Ivanti lovar säkerhetsöversyn dagen efter att ytterligare 4 vulner avslöjats

Ivantis vd Jeff Abbott sa denna vecka att hans företag kommer att helt förnya sina säkerhetspraxis, även när leverantören avslöjade ytterligare en ny uppsättning buggar i sina sårbarhetsbehandlade Ivanti Connect Secure och Policy Secure fjärråtkomstprodukter.

I ett öppet brev till kunderna har Abbott åtagit sig en rad förändringar som företaget kommer att göra under de kommande månaderna för att omvandla sin säkerhetsoperativa modell efter en obeveklig störtflod av buggavslöjanden sedan januari. De utlovade korrigeringarna inkluderar en komplett övergång av Ivantis ingenjörs-, säkerhets- och sårbarhetshanteringsprocesser och implementering av ett nytt säkert-by-design-initiativ för produktutveckling.

En grundlig översyn

"Vi har utmanat oss själva att se kritiskt på varje fas av våra processer, och varje produkt, för att säkerställa högsta skyddsnivå för våra kunder," sa Abbott. i hans uttalande. "Vi har redan börjat tillämpa lärdomar från de senaste incidenterna för att göra omedelbara förbättringar av vår egen teknik och säkerhetspraxis."

Några av de specifika stegen inkluderar att bädda in säkerhet i varje skede av mjukvaruutvecklingens livscykel och att integrera nya isolerings- och anti-exploateringsfunktioner i sina produkter för att minimera den potentiella effekten av mjukvarusårbarheter. Företaget kommer också att förbättra sin interna process för upptäckt och hantering av sårbarheter och öka incitamenten för tredje parts bugjägare, sa Abbott.

Dessutom kommer Ivanti att göra fler resurser tillgängliga för kunder för att hitta sårbarhetsinformation och tillhörande dokumentation och är engagerad i större transformation och informationsdelning med kunder, tillade han.

Hur mycket dessa åtaganden kommer att bidra till att stoppa växande kundbesvikelse med Ivanti är fortfarande oklart med tanke på företagets senaste säkerhetshistorik. Faktum är att Abbots kommentarer kom en dag efter att Ivanti avslöjat fyra nya buggar i Connect Secure och Policy Secure gateway-tekniker och utfärdade patchar för var och en av dem.

Avslöjandet följde a liknande händelse för mindre än två veckor sedan som involverade två buggar i Ivantis fristående Sentry och Neurons för ITSM-produkter. Ivanti har hittills avslöjat totalt 11 sårbarheter – inklusive de fyra denna vecka – i sin teknologi sedan 1 januari. Många av dem har varit kritiska brister – åtminstone två var noll dagar – i företagets produkter för fjärråtkomst, som angripare , inklusive avancerade ihållande hotaktörer som "Magnet Goblin,”Har utnyttjas på massvis. Oro över risken för större intrång från några av dessa buggar fick den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA) i januari att beordra alla civila federala myndigheter att ta deras Ivanti-system offline och återanslut inte enheterna förrän de är helt åtgärdade.

Säkerhetsforskaren och IANS Research-fakultetsmedlemmen Jake Williams säger att sårbarhetsavslöjandena har väckt allvarliga frågor från Ivantis kunder. "Baserat på konversationer jag har, särskilt med Fortune 500-kunder, tycker jag ärligt talat att det är lite för lite, för sent", säger han. "Tiden att offentligt göra detta åtagande var för mer än en månad sedan." Det råder ingen tvekan om att problemen med Ivantis VPN-apparat (tidigare Pulse) får CISO:er att ifrågasätta säkerheten för Ivantis många andra produkter, säger han.

En ny uppsättning av 4 insekter

De fyra nya buggarna som Ivanti avslöjade denna vecka inkluderade två sårbarheter i heap overflow i IPSec-komponenten i Connect Secure och Policy Secure, som båda kännetecknades av företaget som en risk för kunderna. En av sårbarheterna, spårad som CVE-2024-21894, ger oautentiserade angripare ett sätt att köra godtycklig kod på drabbade system. Den andra, tilldelad som CVE-2024-22053, tillåter en oautentiserad fjärrangripare att läsa innehållet från systemminnet under vissa förhållanden. Ivanti beskrev båda sårbarheterna som att tillåta angripare att skicka uppsåtligt skapade förfrågningar för att utlösa villkor för denial of service.

De andra två bristerna – CVE-2024-22052 och CVE-2024-22023 – är två medelstora sårbarheter som angripare kan utnyttja för att orsaka överbelastningstillstånd på berörda system. Ivanti sa att den den 2 april inte var medveten om någon exploateringsaktivitet i det vilda som riktade in sig på sårbarheterna.

Den ständiga strömmen av avslöjande av buggar har väckt frågor om risken som Ivantis produkter utgör för mer än 40,000 XNUMX kunder över hela världen, och vissa har uttryckt sin frustration över forum som Reddit. För bara två år sedan hävdade Ivantis pressmeddelanden 96 av Fortune 100-företagen som sina kunder. I den senaste versionen har siffran minskat med nästan 12 % till 85 företag. Även om utslitningen kan ha att göra med andra faktorer än bara säkerhet, har vissa Ivanti-rivaler börjat ana en möjlighet. Cisco har till exempel börjat erbjuda incitament – inklusive en 90-dagars gratis provperiod – för att försöka få Ivantis VPN-kunder att migrera till sin Secure Access-plattform så att de kan "minska risken" från Ivantis produkter.

Förvärvsrelaterade problem?

Eric Parizo, analytiker på Omdia, säger att åtminstone några av Ivantis utmaningar har att göra med det faktum att företagets produktportfölj är summan av många tidigare förvärv. ”Originalprodukterna utvecklades vid olika tidpunkter av olika företag för olika ändamål med olika metoder. Det betyder att mjukvarukvaliteten, särskilt när det gäller mjukvarusäkerhet, kan vara dramatiskt ojämn”, säger han.

 Parizo säger att det Ivanti gör nu med sitt engagemang för att förbättra säkerhetsprocesser och rutiner över hela linjen är ett steg i rätt riktning. "Jag skulle också vilja se att säljaren skadeslöser sina kunder för skador som är direkt ett resultat av dessa sårbarheter, eftersom det kommer att bidra till att återställa förtroendet för framtida köp", säger han. "Kanske den enda räddningen för Ivanti är att kunderna är så vana vid den här typen av händelser, med cybersäkerhetsleverantörer som drabbats av otaliga liknande incidenter de senaste åren, att kunderna är mer benägna att förlåta och glömma."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns