Ivanti belooft een veiligheidsrevisie de dag nadat nog vier kwetsbaarheden zijn onthuld

Jeff Abbott, CEO van Ivanti, zei deze week dat zijn bedrijf zijn beveiligingspraktijken volledig zal vernieuwen, zelfs nu de leverancier weer een nieuwe reeks bugs heeft onthuld in zijn met kwetsbaarheden bezaaide Ivanti Connect Secure en Policy Secure producten voor externe toegang.

In een open brief aan klanten beloofde Abbott een reeks veranderingen die het bedrijf de komende maanden zal doorvoeren om zijn beveiligingsmodel te transformeren na een meedogenloos spervuur ​​van bug-onthullingen sinds januari. De beloofde oplossingen omvatten een volledige vernieuwing van Ivanti's engineering-, beveiligings- en kwetsbaarheidsbeheerprocessen en de implementatie van een nieuw secure-by-design-initiatief voor productontwikkeling.

Een grondige revisie

“We hebben onszelf uitgedaagd om kritisch naar elke fase van onze processen en elk product te kijken, om het hoogste niveau van bescherming voor onze klanten te garanderen”, aldus Abbott, in zijn verklaring. “We zijn al begonnen met het toepassen van de lessen uit recente incidenten om onmiddellijke verbeteringen aan te brengen in onze eigen engineering- en beveiligingspraktijken.”

Enkele van de specifieke stappen omvatten het inbedden van beveiliging in elke fase van de levenscyclus van softwareontwikkeling en het integreren van nieuwe isolatie- en anti-exploitfuncties in haar producten om de potentiële impact van softwarekwetsbaarheden te minimaliseren. Het bedrijf zal ook zijn interne detectie- en beheerproces voor kwetsbaarheden verbeteren en de prikkels voor externe bugjagers vergroten, aldus Abbott.

Daarnaast zal Ivanti meer middelen beschikbaar stellen aan klanten voor het vinden van informatie over kwetsbaarheden en bijbehorende documentatie en zet hij zich in voor een grotere transformatie en het delen van informatie met klanten, voegde hij eraan toe.

Hoeveel deze toezeggingen zullen helpen terugdringen groeiende ontgoocheling bij klanten met Ivanti blijft onduidelijk gezien de recente staat van dienst op het gebied van de beveiliging van het bedrijf. In feite kwamen de opmerkingen van abt een dag nadat Ivanti dit bekendmaakte vier nieuwe bugs in Connect Secure en Policy Secure gateway-technologieën en heeft voor elk daarvan patches uitgegeven.

De openbaarmaking volgde op een soortgelijk incident minder dan twee weken geleden waarbij twee bugs betrokken waren in Ivanti's Standalone Sentry en Neuron's for ITSM-producten. Ivanti heeft tot nu toe sinds 11 januari in totaal elf kwetsbaarheden in zijn technologieën onthuld – waaronder de vier deze week – in zijn technologieën. Veel daarvan waren kritieke tekortkomingen (minstens twee waren zero-days) in de producten voor externe toegang van het bedrijf, die aanvallers , inclusief geavanceerde aanhoudende dreigingsactoren zoals “Magneet Goblin,”Hebben massaal uitgebuit. Bezorgdheid over het potentieel voor grote inbreuken op sommige van deze bugs was voor de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in januari aanleiding om alle civiele federale agentschappen te bevelen hun Ivanti-systemen offline halen en sluit de apparaten pas opnieuw aan nadat het probleem volledig is verholpen.

Beveiligingsonderzoeker en lid van de IANS Research-faculteit Jake Williams zegt dat de openbaarmaking van kwetsbaarheden tot serieuze vragen van Ivanti's klanten heeft geleid. "Op basis van de gesprekken die ik voer, vooral met Fortune 500-klanten, denk ik eerlijk gezegd dat het een beetje te weinig en te laat is", zegt hij. “Het moment om deze toezegging publiekelijk te maken was meer dan een maand geleden.” Het lijdt geen twijfel dat de problemen met het Ivanti VPN-apparaat (voorheen Pulse) ervoor zorgen dat CISO's de veiligheid van Ivanti's vele andere producten in twijfel trekken, zegt hij.

Een frisse set van 4 insecten

De vier nieuwe bugs die Ivanti deze week onthulde, omvatten twee heap-overflow-kwetsbaarheden in de IPSec-component van Connect Secure en Policy Secure, die het bedrijf beide omschreef als een hoog risico voor klanten. Een van de kwetsbaarheden, bijgehouden als CVE-2024-21894, geeft niet-geverifieerde aanvallers een manier om willekeurige code uit te voeren op getroffen systemen. Met de andere, toegewezen als CVE-2024-22053, kan een niet-geverifieerde externe aanvaller onder bepaalde omstandigheden de inhoud uit het systeemgeheugen lezen. Ivanti beschrijft beide kwetsbaarheden waardoor aanvallers kwaadwillig vervaardigde verzoeken kunnen verzenden om denial-of-service-voorwaarden te activeren.

De andere twee fouten – CVE-2024-22052 en CVE-2024-22023 – zijn twee kwetsbaarheden van gemiddelde ernst die aanvallers kunnen misbruiken om denial-of-service-omstandigheden op getroffen systemen te veroorzaken. Ivanti zei dat het vanaf 2 april niet op de hoogte was van enige exploitactiviteit in het wild gericht op de kwetsbaarheden.

De gestage stroom van bug-onthullingen heeft vragen doen rijzen over het risico dat de producten van Ivanti vormen voor meer dan 40,000 klanten wereldwijd, waarbij sommigen hun frustratie uitten over fora zoals Reddit. Nog maar twee jaar geleden claimde Ivanti in zijn persberichten 96 van de Fortune 100-bedrijven als klanten. In de laatste versie is dat aantal met bijna 12% gedaald tot 85 bedrijven. Hoewel het verloop misschien te maken heeft met andere factoren dan alleen veiligheid, beginnen sommige Ivanti-rivalen een kans te zien. Cisco is bijvoorbeeld begonnen incentives aanbieden – inclusief een gratis proefperiode van 90 dagen – om te proberen Ivanti VPN-klanten over te halen naar het Secure Access-platform te migreren, zodat ze de risico's van Ivanti's producten kunnen beperken.

Acquisitiegerelateerde problemen?

Eric Parizo, analist bij Omdia, zegt dat in ieder geval enkele van de uitdagingen van Ivanti te maken hebben met het feit dat de productportfolio van het bedrijf de som is van talloze overnames uit het verleden. “De originele producten zijn op verschillende tijdstippen ontwikkeld door verschillende bedrijven voor verschillende doeleinden en met verschillende methoden. Dit betekent dat de softwarekwaliteit, vooral als het gaat om softwarebeveiliging, dramatisch ongelijk kan zijn”, zegt hij.

 Parizo zegt dat wat Ivanti nu doet met zijn inzet voor het verbeteren van beveiligingsprocessen en -procedures over de hele linie een stap in de goede richting is. “Ik zou ook graag zien dat de leverancier zijn klanten schadeloos stelt voor schade die rechtstreeks voortvloeit uit deze kwetsbaarheden, omdat dat het vertrouwen in toekomstige aankopen zal helpen herstellen”, zegt hij. “Misschien is de enige goedmaker voor Ivanti dat klanten zo gewend zijn aan dit soort gebeurtenissen, waarbij leveranciers van cyberbeveiliging de afgelopen jaren talloze soortgelijke incidenten hebben meegemaakt, dat klanten eerder zullen vergeven en vergeten.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns