Ivanti、さらに 4 つの脆弱性が公開された翌日にセキュリティの徹底的な見直しを約束

Ivanti CEO の Jeff Abbott 氏は今週、脆弱性を抱えた Ivanti Connect Secure および Policy Secure リモート アクセス製品に同ベンダーが新たなバグを明らかにしたにもかかわらず、同社はセキュリティ慣行を完全に刷新すると述べた。

アボット氏は顧客への公開書簡の中で、1月以来の執拗なバグ開示を受けて、同社がセキュリティ運用モデルを変革するために今後数カ月以内に行う一連の変更を約束した。約束された修正には、Ivanti のエンジニアリング、セキュリティ、脆弱性管理プロセスの完全なやり直しと、製品開発における新しいセキュア・バイ・デザインの取り組みの実装が含まれます。

徹底的な見直し

「私たちは、お客様に最高レベルの保護を確保するために、プロセスのあらゆる段階と製品を批判的に見ることに挑戦してきました」とアボット氏は述べています。 彼の声明の中で。 「私たちはすでに、最近のインシデントから学んだことを適用して、自社のエンジニアリングとセキュリティの実践を即座に改善し始めています。」

具体的な手順には、ソフトウェア開発ライフサイクルのあらゆる段階にセキュリティを組み込むこと、ソフトウェアの脆弱性による潜在的な影響を最小限に抑えるための新しい隔離機能とエクスプロイト対策機能を製品に統合することが含まれます。アボット氏は、同社は社内の脆弱性発見と管理プロセスも改善し、サードパーティのバグハンターへのインセンティブを増やすと述べた。

さらに、Ivanti は顧客が脆弱性情報や関連ドキュメントを見つけるために利用できるリソースを増やし、さらなる変革と顧客との情報共有に取り組んでいくと同氏は付け加えた。

こうした取り組みがどれだけ阻止に役立つか 増大する顧客の幻滅 同社の最近のセキュリティ実績を考慮すると、Ivanti との関係は依然として不明瞭である。実際、アボット氏のコメントは、イヴァンティが暴露した翌日に出た。 Connect Secure と Policy Secure に 4 つの新たなバグが発生 ゲートウェイ テクノロジーとそれらのそれぞれに対して発行されたパッチ。

この開示は次のとおりです 2週間以内に同様の事件が発生 これには、ITSM 製品用の Ivanti のスタンドアロン Sentry と Neuron の 11 つのバグが関係していました。 Ivanti は、1 月 XNUMX 日以降、これまでに同社のテクノロジにある合計 XNUMX 件の脆弱性 (今週の XNUMX 件を含む) を公開しました。それらの多くは、同社のリモート アクセス製品の重大な欠陥であり、少なくとも XNUMX 件はゼロデイでした。 、「」などの高度な永続的な脅威アクターを含むマグネットゴブリン、" 持ってる 大衆的に悪用される。これらのバグの一部による大規模な侵害の可能性に対する懸念から、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は1月、すべての文民連邦機関に対し次のことを命じた。 Ivanti システムをオフラインにする 完全に修復されるまでデバイスを再接続しないでください。

セキュリティ研究者であり、IANS Research の教員である Jake Williams 氏は、脆弱性の公開により Ivanti の顧客から深刻な質問が生じたと述べています。 「特にフォーチュン 500 企業の顧客との会話によると、正直、これは少し少なすぎる、遅すぎると思います」と彼は言います。 「この約束を公に行う時期はXNUMXか月以上前でした。」 Ivanti VPN アプライアンス (旧名 Pulse) の問題により、CISO が Ivanti の他の多くの製品のセキュリティに疑問を抱いていることに疑問の余地はありません、と同氏は言います。

新鮮な 4 つのバグのセット

Ivanti が今週明らかにした 2024 つの新しいバグには、Connect Secure と Policy Secure の IPSec コンポーネントにある 21894 つのヒープ オーバーフローの脆弱性が含まれており、同社はどちらも顧客にとって重大なリスクであると特徴づけています。脆弱性の 2024 つは CVE-22053-XNUMX として追跡されており、認証されていない攻撃者に影響を受けるシステム上で任意のコードを実行する手段を与えます。もう XNUMX つは CVE-XNUMX-XNUMX として割り当てられており、認証されていないリモート攻撃者が特定の条件下でシステム メモリの内容を読み取ることができます。 Ivanti 氏は、両方の脆弱性により、攻撃者が悪意を持って作成されたリクエストを送信してサービス拒否状態を引き起こす可能性があると説明しました。

他の 2024 つの欠陥 (CVE-22052-2024 および CVE-22023-2) は、攻撃者が悪用して影響を受けるシステムにサービス妨害状態を引き起こす可能性がある XNUMX つの重大度の中程度の脆弱性です。 Ivanti は、XNUMX 月 XNUMX 日の時点で、この脆弱性を標的とした悪用活動が実際に行われたことは認識していないと述べた。

着実にバグが公開されることで、Ivanti の製品が世界中の 40,000 以上の顧客にもたらすリスクについての疑問が生じており、中には不満を表明している人もいます。 Redditなどのフォーラム。わずか 96 年前、Ivanti のプレスリリースでは、Fortune 100 企業のうち 12 社が顧客であると主張されました。最新のリリースでは、その数は 85% 近く減って XNUMX 社となっています。この人員削減は単なるセキュリティ以外の要因に関係している可能性があるが、一部の Ivanti ライバル企業はチャンスを感じ始めている。たとえばシスコは、 インセンティブの提供 (90 日間の無料トライアルを含む) これは、Ivanti VPN の顧客に同社の Secure Access プラットフォームに移行してもらい、Ivanti の製品による「リスクを軽減」できるようにするためのものです。

買収関連の問題?

Omdia のアナリストである Eric Parizo 氏は、Ivanti の課題の少なくとも一部は、同社の製品ポートフォリオが過去の多数の買収の合計であるという事実に関係していると述べています。 「オリジナルの製品は、さまざまな時期に、さまざまな目的で、さまざまな方法を使用してさまざまな会社によって開発されました。これは、ソフトウェアの品質、特にソフトウェアのセキュリティに関して、劇的に不均一になる可能性があることを意味します。」と彼は言います。

 パリゾ氏は、Ivanti が現在セキュリティのプロセスと手順を全体的に改善することに取り組んでいることは、正しい方向への一歩であると述べています。 「また、ベンダーには、これらの脆弱性から直接生じた損害について顧客に補償してもらいたいと考えています。そうすることで、将来の購入に対する信頼を取り戻すことができるからです。」と彼は言います。 「おそらく、Ivanti にとって唯一の救いは、サイバーセキュリティ ベンダーが近年同様の事件に無数に苦しんでいることから、顧客がこの種の出来事に慣れているため、許し、忘れてしまう可能性が高いことです。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns