Ivanti نے 4 مزید Vulns کے انکشاف کے بعد سیکیورٹی کی بحالی کا وعدہ کیا۔

Ivanti نے 4 مزید Vulns کے انکشاف کے بعد سیکیورٹی کی بحالی کا وعدہ کیا۔

ٹائم سٹیمپ: 4 اپریل 2024 دوپہر 5:43 بجے
Ivanti Pledges Security Overhaul the Day After 4 More Vulns Disclosed PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Ivanti کے سی ای او جیف ایبٹ نے اس ہفتے کہا کہ ان کی کمپنی اپنے حفاظتی طریقوں کو مکمل طور پر بہتر بنائے گی یہاں تک کہ وینڈر نے اپنی کمزوریوں سے چھلنی Ivanti Connect Secure اور Policy Secure ریموٹ ایکسیس پروڈکٹس میں کیڑے کے ایک اور نئے سیٹ کا انکشاف کیا ہے۔

صارفین کے نام ایک کھلے خط میں، ایبٹ نے جنوری سے بگ انکشافات کی مسلسل بیراج کے بعد اپنے سیکیورٹی آپریٹنگ ماڈل کو تبدیل کرنے کے لیے آنے والے مہینوں میں تبدیلیوں کی ایک سیریز کا عزم کیا۔ وعدہ کردہ اصلاحات میں Ivanti کی انجینئرنگ، سیکورٹی، اور خطرے کے انتظام کے عمل کا مکمل ڈو اوور اور مصنوعات کی ترقی کے لیے ایک نئے محفوظ بہ ڈیزائن اقدام کا نفاذ شامل ہے۔

ایک مکمل اوور ہال

ایبٹ نے کہا، "ہم نے خود کو چیلنج کیا ہے کہ ہم اپنے عمل کے ہر مرحلے، اور ہر پروڈکٹ کو تنقیدی نظر سے دیکھیں، تاکہ اپنے صارفین کے لیے اعلیٰ ترین سطح کے تحفظ کو یقینی بنایا جا سکے۔" اپنے بیان میں. "ہم نے اپنی انجینئرنگ اور سیکورٹی کے طریقوں میں فوری بہتری لانے کے لیے حالیہ واقعات سے سیکھنے کا اطلاق پہلے ہی شروع کر دیا ہے۔"

کچھ مخصوص اقدامات میں سافٹ ویئر ڈویلپمنٹ لائف سائیکل کے ہر مرحلے میں سیکیورٹی کو سرایت کرنا اور سافٹ ویئر کی کمزوریوں کے ممکنہ اثرات کو کم کرنے کے لیے اس کی مصنوعات میں نئی ​​تنہائی اور استحصال مخالف خصوصیات کو شامل کرنا شامل ہے۔ ایبٹ نے کہا کہ کمپنی اپنی اندرونی کمزوری کی دریافت اور انتظامی عمل کو بھی بہتر بنائے گی اور تھرڈ پارٹی بگ ہنٹرز کے لیے مراعات میں اضافہ کرے گی۔

اس کے علاوہ، Ivanti صارفین کو خطرات سے متعلق معلومات اور متعلقہ دستاویزات تلاش کرنے کے لیے مزید وسائل فراہم کرے گی اور وہ صارفین کے ساتھ زیادہ سے زیادہ تبدیلی اور معلومات کے اشتراک کے لیے پرعزم ہے۔

ان وعدوں کو روکنے میں کتنی مدد ملے گی۔ صارفین کی بڑھتی ہوئی مایوسی Ivanti کے ساتھ کمپنی کے حالیہ سیکورٹی ٹریک ریکارڈ کو دیکھتے ہوئے غیر واضح ہے۔ درحقیقت ایبٹ کے تبصرے ایوانٹی کے انکشاف کے ایک دن بعد آئے اس کے کنیکٹ سیکیور اور پالیسی سیکیور میں چار نئے بگز گیٹ وے ٹیکنالوجیز اور ان میں سے ہر ایک کے لیے جاری کردہ پیچ۔

یہ انکشاف ایک کے بعد ہوا۔ ایسا ہی واقعہ دو ہفتے سے بھی کم عرصہ قبل پیش آیا تھا۔ جس میں Ivanti's Standalone Sentry اور Neurons for ITSM مصنوعات میں دو کیڑے شامل تھے۔ Ivanti نے اب تک مجموعی طور پر 11 کمزوریوں کا انکشاف کیا ہے — جن میں اس ہفتے چار شامل ہیں — یکم جنوری سے اپنی ٹیکنالوجیز میں۔ ان میں سے بہت سے اہم خامیاں ہیں — کم از کم دو صفر دن کے تھے — کمپنی کی ریموٹ ایکسیس پروڈکٹس میں، جن پر حملہ آور ، بشمول اعلی درجے کے مستقل خطرے والے اداکار جیسے "مقناطیس گوبلن،”ہے بڑے پیمانے پر فیشن میں استحصال. ان میں سے کچھ کیڑوں سے بڑی خلاف ورزیوں کے امکان پر تشویش نے جنوری میں امریکی سائبرسیکیوریٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) کو تمام سویلین وفاقی ایجنسیوں کو حکم دینے کے لیے کہا۔ اپنے Ivanti سسٹمز کو آف لائن لیں۔ اور آلات کو دوبارہ مربوط نہ کریں جب تک کہ مکمل طور پر تدارک نہ کیا جائے۔

سیکیورٹی محقق اور IANS ریسرچ فیکلٹی ممبر جیک ولیمز کا کہنا ہے کہ کمزوری کے انکشافات نے Ivanti کے صارفین کی طرف سے سنجیدہ سوالات کو جنم دیا ہے۔ "میری گفتگو کی بنیاد پر، خاص طور پر فارچیون 500 کلائنٹس کے ساتھ، میں ایمانداری سے سوچتا ہوں کہ یہ بہت کم، بہت دیر ہو چکی ہے،" وہ کہتے ہیں۔ "عوامی طور پر یہ عہد کرنے کا وقت ایک ماہ سے زیادہ پہلے تھا۔" ان کا کہنا ہے کہ اس میں کوئی سوال نہیں ہے کہ Ivanti VPN آلات (سابقہ ​​​​Pulse) کے مسائل CISOs کو Ivanti کی بہت سی دوسری مصنوعات کی سلامتی پر سوالیہ نشان بنا رہے ہیں۔

4 کیڑے کا ایک تازہ سیٹ

Ivanti نے اس ہفتے جن چار نئے بگز کا انکشاف کیا ان میں Connect Secure اور Policy Secure کے IPSec جزو میں دو ہیپ اوور فلو کمزوریاں شامل ہیں، یہ دونوں کمپنیاں صارفین کے لیے انتہائی شدید خطرے کے طور پر نمایاں ہیں۔ کمزوریوں میں سے ایک، جسے CVE-2024-21894 کے طور پر ٹریک کیا جاتا ہے، غیر تصدیق شدہ حملہ آوروں کو متاثرہ سسٹمز پر صوابدیدی کوڈ چلانے کا طریقہ فراہم کرتا ہے۔ دوسرا، جسے CVE-2024-22053 کے طور پر تفویض کیا گیا ہے، ایک غیر تصدیق شدہ ریموٹ حملہ آور کو کچھ شرائط کے تحت سسٹم میموری سے مواد پڑھنے کی اجازت دیتا ہے۔ Ivanti نے دونوں کمزوریوں کو حملہ آوروں کو سروس کی شرائط سے انکار کو متحرک کرنے کے لیے بدنیتی سے تیار کردہ درخواستیں بھیجنے کی اجازت دیتے ہوئے بیان کیا۔

دیگر دو خامیاں — CVE-2024-22052 اور CVE-2024-22023 — دو درمیانے درجے کی کمزوریاں ہیں جن سے حملہ آور متاثرہ سسٹمز پر سروس سے انکار کے حالات پیدا کرنے کے لیے فائدہ اٹھا سکتے ہیں۔ Ivanti نے کہا کہ 2 اپریل تک، وہ خطرات کو نشانہ بنانے والے جنگلات میں کسی بھی استحصالی سرگرمی سے آگاہ نہیں تھا۔

بگ کے انکشافات کے مستقل سلسلے نے اس خطرے کے بارے میں سوالات اٹھائے ہیں جو Ivanti کی مصنوعات کو دنیا بھر میں 40,000 سے زیادہ صارفین کو لاحق ہے، کچھ اس پر اپنی مایوسی کا اظہار کرتے ہوئے فورمز جیسے Reddit. صرف دو سال پہلے، Ivanti کی پریس ریلیز نے Fortune 96 کمپنیوں میں سے 100 کو اس کے صارفین کے طور پر دعویٰ کیا تھا۔ تازہ ترین ریلیز میں یہ تعداد تقریباً 12 فیصد کم ہو کر 85 کمپنیوں تک پہنچ گئی ہے۔ اگرچہ اس تناؤ کا تعلق صرف سیکورٹی کے علاوہ دیگر عوامل سے بھی ہو سکتا ہے، لیکن کچھ Ivanti حریفوں نے موقع کو محسوس کرنا شروع کر دیا ہے۔ سسکو، مثال کے طور پر، شروع ہو گیا ہے مراعات کی پیش کش — بشمول 90 دن کا مفت ٹرائل — Ivanti VPN صارفین کو اس کے محفوظ رسائی پلیٹ فارم پر منتقل کرنے کی کوشش کرنے اور حاصل کرنے کے لیے تاکہ وہ Ivanti کی مصنوعات سے "خطرے کو کم کر سکیں"۔

اومڈیا کے تجزیہ کار ایرک پاریزو کہتے ہیں کہ کم از کم آئیونٹی کے کچھ چیلنجز کا تعلق اس حقیقت سے ہے کہ کمپنی کا پروڈکٹ پورٹ فولیو ماضی کے متعدد حصولات کا مجموعہ ہے۔ "اصل مصنوعات مختلف اوقات میں مختلف کمپنیوں کے ذریعہ مختلف طریقوں سے مختلف مقاصد کے لئے تیار کی گئیں۔ اس کا مطلب ہے کہ سافٹ ویئر کا معیار، خاص طور پر سافٹ ویئر سیکیورٹی کے حوالے سے، ڈرامائی طور پر ناہموار ہوسکتا ہے،" وہ کہتے ہیں۔

 پاریزو کا کہنا ہے کہ ایونٹی پورے بورڈ میں سیکیورٹی کے عمل اور طریقہ کار کو بہتر بنانے کے عزم کے ساتھ جو کچھ کر رہی ہے وہ درست سمت میں ایک قدم ہے۔ "میں یہ بھی دیکھنا چاہوں گا کہ وینڈر اپنے صارفین کو ان کمزوریوں کے نتیجے میں ہونے والے نقصانات کی تلافی کرے، کیونکہ اس سے مستقبل کی خریداریوں میں اعتماد بحال کرنے میں مدد ملے گی،" وہ کہتے ہیں۔ "شاید ایونٹی کے لیے ایک فضل یہ ہے کہ صارفین اس قسم کے ایونٹ کے اتنے عادی ہیں، سائبرسیکیوریٹی وینڈرز کو حالیہ برسوں میں اسی طرح کے لاتعداد واقعات کا سامنا کرنا پڑا، کہ صارفین کو معاف کرنے اور بھول جانے کا امکان زیادہ ہوتا ہے۔"

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا