Ivanti promite o revizuire a securității în ziua după ce au fost dezvăluite alte 4 vulne

CEO-ul Ivanti, Jeff Abbott, a declarat în această săptămână că compania sa își va reînnoi complet practicile de securitate, chiar dacă furnizorul a dezvăluit un alt set nou de erori în produsele sale de acces la distanță Ivanti Connect Secure și Policy Secure, pline de vulnerabilități.

Într-o scrisoare deschisă către clienți, Abbott s-a angajat să facă o serie de schimbări pe care compania le va face în lunile următoare pentru a-și transforma modelul de operare de securitate, în urma unui val neobosit de dezvăluiri de erori din ianuarie. Remedierile promise includ o refacere completă a proceselor de inginerie, securitate și management al vulnerabilităților Ivanti și implementarea unei noi inițiative de securitate prin proiectare pentru dezvoltarea produsului.

O revizie amănunțită

„Ne-am provocat să privim în mod critic fiecare fază a proceselor noastre și fiecare produs, pentru a asigura cel mai înalt nivel de protecție pentru clienții noștri”, a spus Abbott, în declarația sa. „Am început deja să aplicăm învățarea din incidentele recente pentru a aduce îmbunătățiri imediate propriilor noastre practici de inginerie și securitate.”

Unii dintre pașii specifici includ încorporarea securității în fiecare etapă a ciclului de viață al dezvoltării software și integrarea de noi funcții de izolare și anti-exploatare în produsele sale pentru a minimiza impactul potențial al vulnerabilităților software. De asemenea, compania își va îmbunătăți procesul intern de descoperire și gestionare a vulnerabilităților și va crește stimulentele pentru vânătorii de erori terți, a spus Abbott.

În plus, Ivanti va pune la dispoziție clienților mai multe resurse pentru a găsi informații despre vulnerabilități și documentația asociată și se angajează să transforme mai mult și să schimbe informații cu clienții, a adăugat el.

Cât de mult vor ajuta aceste angajamente la stoparea dezamăgirea în creștere a clienților cu Ivanti rămâne neclar, având în vedere istoricul recent al companiei în materie de securitate. De fapt, comentariile Starețului au venit la o zi după ce Ivanti a dezvăluit patru erori noi în Connect Secure și Policy Secure tehnologii gateway și patch-uri emise pentru fiecare dintre ele.

Dezvăluirea a urmat a incident similar cu mai puțin de două săptămâni în urmă care a implicat două erori în Ivanti's Standalone Sentry și Neuron's pentru produsele ITSM. Până acum, Ivanti a dezvăluit un total de 11 vulnerabilități – inclusiv cele patru săptămâna aceasta – în tehnologiile sale începând cu 1 ianuarie. Multe dintre ele au fost defecte critice – cel puțin două au fost zero-days – în produsele companiei de acces la distanță, pe care atacatorii. , inclusiv actori avansati de amenințări persistente, cum ar fi „Spiridușul Magnet," avea exploatate în masă. Îngrijorarea cu privire la potențialul unor încălcări majore din cauza unora dintre aceste erori a determinat, în ianuarie, Agenția SUA pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) să ordone tuturor agențiilor federale civile să scoateți sistemele Ivanti offline și nu reconectați dispozitivele până când nu sunt complet remediate.

Cercetătorul de securitate și membru al facultății IANS Research, Jake Williams, spune că dezvăluirile de vulnerabilități au stârnit întrebări serioase din partea clienților lui Ivanti. „Pe baza conversațiilor pe care le am, în special cu clienții Fortune 500, sincer cred că este puțin prea puțin, prea târziu”, spune el. „Timpul pentru a face public acest angajament a fost acum mai bine de o lună.” Nu există nicio îndoială că problemele cu dispozitivul Ivanti VPN (fostul Pulse) îi fac pe CISO să pună la îndoială securitatea multor alte produse Ivanti, spune el.

Un set proaspăt de 4 bug-uri

Cele patru noi erori pe care Ivanti le-a dezvăluit săptămâna aceasta au inclus două vulnerabilități heap overflow în componenta IPSec a Connect Secure și Policy Secure, ambele pe care compania le-a caracterizat drept risc de mare severitate pentru clienți. Una dintre vulnerabilități, urmărită ca CVE-2024-21894, oferă atacatorilor neautentificați o modalitate de a rula cod arbitrar pe sistemele afectate. Celălalt, atribuit ca CVE-2024-22053, permite unui atacator de la distanță neautentificat să citească conținutul din memoria sistemului în anumite condiții. Ivanti a descris ambele vulnerabilități ca permițând atacatorilor să trimită solicitări create în mod rău intenționat pentru a declanșa condiții de refuzare a serviciului.

Celelalte două defecte – CVE-2024-22052 și CVE-2024-22023 – sunt două vulnerabilități de gravitate medie pe care atacatorii le pot exploata pentru a provoca condiții de refuzare a serviciului pe sistemele afectate. Ivanti a spus că, din 2 aprilie, nu a avut cunoștință de vreo activitate de exploatare în sălbăticie care vizează vulnerabilitățile.

Fluxul constant de dezvăluiri de erori a ridicat întrebări cu privire la riscul pe care îl prezintă produsele Ivanti pentru peste 40,000 de clienți din întreaga lume, unii exprimându-și frustrarea cu privire la forumuri precum Reddit. În urmă cu doar doi ani, comunicatele de presă ale Ivanti revendicau 96 dintre companiile Fortune 100 drept clienți. În cea mai recentă versiune, acest număr a scăzut cu aproape 12% la 85 de companii. În timp ce uzura ar putea avea de-a face cu alți factori decât doar securitatea, unii rivali Ivanti au început să simtă o oportunitate. Cisco, de exemplu, a început oferind stimulente — inclusiv o încercare gratuită de 90 de zile — pentru a încerca să îi convingă pe clienții Ivanti VPN să migreze la platforma sa Secure Access, astfel încât să poată „atenua riscul” din produsele Ivanti.

Probleme legate de achiziție?

Eric Parizo, analist la Omdia, spune că cel puțin unele dintre provocările lui Ivanti au de-a face cu faptul că portofoliul de produse al companiei este suma a numeroase achiziții din trecut. „Produsele originale au fost dezvoltate în momente diferite de către companii diferite în scopuri diferite, folosind metode diferite. Aceasta înseamnă că calitatea software-ului, în special în ceea ce privește securitatea software-ului, poate fi dramatic neuniformă”, spune el.

 Parizo spune că ceea ce face Ivanti acum cu angajamentul său față de îmbunătățirea proceselor și procedurilor de securitate la nivel general este un pas în direcția corectă. „De asemenea, aș dori să văd vânzătorul să-și despăgubească clienții pentru daunele rezultate direct din aceste vulnerabilități, deoarece acest lucru va ajuta la restabilirea încrederii în achizițiile viitoare”, spune el. „Poate că singurul har salvator pentru Ivanti este că clienții sunt atât de obișnuiți cu acest tip de eveniment, cu furnizorii de securitate cibernetică suferind nenumărate incidente similare în ultimii ani, încât clienții sunt mai predispuși să ierte și să uite.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns