איבנטי מתחייבת לשיפוץ אבטחה יום לאחר שנחשפו עוד 4 פגיעות

מנכ"ל Ivanti, ג'ף אבוט, אמר השבוע שהחברה שלו תשנה לחלוטין את נוהלי האבטחה שלה, אפילו כשהספק חשף עוד קבוצה חדשה של באגים במוצרי Ivanti Connect Secure ו-Policy Secure הגישה מרחוק מלאי הפגיעות.

במכתב פתוח ללקוחות, אבוט התחייבה לשורה של שינויים שהחברה תבצע בחודשים הקרובים כדי לשנות את מודל הפעולה האבטחה שלה בעקבות מטח בלתי פוסק של גילויי באגים מאז ינואר. התיקונים המובטחים כוללים ביצוע מלא של תהליכי ההנדסה, האבטחה וניהול הפגיעות של Ivanti והטמעה של יוזמה חדשה בעיצוב מאובטח לפיתוח מוצר.

שיפוץ יסודי

"אתגרנו את עצמנו להסתכל בביקורתיות על כל שלב של התהליכים שלנו, וכל מוצר, כדי להבטיח את רמת ההגנה הגבוהה ביותר עבור הלקוחות שלנו", אמר אבוט, בהצהרה שלו. "כבר התחלנו ליישם למידה מתקריות אחרונות כדי לבצע שיפורים מיידיים לנוהלי ההנדסה והאבטחה שלנו."

חלק מהשלבים הספציפיים כוללים הטמעת אבטחה בכל שלב במחזור החיים של פיתוח התוכנה ושילוב תכונות בידוד ואנטי-ניצול חדשות במוצרים שלה כדי למזער את ההשפעה הפוטנציאלית של פרצות תוכנה. החברה גם תשפר את תהליך הגילוי והניהול הפנימי של הפגיעות שלה ותגדיל את התמריצים עבור ציידי באגים של צד שלישי, אמר אבוט.

בנוסף, Ivanti תעמיד יותר משאבים לזמינים ללקוחות למציאת מידע על פגיעות ותיעוד משויך והיא מחויבת לשינוי גדול יותר ולשיתוף מידע עם לקוחות, הוא הוסיף.

עד כמה המחויבויות הללו יעזרו לבלום אכזבה גוברת של לקוחות עם Ivanti עדיין לא ברור בהתחשב ברקורד האבטחה האחרון של החברה. למעשה, ההערות של אבוט הגיעו יום אחד לאחר שאיבנטי חשף ארבעה באגים חדשים ב-Connect Secure ו-Policy Secure טכנולוגיות שער ותיקונים שהונפקו עבור כל אחת מהן.

החשיפה באה בעקבות א אירוע דומה לפני פחות משבועיים זה כלל שני באגים במוצרי Ivanti Standalone Sentry ו- Neuron's for ITSM. עד כה חשפה איבנטי סך של 11 נקודות תורפה - כולל ארבע השבוע - בטכנולוגיות שלה מאז 1 בינואר. רבות מהן היו פגמים קריטיים - לפחות שניים היו אפס ימים - במוצרי הגישה מרחוק של החברה, שתוקפים , כולל שחקנים מתקדמים לאיום מתמשך כגון "מגנט גובלין,”יש מנוצל באופנה המונית. דאגה לגבי הפוטנציאל להפרות גדולות מחלק מהבאגים הללו גרמה לסוכנות הביטחון הסייבר והתשתית האמריקאית (CISA) בינואר להורות לכל הסוכנויות הפדרליות האזרחיות לקחת את מערכות Ivanti שלהם במצב לא מקוון ולא לחבר מחדש את המכשירים עד לתיקון מלא.

חוקר האבטחה וחבר סגל המחקר של IANS, ג'ייק וויליאמס, אומר שגילויי הפגיעות עוררו שאלות רציניות מלקוחותיו של איבנטי. "בהתבסס על שיחות שאני מנהל, במיוחד עם לקוחות Fortune 500, אני באמת חושב שזה קצת מעט מדי, מאוחר מדי", הוא אומר. "הזמן להתחייבות זו בפומבי היה לפני יותר מחודש." אין ספק שהבעיות במכשיר ה-VPN של Ivanti (לשעבר Pulse) גורמות ל-CISO לפקפק באבטחה של מוצרים רבים אחרים של Ivanti, הוא אומר.

סט טרי של 4 באגים

ארבעת הבאגים החדשים שחשפה איבנטי השבוע כללו שתי פגיעויות של הצפה בערימה ברכיב ה-IPSec של Connect Secure ו-Policy Secure, את שתיהן אפיינה החברה כסיכון בדרגת חומרה גבוהה ללקוחות. אחת מהפגיעויות, במעקב כ-CVE-2024-21894, נותנת לתוקפים לא מאומתים דרך להפעיל קוד שרירותי במערכות מושפעות. השני, שהוקצה כ-CVE-2024-22053, מאפשר לתוקף מרוחק לא מאומת לקרוא את התוכן מזיכרון המערכת בתנאים מסוימים. איבנטי תיאר את שתי הפגיעויות כמאפשרות לתוקפים לשלוח בקשות בעלות מבנה זדוני כדי להפעיל תנאי מניעת שירות.

שני הפגמים האחרים - CVE-2024-22052 ו-CVE-2024-22023 - הם שתי נקודות תורפה בדרגת חומרה בינונית שתוקפים יכולים לנצל כדי לגרום למצבי מניעת שירות במערכות מושפעות. איבנטי אמר כי נכון ל-2 באפריל, היא לא הייתה מודעת לפעילות ניצול בטבע המכוונת לפגיעויות.

הזרם הקבוע של גילויי באגים העלה שאלות לגבי הסיכון שהמוצרים של איבנטי מהווים ליותר מ-40,000 לקוחות ברחבי העולם, וחלקם הביעו את התסכול שלהם על פורומים כגון Reddit. רק לפני שנתיים, ההודעות לעיתונות של איבנטי טענו ש-96 מחברות Fortune 100 היו לקוחות שלה. במהדורה האחרונה המספר הזה ירד בכמעט 12% ל-85 חברות. בעוד שהשחיקה עשויה להיות קשורה לגורמים שאינם רק ביטחון, כמה יריבים של איבנטי החלו לחוש בהזדמנות. סיסקו, למשל, התחילה מציע תמריצים - כולל ניסיון חינם של 90 יום - כדי לנסות לגרום ללקוחות Ivanti VPN לעבור לפלטפורמת הגישה המאובטחת שלה כדי שיוכלו "להפחית סיכונים" מהמוצרים של Ivanti.

בעיות הקשורות לרכישה?

אריק פאריזו, אנליסט באומדיה, אומר שלפחות חלק מהאתגרים של איבנטי קשורים לעובדה שפורטפוליו המוצרים של החברה הוא סכום של מספר רב של רכישות קודמות. "המוצרים המקוריים פותחו בזמנים שונים על ידי חברות שונות למטרות שונות בשיטות שונות. המשמעות היא שאיכות התוכנה, במיוחד בכל הנוגע לאבטחת תוכנה, יכולה להיות לא אחידה באופן דרמטי", הוא אומר.

 פאריזו אומר שמה שאיוונטי עושה כעת עם המחויבות שלה לשיפור תהליכי ונהלי אבטחה בכל רחבי הלוח הוא צעד בכיוון הנכון. "אני גם רוצה לראות את הספק ישפה את לקוחותיו בגין נזקים הנובעים ישירות מפגיעות אלה, שכן זה יעזור להחזיר את האמון ברכישות עתידיות", הוא אומר. "אולי החסד המציל עבור איבנטי הוא שהלקוחות כל כך רגילים לאירועים מסוג זה, כשספקי אבטחת סייבר סובלים מאינספור תקריות דומות בשנים האחרונות, שסביר יותר שלקוחות יסלחו וישכחו".

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns