Цього тижня генеральний директор Ivanti Джефф Ебботт заявив, що його компанія повністю оновить свою практику безпеки, навіть якщо постачальник розкрив ще один новий набір помилок у продуктах віддаленого доступу Ivanti Connect Secure та Policy Secure, багатих на вразливості.
У відкритому листі до клієнтів компанія Abbott пообіцяла внести низку змін, які компанія зробить у найближчі місяці, щоб трансформувати свою операційну модель безпеки після невпинного шквалу розкриття помилок із січня. Обіцяні виправлення включають повну переробку процесів розробки, безпеки та управління вразливістю Ivanti, а також впровадження нової ініціативи безпеки за проектом для розробки продукту.
Капітальний ремонт
«Ми поставили перед собою завдання критично дивитися на кожну фазу наших процесів і кожен продукт, щоб забезпечити найвищий рівень захисту для наших клієнтів», — сказав Ебботт, у своїй заяві. «Ми вже почали застосовувати знання, отримані в результаті нещодавніх інцидентів, щоб негайно вдосконалити нашу власну техніку розробки та безпеки».
Деякі з конкретних кроків включають впровадження безпеки на кожному етапі життєвого циклу розробки програмного забезпечення та інтеграцію нових функцій ізоляції та захисту від експлойтів у його продукти для мінімізації потенційного впливу вразливостей програмного забезпечення. Компанія також покращить свій внутрішній процес виявлення вразливостей і управління ними, а також збільшить стимули для сторонніх шукачів помилок, сказав Ебботт.
Крім того, Ivanti надасть клієнтам більше ресурсів для пошуку інформації про вразливості та відповідної документації, а також прагне до більшої трансформації та обміну інформацією з клієнтами, додав він.
Наскільки ці зобов’язання допоможуть стримати зростаюче розчарування клієнтів з Ivanti залишається незрозумілим, враховуючи останні результати роботи компанії в галузі безпеки. Насправді, коментарі Еббота надійшли через день після розкриття Іванті чотири нові помилки в Connect Secure і Policy Secure технології шлюзу та випущені патчі для кожної з них.
Розкриття послідувало за a аналогічний випадок менше двох тижнів тому які стосувалися двох помилок у Standalone Sentry від Ivanti та Neuron для продуктів ITSM. Наразі Ivanti оприлюднила загалом 11 уразливостей — у тому числі чотири цього тижня — у своїх технологіях з 1 січня. Багато з них були критичними недоліками (принаймні дві були нульовими днями) у продуктах віддаленого доступу компанії, які зловмисники , включаючи вдосконалені постійні загрози, такі як "Магніт Гоблін,” мають експлуатується в масовій моді. Занепокоєння потенційними серйозними порушеннями через деякі з цих помилок спонукало Агентство з кібербезпеки та безпеки інфраструктури США (CISA) у січні наказати всім цивільним федеральним агентствам перевести свої системи Ivanti в автономний режим і не підключайте пристрої повторно, доки не буде повністю виправлено.
Дослідник безпеки та член дослідницького факультету IANS Джейк Вільямс каже, що розкриття вразливостей викликало серйозні запитання у клієнтів Ivanti. «Виходячи з розмов, які я веду, особливо з клієнтами зі списку Fortune 500, я чесно вважаю, що це трохи замало, занадто пізно», — каже він. «Час публічно зробити це зобов’язання був більше місяця тому». Безсумнівно, проблеми з пристроєм Ivanti VPN (раніше Pulse) змушують CISO сумніватися в безпеці багатьох інших продуктів Ivanti, каже він.
Свіжий набір із 4 жуків
Чотири нові помилки, оприлюднені Іванті цього тижня, включали дві вразливості переповнення купи в компоненті IPSec Connect Secure і Policy Secure, обидві з яких компанія охарактеризувала як ризик високого рівня для клієнтів. Одна з уразливостей, відстежувана як CVE-2024-21894, дає неавтентифікованим зловмисникам можливість запускати довільний код на уражених системах. Інший, призначений як CVE-2024-22053, дозволяє неавтентифікованому віддаленому зловмиснику читати вміст системної пам’яті за певних умов. Іванті описав обидві вразливості як такі, що дозволяють зловмисникам надсилати зловмисно створені запити, щоб викликати умови відмови в обслуговуванні.
Дві інші вади — CVE-2024-22052 і CVE-2024-22023 — це дві вразливості середнього ступеня тяжкості, якими зловмисники можуть скористатися, щоб викликати умови відмови в обслуговуванні в уражених системах. Ivanti сказав, що станом на 2 квітня йому не було відомо про будь-яку активність експлойтів, націлених на вразливості.
Постійний потік виявлених помилок підняв питання щодо ризику, який несуть продукти Ivanti для понад 40,000 XNUMX клієнтів у всьому світі, причому деякі висловлювали своє розчарування форуми, такі як Reddit. Лише два роки тому в прес-релізах Ivanti зазначалося, що 96 компаній зі списку Fortune 100 є її клієнтами. В останньому випуску ця кількість скоротилася майже на 12% до 85 компаній. Хоча відставання може бути пов’язане з іншими факторами, а не просто з безпекою, деякі конкуренти Ivanti почали відчувати можливість. Cisco, наприклад, почала пропонуючи стимули — включаючи 90-денну безкоштовну пробну версію — щоб спробувати змусити клієнтів Ivanti VPN перейти на її платформу Secure Access, щоб вони могли «зменшити ризик» від продуктів Ivanti.
Проблеми, пов'язані з придбанням?
Ерік Парізо, аналітик Omdia, каже, що принаймні деякі проблеми Ivanti пов’язані з тим фактом, що продуктовий портфель компанії є сумою численних минулих придбань. «Оригінальні продукти були розроблені в різний час різними компаніями для різних цілей з використанням різних методів. Це означає, що якість програмного забезпечення, зокрема щодо безпеки програмного забезпечення, може бути різко неоднаковою», – говорить він.
Парізо каже, що те, що Ivanti робить зараз, намагаючись покращити процеси та процедури безпеки в усіх сферах, є кроком у правильному напрямку. «Я також хотів би, щоб постачальник відшкодовував своїм клієнтам збитки, безпосередньо спричинені цими вразливими місцями, оскільки це допоможе відновити впевненість у майбутніх покупках», — говорить він. «Можливо, єдиним порятунком для Ivanti є те, що клієнти настільки звикли до такого роду подій, оскільки постачальники засобів кібербезпеки зазнали незліченних подібних інцидентів за останні роки, що клієнти, швидше за все, пробачать і забудуть».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
- : має
- :є
- : ні
- 000
- 000 клієнтів
- 1
- 100
- 11
- 40
- 500
- 7
- a
- МЕНЮ
- доступ
- придбання
- поглинань
- через
- діяльність
- актори
- доданий
- доповнення
- просунутий
- постраждалих
- після
- агентства
- агентство
- назад
- ВСІ
- Дозволити
- дозволяє
- вже
- Також
- an
- аналітик
- та
- та інфраструктури
- Інший
- будь-який
- Застосування
- квітня
- довільний
- ЕСТЬ
- AS
- призначений
- асоційований
- At
- нападаючий
- виснаження
- доступний
- знати
- загороду
- заснований
- BE
- було
- почався
- Біт
- рада
- обидва
- порушення
- Помилка
- помилки
- by
- прийшов
- CAN
- Викликати
- Генеральний директор
- певний
- виклик
- проблеми
- Зміни
- характеризується
- Cisco
- цивільний
- стверджував,
- клієнтів
- код
- майбутній
- коментарі
- зобов'язання
- зобов'язань
- вчинено
- Компанії
- компанія
- повний
- повністю
- компонент
- Занепокоєння
- Умови
- довіра
- З'єднуватися
- зміст
- розмови
- створений
- критичний
- клієнт
- Клієнти
- Кібербезпека
- цикл
- день
- Відмова в обслуговуванні
- описаний
- розвиненою
- розробка
- прилади
- різний
- напрям
- безпосередньо
- розкриття
- відкриття
- do
- документація
- справи
- різко
- кожен
- вбудовування
- Машинобудування
- забезпечувати
- особливо
- Навіть
- Event
- Кожен
- Експлуатувати
- висловлюючи
- факт
- фактори
- далеко
- риси
- Федеральний
- виявлення
- фіксований
- недоліки
- потім
- після
- для
- раніше
- стан
- чотири
- Безкоштовна
- безкоштовне випробування
- свіжий
- від
- розчарування
- повністю
- майбутнє
- шлюз
- отримати
- даний
- дає
- благодать
- великий
- Мати
- має
- he
- допомога
- найвищий
- його
- Чесно
- HTTPS
- i
- Негайний
- Impact
- реалізація
- удосконалювати
- поліпшення
- поліпшення
- in
- стимули
- інцидент
- включати
- включені
- У тому числі
- Augmenter
- інформація
- Інфраструктура
- Ініціатива
- екземпляр
- Інтеграція
- внутрішній
- в
- залучений
- ізоляція
- Випущений
- питання
- IT
- ЙОГО
- січень
- січня
- JPG
- просто
- Пізно
- останній
- останній випуск
- вивчення
- найменш
- менше
- лист
- рівень
- життя
- як
- Ймовірно
- трохи
- подивитися
- основний
- зробити
- Робить
- управління
- багато
- Маса
- засоби
- член
- пам'ять
- методика
- може бути
- мігрувати
- мінімізувати
- Пом'якшити
- модель
- місяць
- місяців
- більше
- багато
- майже
- Нові
- немає
- зараз
- номер
- численний
- of
- Омдія
- on
- ONE
- відкрити
- операційний
- Можливість
- порядок
- оригінал
- Інше
- наші
- себе
- над
- Капітальний ремонт
- власний
- приватність
- Минуле
- Патчі
- може бути
- фаза
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- політика
- портфель
- поза
- потенціал
- практики
- press
- Прес-релізи
- проблеми
- Процедури
- процес
- процеси
- Product
- розробка продукту
- Продукти
- пообіцяв
- захист
- публічно
- пульс
- Купівля
- цілей
- якість
- питання
- питань
- піднятий
- Читати
- останній
- возз'єднатися
- запис
- вважати
- пов'язаний
- звільнити
- Релізи
- невблаганна
- залишається
- віддалений
- Віддалений доступ
- запитів
- дослідження
- дослідник
- ресурси
- відновлення
- в результаті
- право
- Risk
- суперників
- прогін
- s
- Зазначений
- економія
- говорить
- безпечний
- безпеку
- побачити
- послати
- сенс
- Серія
- серйозний
- обслуговування
- комплект
- поділ
- аналогічний
- з
- So
- так далеко
- Софтвер
- розробка програмного забезпечення
- деякі
- конкретний
- Стажування
- автономні
- стійкий
- ніжка
- Крок
- заходи
- потік
- такі
- страждає
- система
- Systems
- націлювання
- Технології
- ніж
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- вони
- думати
- третя сторона
- це
- На цьому тижні
- ретельний
- загроза
- актори загроз
- час
- times
- до
- занадто
- Усього:
- до
- трек
- послужний список
- Перетворення
- Перетворення
- суд
- викликати
- намагатися
- два
- при
- до
- us
- використовуваний
- використання
- різний
- продавець
- постачальники
- VPN
- Уразливості
- вразливість
- інформація про вразливість
- було
- шлях..
- we
- week
- тижня
- були
- Що
- який
- в той час як
- Wild
- волі
- Вільямс
- з
- світовий
- б
- років
- зефірнет