Ivanti обіцяє капітальний ремонт безпеки наступного дня після розкриття ще 4 вразливих сайтів

Цього тижня генеральний директор Ivanti Джефф Ебботт заявив, що його компанія повністю оновить свою практику безпеки, навіть якщо постачальник розкрив ще один новий набір помилок у продуктах віддаленого доступу Ivanti Connect Secure та Policy Secure, багатих на вразливості.

У відкритому листі до клієнтів компанія Abbott пообіцяла внести низку змін, які компанія зробить у найближчі місяці, щоб трансформувати свою операційну модель безпеки після невпинного шквалу розкриття помилок із січня. Обіцяні виправлення включають повну переробку процесів розробки, безпеки та управління вразливістю Ivanti, а також впровадження нової ініціативи безпеки за проектом для розробки продукту.

Капітальний ремонт

«Ми поставили перед собою завдання критично дивитися на кожну фазу наших процесів і кожен продукт, щоб забезпечити найвищий рівень захисту для наших клієнтів», — сказав Ебботт, у своїй заяві. «Ми вже почали застосовувати знання, отримані в результаті нещодавніх інцидентів, щоб негайно вдосконалити нашу власну техніку розробки та безпеки».

Деякі з конкретних кроків включають впровадження безпеки на кожному етапі життєвого циклу розробки програмного забезпечення та інтеграцію нових функцій ізоляції та захисту від експлойтів у його продукти для мінімізації потенційного впливу вразливостей програмного забезпечення. Компанія також покращить свій внутрішній процес виявлення вразливостей і управління ними, а також збільшить стимули для сторонніх шукачів помилок, сказав Ебботт.

Крім того, Ivanti надасть клієнтам більше ресурсів для пошуку інформації про вразливості та відповідної документації, а також прагне до більшої трансформації та обміну інформацією з клієнтами, додав він.

Наскільки ці зобов’язання допоможуть стримати зростаюче розчарування клієнтів з Ivanti залишається незрозумілим, враховуючи останні результати роботи компанії в галузі безпеки. Насправді, коментарі Еббота надійшли через день після розкриття Іванті чотири нові помилки в Connect Secure і Policy Secure технології шлюзу та випущені патчі для кожної з них.

Розкриття послідувало за a аналогічний випадок менше двох тижнів тому які стосувалися двох помилок у Standalone Sentry від Ivanti та Neuron для продуктів ITSM. Наразі Ivanti оприлюднила загалом 11 уразливостей — у тому числі чотири цього тижня — у своїх технологіях з 1 січня. Багато з них були критичними недоліками (принаймні дві були нульовими днями) у продуктах віддаленого доступу компанії, які зловмисники , включаючи вдосконалені постійні загрози, такі як "Магніт Гоблін,” мають експлуатується в масовій моді. Занепокоєння потенційними серйозними порушеннями через деякі з цих помилок спонукало Агентство з кібербезпеки та безпеки інфраструктури США (CISA) у січні наказати всім цивільним федеральним агентствам перевести свої системи Ivanti в автономний режим і не підключайте пристрої повторно, доки не буде повністю виправлено.

Дослідник безпеки та член дослідницького факультету IANS Джейк Вільямс каже, що розкриття вразливостей викликало серйозні запитання у клієнтів Ivanti. «Виходячи з розмов, які я веду, особливо з клієнтами зі списку Fortune 500, я чесно вважаю, що це трохи замало, занадто пізно», — каже він. «Час публічно зробити це зобов’язання був більше місяця тому». Безсумнівно, проблеми з пристроєм Ivanti VPN (раніше Pulse) змушують CISO сумніватися в безпеці багатьох інших продуктів Ivanti, каже він.

Свіжий набір із 4 жуків

Чотири нові помилки, оприлюднені Іванті цього тижня, включали дві вразливості переповнення купи в компоненті IPSec Connect Secure і Policy Secure, обидві з яких компанія охарактеризувала як ризик високого рівня для клієнтів. Одна з уразливостей, відстежувана як CVE-2024-21894, дає неавтентифікованим зловмисникам можливість запускати довільний код на уражених системах. Інший, призначений як CVE-2024-22053, дозволяє неавтентифікованому віддаленому зловмиснику читати вміст системної пам’яті за певних умов. Іванті описав обидві вразливості як такі, що дозволяють зловмисникам надсилати зловмисно створені запити, щоб викликати умови відмови в обслуговуванні.

Дві інші вади — CVE-2024-22052 і CVE-2024-22023 — це дві вразливості середнього ступеня тяжкості, якими зловмисники можуть скористатися, щоб викликати умови відмови в обслуговуванні в уражених системах. Ivanti сказав, що станом на 2 квітня йому не було відомо про будь-яку активність експлойтів, націлених на вразливості.

Постійний потік виявлених помилок підняв питання щодо ризику, який несуть продукти Ivanti для понад 40,000 XNUMX клієнтів у всьому світі, причому деякі висловлювали своє розчарування форуми, такі як Reddit. Лише два роки тому в прес-релізах Ivanti зазначалося, що 96 компаній зі списку Fortune 100 є її клієнтами. В останньому випуску ця кількість скоротилася майже на 12% до 85 компаній. Хоча відставання може бути пов’язане з іншими факторами, а не просто з безпекою, деякі конкуренти Ivanti почали відчувати можливість. Cisco, наприклад, почала пропонуючи стимули — включаючи 90-денну безкоштовну пробну версію — щоб спробувати змусити клієнтів Ivanti VPN перейти на її платформу Secure Access, щоб вони могли «зменшити ризик» від продуктів Ivanti.

Проблеми, пов'язані з придбанням?

Ерік Парізо, аналітик Omdia, каже, що принаймні деякі проблеми Ivanti пов’язані з тим фактом, що продуктовий портфель компанії є сумою численних минулих придбань. «Оригінальні продукти були розроблені в різний час різними компаніями для різних цілей з використанням різних методів. Це означає, що якість програмного забезпечення, зокрема щодо безпеки програмного забезпечення, може бути різко неоднаковою», – говорить він.

 Парізо каже, що те, що Ivanti робить зараз, намагаючись покращити процеси та процедури безпеки в усіх сферах, є кроком у правильному напрямку. «Я також хотів би, щоб постачальник відшкодовував своїм клієнтам збитки, безпосередньо спричинені цими вразливими місцями, оскільки це допоможе відновити впевненість у майбутніх покупках», — говорить він. «Можливо, єдиним порятунком для Ivanti є те, що клієнти настільки звикли до такого роду подій, оскільки постачальники засобів кібербезпеки зазнали незліченних подібних інцидентів за останні роки, що клієнти, швидше за все, пробачать і забудуть».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns