- המהדורה האחרונה
- למידה
- הכי פחות
- פחות
- מכתב
- רמה
- החיים
- כמו
- סביר
- קְצָת
- נראה
- גדול
- לעשות
- עשייה
- ניהול
- רב
- מסה
- אומר
- חבר
- זכרון
- שיטות
- יכול
- נודד
- לצמצם
- להקל
- מודל
- חוֹדֶשׁ
- חודשים
- יותר
- הרבה
- כמעט
- חדש
- לא
- עַכשָׁיו
- מספר
- רב
- of
- אומדיה
- on
- ONE
- לפתוח
- פועל
- הזדמנות
- להזמין
- מְקוֹרִי
- אחר
- שלנו
- בעצמנו
- יותר
- לְשַׁפֵּץ
- שֶׁלוֹ
- מסוים
- עבר
- טלאים
- אוּלַי
- שלב
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- תיק עבודות
- פוזה
- פוטנציאל
- פרקטיקות
- ללחוץ
- הודעות לעיתונות
- בעיות
- נהלים
- תהליך
- תהליכים
- המוצר
- פיתוח מוצר
- מוצרים
- מוּבטָח
- .
- בפומבי
- דופק
- רכישות
- למטרות
- איכות
- שאלה
- שאלות
- מורם
- חומר עיוני
- לאחרונה
- מחדש
- שיא
- להתייחס
- קָשׁוּר
- לשחרר
- עיתונות
- ללא הרף
- שְׂרִידִים
- מרחוק
- גישה מרחוק
- בקשות
- מחקר
- חוקר
- משאבים
- לשחזר
- וכתוצאה מכך
- תקין
- הסיכון
- יריבים
- הפעלה
- s
- אמר
- חסכת
- אומר
- לבטח
- אבטחה
- לִרְאוֹת
- לשלוח
- תחושה
- סדרה
- רציני
- שרות
- סט
- שיתוף
- דומה
- since
- So
- עד כה
- תוכנה
- פיתוח תוכנה
- כמה
- ספציפי
- התמחות
- עצמאי
- יציב
- גֶזַע
- שלב
- צעדים
- זרם
- כזה
- סֵבֶל
- מערכת
- מערכות
- מיקוד
- טכנולוגיות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- הֵם
- לחשוב
- צד שלישי
- זֶה
- השבוע
- יְסוֹדִי
- איום
- איום שחקנים
- זמן
- פִּי
- ל
- גַם
- סה"כ
- לקראת
- לעקוב
- לעקוב אחר
- לשנות
- טרנספורמציה
- מִשׁפָּט
- להפעיל
- לנסות
- שתיים
- תחת
- עד
- us
- מְשׁוּמָשׁ
- באמצעות
- משתנה
- מוכר
- ספקים
- VPN
- פגיעויות
- פגיעות
- מידע על פגיעות
- היה
- דֶרֶך..
- we
- שבוע
- שבועות
- היו
- מה
- אשר
- בזמן
- בר
- יצטרך
- וויליאמס
- עם
- עולמי
- היה
- שנים
- זפירנט