Ivanti обещает пересмотреть систему безопасности на следующий день после того, как были обнаружены еще 4 уязвимости

Генеральный директор Ivanti Джефф Эбботт на этой неделе заявил, что его компания полностью обновит свои методы обеспечения безопасности, даже несмотря на то, что поставщик раскрыл еще один новый набор ошибок в своих уязвимых продуктах удаленного доступа Ivanti Connect Secure и Policy Secure.

В открытом письме клиентам компания Abbott пообещала внести ряд изменений, которые компания внесет в ближайшие месяцы, чтобы преобразовать свою операционную модель безопасности после непрекращающегося потока сообщений об ошибках, начиная с января. Обещанные исправления включают в себя полный пересмотр процессов проектирования, безопасности и управления уязвимостями Ivanti, а также реализацию новой инициативы по обеспечению безопасности при разработке продуктов.

Капитальный ремонт

«Мы поставили перед собой задачу критически относиться к каждому этапу наших процессов и к каждому продукту, чтобы обеспечить высочайший уровень защиты наших клиентов», — сказал Эбботт. в своем заявлении. «Мы уже начали применять уроки недавних инцидентов, чтобы немедленно улучшить наши собственные методы проектирования и безопасности».

Некоторые из конкретных шагов включают в себя встраивание безопасности на каждый этап жизненного цикла разработки программного обеспечения и интеграцию новых функций изоляции и защиты от эксплойтов в свои продукты, чтобы минимизировать потенциальное воздействие уязвимостей программного обеспечения. По словам Эбботта, компания также улучшит свой внутренний процесс обнаружения и управления уязвимостями и увеличит стимулы для сторонних охотников за ошибками.

Кроме того, Ivanti предоставит клиентам больше ресурсов для поиска информации об уязвимостях и соответствующей документации, а также стремится к большей трансформации и обмену информацией с клиентами, добавил он.

Насколько эти обязательства помогут остановить растущее разочарование клиентов с Иванти остается неясным, учитывая недавнюю репутацию компании в области безопасности. Фактически, комментарии Эббота прозвучали через день после того, как Иванти раскрыл четыре новых ошибки в Connect Secure и Policy Secure шлюзовых технологий и выпущены исправления для каждой из них.

Раскрытие информации последовало за аналогичный инцидент менее двух недель назад это связано с двумя ошибками в продуктах Ivanti Standalone Sentry и Neuron для ITSM. На данный момент Ivanti выявила в общей сложности 11 уязвимостей (в том числе четыре на этой неделе) в своих технологиях с 1 января. Многие из них были критическими недостатками (по крайней мере две были нулевого дня) в продуктах удаленного доступа компании, которые злоумышленники , включая продвинутых постоянных субъектов угроз, таких как «Магнит Гоблин," имеют эксплуатируется в массовом порядке. Обеспокоенность по поводу возможности серьезных нарушений, вызванных некоторыми из этих ошибок, побудила Агентство кибербезопасности и безопасности инфраструктуры США (CISA) в январе приказать всем гражданским федеральным агентствам отключить их системы Ivanti и не подключайте устройства повторно до полного устранения проблемы.

Исследователь безопасности и преподаватель IANS Research Джейк Уильямс говорит, что раскрытие информации об уязвимостях вызвало серьезные вопросы у клиентов Ivanti. «Основываясь на разговорах, которые я веду, особенно с клиентами из списка Fortune 500, я, честно говоря, думаю, что это слишком мало и слишком поздно», — говорит он. «Время публично взять на себя это обязательство было больше месяца назад». «Нет сомнений в том, что проблемы с устройством Ivanti VPN (ранее Pulse) заставляют директоров по информационной безопасности сомневаться в безопасности многих других продуктов Ivanti», — говорит он.

Свежий набор из 4 ошибок

Четыре новых ошибки, обнаруженные Ivanti на этой неделе, включают две уязвимости, связанные с переполнением кучи в компонентах IPSec Connect Secure и Policy Secure, обе из которых компания охарактеризовала как высокий риск для клиентов. Одна из уязвимостей, отслеживаемая как CVE-2024-21894, дает неаутентифицированным злоумышленникам возможность запускать произвольный код на затронутых системах. Другой, присвоенный как CVE-2024-22053, позволяет неаутентифицированному удаленному злоумышленнику читать содержимое из системной памяти при определенных условиях. Иванти описал обе уязвимости как позволяющие злоумышленникам отправлять вредоносно созданные запросы, вызывающие условия отказа в обслуживании.

Две другие уязвимости — CVE-2024-22052 и CVE-2024-22023 — представляют собой две уязвимости средней серьезности, которые злоумышленники могут использовать для создания условий отказа в обслуживании в затронутых системах. Иванти заявил, что по состоянию на 2 апреля ему не было известно о каких-либо эксплойтах, нацеленных на уязвимости.

Постоянный поток сообщений об ошибках поднял вопросы о риске, который продукты Ivanti представляют для более чем 40,000 XNUMX клиентов по всему миру, причем некоторые выразили свое разочарование по поводу форумы, такие как Reddit. Всего два года назад в пресс-релизах Ivanti говорилось, что 96 компаний из списка Fortune 100 являются ее клиентами. В последнем выпуске это число сократилось почти на 12% до 85 компаний. Хотя истощение, возможно, связано с другими факторами, а не только с безопасностью, некоторые соперники Иванти начали чувствовать возможность. Cisco, например, начала предлагая стимулы — включая 90-дневную бесплатную пробную версию — чтобы попытаться убедить клиентов Ivanti VPN перейти на платформу безопасного доступа, чтобы они могли «смягчить риск» от продуктов Ivanti.

Проблемы, связанные с приобретением?

Эрик Паризо, аналитик Omdia, говорит, что по крайней мере некоторые из проблем Ivanti связаны с тем фактом, что портфель продуктов компании представляет собой сумму многочисленных прошлых приобретений. «Оригинальные продукты разрабатывались в разное время разными компаниями для разных целей с использованием разных методов. Это означает, что качество программного обеспечения, особенно в отношении его безопасности, может быть крайне неравномерным», — говорит он.

 Паризо говорит, что то, что Ivanti делает сейчас, стремясь улучшить процессы и процедуры обеспечения безопасности по всем направлениям, является шагом в правильном направлении. «Мне также хотелось бы, чтобы поставщик возмещал своим клиентам ущерб, непосредственно возникший в результате этих уязвимостей, поскольку это поможет восстановить доверие к будущим покупкам», — говорит он. «Возможно, единственным спасительным моментом для Ivanti является то, что клиенты настолько привыкли к такого рода событиям, а поставщики кибербезопасности страдают от бесчисленных подобных инцидентов в последние годы, что клиенты с большей вероятностью простят и забудут».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns