Генеральный директор Ivanti Джефф Эбботт на этой неделе заявил, что его компания полностью обновит свои методы обеспечения безопасности, даже несмотря на то, что поставщик раскрыл еще один новый набор ошибок в своих уязвимых продуктах удаленного доступа Ivanti Connect Secure и Policy Secure.
В открытом письме клиентам компания Abbott пообещала внести ряд изменений, которые компания внесет в ближайшие месяцы, чтобы преобразовать свою операционную модель безопасности после непрекращающегося потока сообщений об ошибках, начиная с января. Обещанные исправления включают в себя полный пересмотр процессов проектирования, безопасности и управления уязвимостями Ivanti, а также реализацию новой инициативы по обеспечению безопасности при разработке продуктов.
Капитальный ремонт
«Мы поставили перед собой задачу критически относиться к каждому этапу наших процессов и к каждому продукту, чтобы обеспечить высочайший уровень защиты наших клиентов», — сказал Эбботт. в своем заявлении. «Мы уже начали применять уроки недавних инцидентов, чтобы немедленно улучшить наши собственные методы проектирования и безопасности».
Некоторые из конкретных шагов включают в себя встраивание безопасности на каждый этап жизненного цикла разработки программного обеспечения и интеграцию новых функций изоляции и защиты от эксплойтов в свои продукты, чтобы минимизировать потенциальное воздействие уязвимостей программного обеспечения. По словам Эбботта, компания также улучшит свой внутренний процесс обнаружения и управления уязвимостями и увеличит стимулы для сторонних охотников за ошибками.
Кроме того, Ivanti предоставит клиентам больше ресурсов для поиска информации об уязвимостях и соответствующей документации, а также стремится к большей трансформации и обмену информацией с клиентами, добавил он.
Насколько эти обязательства помогут остановить растущее разочарование клиентов с Иванти остается неясным, учитывая недавнюю репутацию компании в области безопасности. Фактически, комментарии Эббота прозвучали через день после того, как Иванти раскрыл четыре новых ошибки в Connect Secure и Policy Secure шлюзовых технологий и выпущены исправления для каждой из них.
Раскрытие информации последовало за аналогичный инцидент менее двух недель назад это связано с двумя ошибками в продуктах Ivanti Standalone Sentry и Neuron для ITSM. На данный момент Ivanti выявила в общей сложности 11 уязвимостей (в том числе четыре на этой неделе) в своих технологиях с 1 января. Многие из них были критическими недостатками (по крайней мере две были нулевого дня) в продуктах удаленного доступа компании, которые злоумышленники , включая продвинутых постоянных субъектов угроз, таких как «Магнит Гоблин," имеют эксплуатируется в массовом порядке. Обеспокоенность по поводу возможности серьезных нарушений, вызванных некоторыми из этих ошибок, побудила Агентство кибербезопасности и безопасности инфраструктуры США (CISA) в январе приказать всем гражданским федеральным агентствам отключить их системы Ivanti и не подключайте устройства повторно до полного устранения проблемы.
Исследователь безопасности и преподаватель IANS Research Джейк Уильямс говорит, что раскрытие информации об уязвимостях вызвало серьезные вопросы у клиентов Ivanti. «Основываясь на разговорах, которые я веду, особенно с клиентами из списка Fortune 500, я, честно говоря, думаю, что это слишком мало и слишком поздно», — говорит он. «Время публично взять на себя это обязательство было больше месяца назад». «Нет сомнений в том, что проблемы с устройством Ivanti VPN (ранее Pulse) заставляют директоров по информационной безопасности сомневаться в безопасности многих других продуктов Ivanti», — говорит он.
Свежий набор из 4 ошибок
Четыре новых ошибки, обнаруженные Ivanti на этой неделе, включают две уязвимости, связанные с переполнением кучи в компонентах IPSec Connect Secure и Policy Secure, обе из которых компания охарактеризовала как высокий риск для клиентов. Одна из уязвимостей, отслеживаемая как CVE-2024-21894, дает неаутентифицированным злоумышленникам возможность запускать произвольный код на затронутых системах. Другой, присвоенный как CVE-2024-22053, позволяет неаутентифицированному удаленному злоумышленнику читать содержимое из системной памяти при определенных условиях. Иванти описал обе уязвимости как позволяющие злоумышленникам отправлять вредоносно созданные запросы, вызывающие условия отказа в обслуживании.
Две другие уязвимости — CVE-2024-22052 и CVE-2024-22023 — представляют собой две уязвимости средней серьезности, которые злоумышленники могут использовать для создания условий отказа в обслуживании в затронутых системах. Иванти заявил, что по состоянию на 2 апреля ему не было известно о каких-либо эксплойтах, нацеленных на уязвимости.
Постоянный поток сообщений об ошибках поднял вопросы о риске, который продукты Ivanti представляют для более чем 40,000 XNUMX клиентов по всему миру, причем некоторые выразили свое разочарование по поводу форумы, такие как Reddit. Всего два года назад в пресс-релизах Ivanti говорилось, что 96 компаний из списка Fortune 100 являются ее клиентами. В последнем выпуске это число сократилось почти на 12% до 85 компаний. Хотя истощение, возможно, связано с другими факторами, а не только с безопасностью, некоторые соперники Иванти начали чувствовать возможность. Cisco, например, начала предлагая стимулы — включая 90-дневную бесплатную пробную версию — чтобы попытаться убедить клиентов Ivanti VPN перейти на платформу безопасного доступа, чтобы они могли «смягчить риск» от продуктов Ivanti.
Проблемы, связанные с приобретением?
Эрик Паризо, аналитик Omdia, говорит, что по крайней мере некоторые из проблем Ivanti связаны с тем фактом, что портфель продуктов компании представляет собой сумму многочисленных прошлых приобретений. «Оригинальные продукты разрабатывались в разное время разными компаниями для разных целей с использованием разных методов. Это означает, что качество программного обеспечения, особенно в отношении его безопасности, может быть крайне неравномерным», — говорит он.
Паризо говорит, что то, что Ivanti делает сейчас, стремясь улучшить процессы и процедуры обеспечения безопасности по всем направлениям, является шагом в правильном направлении. «Мне также хотелось бы, чтобы поставщик возмещал своим клиентам ущерб, непосредственно возникший в результате этих уязвимостей, поскольку это поможет восстановить доверие к будущим покупкам», — говорит он. «Возможно, единственным спасительным моментом для Ivanti является то, что клиенты настолько привыкли к такого рода событиям, а поставщики кибербезопасности страдают от бесчисленных подобных инцидентов в последние годы, что клиенты с большей вероятностью простят и забудут».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
- :имеет
- :является
- :нет
- 000
- 000 клиентов
- 1
- 100
- 11
- 40
- 500
- 7
- a
- О нас
- доступ
- приобретение
- приобретения
- через
- деятельность
- актеры
- добавленный
- дополнение
- продвинутый
- пострадавших
- После
- агентствах
- агентство
- тому назад
- Все
- Позволяющий
- позволяет
- уже
- причислены
- an
- аналитик
- и
- и инфраструктура
- Другой
- любой
- Применение
- апрель
- произвольный
- МЫ
- AS
- назначенный
- связанный
- At
- нападающий
- истирание
- доступен
- знать
- заграждение
- основанный
- BE
- было
- начал
- Немного
- доска
- изоферменты печени
- нарушения
- Ошибка
- ошибки
- by
- пришел
- CAN
- Вызывать
- Генеральный директор
- определенный
- вызов
- проблемы
- изменения
- отличающийся
- Cisco
- гражданский
- заявил
- клиентов
- код
- приход
- Комментарии
- обязательство
- обязательств
- привержен
- Компании
- Компания
- полный
- полностью
- компонент
- Беспокойство
- Условия
- доверие
- Свяжитесь
- содержание
- Беседы
- проработаны
- критической
- клиент
- Клиенты
- Информационная безопасность
- цикл
- день
- Отказ в обслуживании
- описано
- развитый
- Развитие
- Устройства
- различный
- направление
- непосредственно
- раскрытие
- открытие
- do
- документации
- дело
- драматично
- каждый
- вложения
- Проект и
- обеспечивать
- особенно
- Даже
- События
- Каждая
- Эксплуатировать
- выражающий
- факт
- факторы
- далеко
- Особенности
- Федеральный
- обнаружение
- исправления
- недостатки
- следует
- после
- Что касается
- раньше
- Fortune
- 4
- Бесплатно
- бесплатная пробная версия
- свежий
- от
- разочарование
- полностью
- будущее
- шлюз
- получить
- данный
- дает
- Грейс
- большой
- Есть
- имеющий
- he
- помощь
- наивысший
- его
- Честно
- HTTPS
- i
- немедленная
- Влияние
- реализация
- улучшать
- улучшение
- улучшение
- in
- Стимулы
- инцидент
- включают
- включены
- В том числе
- Увеличение
- информация
- Инфраструктура
- Инициатива
- пример
- Интегрируя
- в нашей внутренней среде,
- в
- вовлеченный
- изоляция
- Выпущен
- вопросы
- IT
- ЕГО
- Января
- январь
- JPG
- всего
- Поздно
- последний
- последний релиз
- изучение
- наименее
- Меньше
- письмо
- уровень
- ЖИЗНЬЮ
- такое как
- Вероятно
- мало
- посмотреть
- основной
- сделать
- Создание
- управление
- многих
- Масса
- означает
- член
- Память
- методы
- может быть
- мигрировать
- минимизировать
- смягчать
- модель
- Месяц
- месяцев
- БОЛЕЕ
- много
- почти
- Новые
- нет
- сейчас
- номер
- многочисленный
- of
- Омдиа
- on
- ONE
- открытый
- операционный
- Возможность
- заказ
- оригинал
- Другое
- наши
- себя
- за
- Капитальный ремонт
- собственный
- особый
- мимо
- Патчи
- возможно
- фаза
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- политика
- «портфель»
- поза
- потенциал
- практиками
- нажмите
- Пресс-релизы
- проблемам
- Процедуры
- процесс
- Процессы
- Продукт
- разработка продукта
- Продукция
- обещанный
- защиту
- публично
- импульс
- Покупка
- целей
- вопрос
- Вопросы
- поднятый
- Читать
- последний
- воссоединиться
- запись
- Reddit.
- Считать
- Связанный
- освободить
- публикации
- неослабевающий
- остатки
- удаленные
- удаленный доступ
- Запросы
- исследованиям
- исследователь
- Полезные ресурсы
- восстановление
- в результате
- правую
- Снижение
- соперников
- Run
- s
- Сказал
- экономия
- говорит
- безопасный
- безопасность
- посмотреть
- Отправить
- смысл
- Серии
- серьезный
- обслуживание
- набор
- разделение
- аналогичный
- с
- So
- уже
- Software
- разработка программного обеспечения
- некоторые
- конкретный
- Этап
- автономные
- устойчивый
- ножка
- Шаг
- Шаги
- поток
- такие
- страдание
- система
- системы
- направлены
- технологии
- чем
- который
- Ассоциация
- их
- Их
- Там.
- Эти
- они
- think
- сторонние
- этой
- На этой неделе
- тщательный
- угроза
- актеры угрозы
- время
- раз
- в
- слишком
- Всего
- к
- трек
- Послужной
- Transform
- трансформация
- суд
- вызвать
- стараться
- два
- под
- до
- us
- используемый
- через
- Различная
- продавец
- поставщики
- VPN
- Уязвимости
- уязвимость
- информация об уязвимости
- законопроект
- Путь..
- we
- неделя
- Недели
- были
- Что
- который
- в то время как
- Дикий
- будете
- Уильямс
- по всему миру
- бы
- лет
- зефирнет