Ivanti CEO の Jeff Abbott 氏は今週、脆弱性を抱えた Ivanti Connect Secure および Policy Secure リモート アクセス製品に同ベンダーが新たなバグを明らかにしたにもかかわらず、同社はセキュリティ慣行を完全に刷新すると述べた。
アボット氏は顧客への公開書簡の中で、1月以来の執拗なバグ開示を受けて、同社がセキュリティ運用モデルを変革するために今後数カ月以内に行う一連の変更を約束した。約束された修正には、Ivanti のエンジニアリング、セキュリティ、脆弱性管理プロセスの完全なやり直しと、製品開発における新しいセキュア・バイ・デザインの取り組みの実装が含まれます。
徹底的な見直し
「私たちは、お客様に最高レベルの保護を確保するために、プロセスのあらゆる段階と製品を批判的に見ることに挑戦してきました」とアボット氏は述べています。 彼の声明の中で。 「私たちはすでに、最近のインシデントから学んだことを適用して、自社のエンジニアリングとセキュリティの実践を即座に改善し始めています。」
具体的な手順には、ソフトウェア開発ライフサイクルのあらゆる段階にセキュリティを組み込むこと、ソフトウェアの脆弱性による潜在的な影響を最小限に抑えるための新しい隔離機能とエクスプロイト対策機能を製品に統合することが含まれます。アボット氏は、同社は社内の脆弱性発見と管理プロセスも改善し、サードパーティのバグハンターへのインセンティブを増やすと述べた。
さらに、Ivanti は顧客が脆弱性情報や関連ドキュメントを見つけるために利用できるリソースを増やし、さらなる変革と顧客との情報共有に取り組んでいくと同氏は付け加えた。
こうした取り組みがどれだけ阻止に役立つか 増大する顧客の幻滅 同社の最近のセキュリティ実績を考慮すると、Ivanti との関係は依然として不明瞭である。実際、アボット氏のコメントは、イヴァンティが暴露した翌日に出た。 Connect Secure と Policy Secure に 4 つの新たなバグが発生 ゲートウェイ テクノロジーとそれらのそれぞれに対して発行されたパッチ。
この開示は次のとおりです 2週間以内に同様の事件が発生 これには、ITSM 製品用の Ivanti のスタンドアロン Sentry と Neuron の 11 つのバグが関係していました。 Ivanti は、1 月 XNUMX 日以降、これまでに同社のテクノロジにある合計 XNUMX 件の脆弱性 (今週の XNUMX 件を含む) を公開しました。それらの多くは、同社のリモート アクセス製品の重大な欠陥であり、少なくとも XNUMX 件はゼロデイでした。 、「」などの高度な永続的な脅威アクターを含むマグネットゴブリン、" 持ってる 大衆的に悪用される。これらのバグの一部による大規模な侵害の可能性に対する懸念から、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は1月、すべての文民連邦機関に対し次のことを命じた。 Ivanti システムをオフラインにする 完全に修復されるまでデバイスを再接続しないでください。
セキュリティ研究者であり、IANS Research の教員である Jake Williams 氏は、脆弱性の公開により Ivanti の顧客から深刻な質問が生じたと述べています。 「特にフォーチュン 500 企業の顧客との会話によると、正直、これは少し少なすぎる、遅すぎると思います」と彼は言います。 「この約束を公に行う時期はXNUMXか月以上前でした。」 Ivanti VPN アプライアンス (旧名 Pulse) の問題により、CISO が Ivanti の他の多くの製品のセキュリティに疑問を抱いていることに疑問の余地はありません、と同氏は言います。
新鮮な 4 つのバグのセット
Ivanti が今週明らかにした 2024 つの新しいバグには、Connect Secure と Policy Secure の IPSec コンポーネントにある 21894 つのヒープ オーバーフローの脆弱性が含まれており、同社はどちらも顧客にとって重大なリスクであると特徴づけています。脆弱性の 2024 つは CVE-22053-XNUMX として追跡されており、認証されていない攻撃者に影響を受けるシステム上で任意のコードを実行する手段を与えます。もう XNUMX つは CVE-XNUMX-XNUMX として割り当てられており、認証されていないリモート攻撃者が特定の条件下でシステム メモリの内容を読み取ることができます。 Ivanti 氏は、両方の脆弱性により、攻撃者が悪意を持って作成されたリクエストを送信してサービス拒否状態を引き起こす可能性があると説明しました。
他の 2024 つの欠陥 (CVE-22052-2024 および CVE-22023-2) は、攻撃者が悪用して影響を受けるシステムにサービス妨害状態を引き起こす可能性がある XNUMX つの重大度の中程度の脆弱性です。 Ivanti は、XNUMX 月 XNUMX 日の時点で、この脆弱性を標的とした悪用活動が実際に行われたことは認識していないと述べた。
着実にバグが公開されることで、Ivanti の製品が世界中の 40,000 以上の顧客にもたらすリスクについての疑問が生じており、中には不満を表明している人もいます。 Redditなどのフォーラム。わずか 96 年前、Ivanti のプレスリリースでは、Fortune 100 企業のうち 12 社が顧客であると主張されました。最新のリリースでは、その数は 85% 近く減って XNUMX 社となっています。この人員削減は単なるセキュリティ以外の要因に関係している可能性があるが、一部の Ivanti ライバル企業はチャンスを感じ始めている。たとえばシスコは、 インセンティブの提供 (90 日間の無料トライアルを含む) これは、Ivanti VPN の顧客に同社の Secure Access プラットフォームに移行してもらい、Ivanti の製品による「リスクを軽減」できるようにするためのものです。
買収関連の問題?
Omdia のアナリストである Eric Parizo 氏は、Ivanti の課題の少なくとも一部は、同社の製品ポートフォリオが過去の多数の買収の合計であるという事実に関係していると述べています。 「オリジナルの製品は、さまざまな時期に、さまざまな目的で、さまざまな方法を使用してさまざまな会社によって開発されました。これは、ソフトウェアの品質、特にソフトウェアのセキュリティに関して、劇的に不均一になる可能性があることを意味します。」と彼は言います。
パリゾ氏は、Ivanti が現在セキュリティのプロセスと手順を全体的に改善することに取り組んでいることは、正しい方向への一歩であると述べています。 「また、ベンダーには、これらの脆弱性から直接生じた損害について顧客に補償してもらいたいと考えています。そうすることで、将来の購入に対する信頼を取り戻すことができるからです。」と彼は言います。 「おそらく、Ivanti にとって唯一の救いは、サイバーセキュリティ ベンダーが近年同様の事件に無数に苦しんでいることから、顧客がこの種の出来事に慣れているため、許し、忘れてしまう可能性が高いことです。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
- :持っている
- :は
- :not
- 000
- 000のお客様
- 1
- 100
- 11
- 40
- 500
- 7
- a
- 私たちについて
- アクセス
- 買収
- 買収
- 越えて
- アクティビティ
- 俳優
- 追加されました
- 添加
- 高度な
- 影響を受けました
- 後
- 機関
- 代理店
- 前
- すべて
- 許可
- ことができます
- 既に
- また
- an
- アナリスト
- および
- とインフラ
- 別の
- どれか
- 適用
- 4月
- 任意
- です
- AS
- 割り当てられた
- 関連する
- At
- アタッカー
- 損耗
- 利用できます
- 知って
- 弾幕
- ベース
- BE
- き
- 始め
- ビット
- ボード
- 両言語で
- 違反
- バグ
- バグ
- by
- 来ました
- 缶
- 原因となる
- 最高経営責任者(CEO)
- 一定
- 挑戦した
- 課題
- 変更
- 特徴付けられた
- Cisco
- 民間人
- 主張した
- クライアント
- コード
- 到来
- 注釈
- コミットメント
- 約束
- コミットした
- 企業
- 会社
- コンプリート
- 完全に
- コンポーネント
- 懸念
- 条件
- 信頼
- お問合せ
- 中身
- 会話
- 細工された
- 重大な
- 顧客
- Customers
- サイバーセキュリティ
- サイクル
- 中
- サービス拒否
- 記載された
- 発展した
- 開発
- Devices
- 異なります
- 方向
- 直接に
- 開示
- 発見
- do
- ドキュメント
- すること
- 劇的に
- 各
- 埋め込み
- エンジニアリング
- 確保
- 特に
- さらに
- イベント
- あらゆる
- 悪用する
- 表現する
- 実際
- 要因
- 遠く
- 特徴
- 連邦政府の
- 発見
- 修正
- 欠陥
- 続いて
- フォロー中
- 以前は
- フォーチュン
- 4
- 無料版
- 無料試用
- 新鮮な
- から
- 欲求不満
- 完全に
- 未来
- ゲートウェイ
- 取得する
- 与えられた
- 与える
- 猶予期間
- 大きい
- 持ってる
- 持って
- he
- 助けます
- 最高
- 彼の
- 正直に
- HTTPS
- i
- 即時の
- 影響
- 実装
- 改善します
- 改善
- 改善
- in
- インセンティブ
- 事件
- include
- 含まれました
- 含めて
- 増える
- 情報
- インフラ
- イニシアチブ
- 統合
- 内部
- に
- 関係する
- 分離
- 発行済み
- 問題
- IT
- ITS
- ジョン
- 1月
- JPG
- ただ
- 遅く
- 最新の
- 最新のリリース
- 学習
- 最低
- less
- 手紙
- レベル
- 生活
- ような
- 可能性が高い
- 少し
- 見て
- 主要な
- make
- 作成
- 管理
- 多くの
- 質量
- 手段
- メンバー
- メモリ
- メソッド
- かもしれない
- 移動します
- 最小限に抑えます
- 軽減する
- 月
- ヶ月
- 他には?
- ずっと
- ほぼ
- 新作
- いいえ
- 今
- 数
- 多数の
- of
- オムディア
- on
- ONE
- 開いた
- オペレーティング
- 機会
- 注文
- オリジナル
- その他
- 私たちの
- 自分自身
- が
- オーバーホール
- 自分の
- 特定の
- 過去
- パッチ
- おそらく
- 相
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 方針
- ポートフォリオ
- ポーズ
- 潜在的な
- プラクティス
- プレスリリース
- 問題
- 手続き
- プロセス
- ラボレーション
- プロダクト
- 製品開発
- 製品
- 約束された
- 保護
- 公然と
- パルス
- 購入
- 目的
- 品質
- 質問
- 質問
- 隆起した
- 読む
- 最近
- 再接続します
- 記録
- 見なす
- 関連する
- リリース
- リリース
- 容赦のない
- 残っている
- リモート
- リモートアクセス
- リクエスト
- 研究
- 研究者
- リソース
- リストア
- 結果として
- 右
- リスク
- ライバル
- ラン
- s
- 前記
- 節約
- 言う
- 安全に
- セキュリティ
- 送信
- センス
- シリーズ
- 深刻な
- サービス
- セッションに
- シェアリング
- 同様の
- から
- So
- これまでのところ
- ソフトウェア
- ソフトウェア開発
- 一部
- 特定の
- ステージ
- スタンドアロン
- 着実
- ステム
- 手順
- ステップ
- 流れ
- そのような
- 苦しみ
- システム
- ターゲット
- テクノロジー
- より
- それ
- アプリ環境に合わせて
- それら
- そこ。
- ボーマン
- 彼ら
- 考える
- サードパーティ
- この
- 今週
- 完全な
- 脅威
- 脅威アクター
- 時間
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- あまりに
- トータル
- に向かって
- 追跡する
- 実績
- 最適化の適用
- 変換
- トライアル
- トリガー
- 試します
- 2
- 下
- まで
- us
- 中古
- 変化する
- ベンダー
- ベンダー
- VPN
- 脆弱性
- 脆弱性
- 脆弱性情報
- ました
- 仕方..
- we
- 週間
- ウィークス
- した
- この試験は
- which
- while
- ワイルド
- 意志
- ウィリアムズ
- でしょう
- 年
- ゼファーネット