Ivanti کے سی ای او جیف ایبٹ نے اس ہفتے کہا کہ ان کی کمپنی اپنے حفاظتی طریقوں کو مکمل طور پر بہتر بنائے گی یہاں تک کہ وینڈر نے اپنی کمزوریوں سے چھلنی Ivanti Connect Secure اور Policy Secure ریموٹ ایکسیس پروڈکٹس میں کیڑے کے ایک اور نئے سیٹ کا انکشاف کیا ہے۔
صارفین کے نام ایک کھلے خط میں، ایبٹ نے جنوری سے بگ انکشافات کی مسلسل بیراج کے بعد اپنے سیکیورٹی آپریٹنگ ماڈل کو تبدیل کرنے کے لیے آنے والے مہینوں میں تبدیلیوں کی ایک سیریز کا عزم کیا۔ وعدہ کردہ اصلاحات میں Ivanti کی انجینئرنگ، سیکورٹی، اور خطرے کے انتظام کے عمل کا مکمل ڈو اوور اور مصنوعات کی ترقی کے لیے ایک نئے محفوظ بہ ڈیزائن اقدام کا نفاذ شامل ہے۔
ایک مکمل اوور ہال
ایبٹ نے کہا، "ہم نے خود کو چیلنج کیا ہے کہ ہم اپنے عمل کے ہر مرحلے، اور ہر پروڈکٹ کو تنقیدی نظر سے دیکھیں، تاکہ اپنے صارفین کے لیے اعلیٰ ترین سطح کے تحفظ کو یقینی بنایا جا سکے۔" اپنے بیان میں. "ہم نے اپنی انجینئرنگ اور سیکورٹی کے طریقوں میں فوری بہتری لانے کے لیے حالیہ واقعات سے سیکھنے کا اطلاق پہلے ہی شروع کر دیا ہے۔"
کچھ مخصوص اقدامات میں سافٹ ویئر ڈویلپمنٹ لائف سائیکل کے ہر مرحلے میں سیکیورٹی کو سرایت کرنا اور سافٹ ویئر کی کمزوریوں کے ممکنہ اثرات کو کم کرنے کے لیے اس کی مصنوعات میں نئی تنہائی اور استحصال مخالف خصوصیات کو شامل کرنا شامل ہے۔ ایبٹ نے کہا کہ کمپنی اپنی اندرونی کمزوری کی دریافت اور انتظامی عمل کو بھی بہتر بنائے گی اور تھرڈ پارٹی بگ ہنٹرز کے لیے مراعات میں اضافہ کرے گی۔
اس کے علاوہ، Ivanti صارفین کو خطرات سے متعلق معلومات اور متعلقہ دستاویزات تلاش کرنے کے لیے مزید وسائل فراہم کرے گی اور وہ صارفین کے ساتھ زیادہ سے زیادہ تبدیلی اور معلومات کے اشتراک کے لیے پرعزم ہے۔
ان وعدوں کو روکنے میں کتنی مدد ملے گی۔ صارفین کی بڑھتی ہوئی مایوسی Ivanti کے ساتھ کمپنی کے حالیہ سیکورٹی ٹریک ریکارڈ کو دیکھتے ہوئے غیر واضح ہے۔ درحقیقت ایبٹ کے تبصرے ایوانٹی کے انکشاف کے ایک دن بعد آئے اس کے کنیکٹ سیکیور اور پالیسی سیکیور میں چار نئے بگز گیٹ وے ٹیکنالوجیز اور ان میں سے ہر ایک کے لیے جاری کردہ پیچ۔
یہ انکشاف ایک کے بعد ہوا۔ ایسا ہی واقعہ دو ہفتے سے بھی کم عرصہ قبل پیش آیا تھا۔ جس میں Ivanti's Standalone Sentry اور Neurons for ITSM مصنوعات میں دو کیڑے شامل تھے۔ Ivanti نے اب تک مجموعی طور پر 11 کمزوریوں کا انکشاف کیا ہے — جن میں اس ہفتے چار شامل ہیں — یکم جنوری سے اپنی ٹیکنالوجیز میں۔ ان میں سے بہت سے اہم خامیاں ہیں — کم از کم دو صفر دن کے تھے — کمپنی کی ریموٹ ایکسیس پروڈکٹس میں، جن پر حملہ آور ، بشمول اعلی درجے کے مستقل خطرے والے اداکار جیسے "مقناطیس گوبلن،”ہے بڑے پیمانے پر فیشن میں استحصال. ان میں سے کچھ کیڑوں سے بڑی خلاف ورزیوں کے امکان پر تشویش نے جنوری میں امریکی سائبرسیکیوریٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) کو تمام سویلین وفاقی ایجنسیوں کو حکم دینے کے لیے کہا۔ اپنے Ivanti سسٹمز کو آف لائن لیں۔ اور آلات کو دوبارہ مربوط نہ کریں جب تک کہ مکمل طور پر تدارک نہ کیا جائے۔
سیکیورٹی محقق اور IANS ریسرچ فیکلٹی ممبر جیک ولیمز کا کہنا ہے کہ کمزوری کے انکشافات نے Ivanti کے صارفین کی طرف سے سنجیدہ سوالات کو جنم دیا ہے۔ "میری گفتگو کی بنیاد پر، خاص طور پر فارچیون 500 کلائنٹس کے ساتھ، میں ایمانداری سے سوچتا ہوں کہ یہ بہت کم، بہت دیر ہو چکی ہے،" وہ کہتے ہیں۔ "عوامی طور پر یہ عہد کرنے کا وقت ایک ماہ سے زیادہ پہلے تھا۔" ان کا کہنا ہے کہ اس میں کوئی سوال نہیں ہے کہ Ivanti VPN آلات (سابقہ Pulse) کے مسائل CISOs کو Ivanti کی بہت سی دوسری مصنوعات کی سلامتی پر سوالیہ نشان بنا رہے ہیں۔
4 کیڑے کا ایک تازہ سیٹ
Ivanti نے اس ہفتے جن چار نئے بگز کا انکشاف کیا ان میں Connect Secure اور Policy Secure کے IPSec جزو میں دو ہیپ اوور فلو کمزوریاں شامل ہیں، یہ دونوں کمپنیاں صارفین کے لیے انتہائی شدید خطرے کے طور پر نمایاں ہیں۔ کمزوریوں میں سے ایک، جسے CVE-2024-21894 کے طور پر ٹریک کیا جاتا ہے، غیر تصدیق شدہ حملہ آوروں کو متاثرہ سسٹمز پر صوابدیدی کوڈ چلانے کا طریقہ فراہم کرتا ہے۔ دوسرا، جسے CVE-2024-22053 کے طور پر تفویض کیا گیا ہے، ایک غیر تصدیق شدہ ریموٹ حملہ آور کو کچھ شرائط کے تحت سسٹم میموری سے مواد پڑھنے کی اجازت دیتا ہے۔ Ivanti نے دونوں کمزوریوں کو حملہ آوروں کو سروس کی شرائط سے انکار کو متحرک کرنے کے لیے بدنیتی سے تیار کردہ درخواستیں بھیجنے کی اجازت دیتے ہوئے بیان کیا۔
دیگر دو خامیاں — CVE-2024-22052 اور CVE-2024-22023 — دو درمیانے درجے کی کمزوریاں ہیں جن سے حملہ آور متاثرہ سسٹمز پر سروس سے انکار کے حالات پیدا کرنے کے لیے فائدہ اٹھا سکتے ہیں۔ Ivanti نے کہا کہ 2 اپریل تک، وہ خطرات کو نشانہ بنانے والے جنگلات میں کسی بھی استحصالی سرگرمی سے آگاہ نہیں تھا۔
بگ کے انکشافات کے مستقل سلسلے نے اس خطرے کے بارے میں سوالات اٹھائے ہیں جو Ivanti کی مصنوعات کو دنیا بھر میں 40,000 سے زیادہ صارفین کو لاحق ہے، کچھ اس پر اپنی مایوسی کا اظہار کرتے ہوئے فورمز جیسے Reddit. صرف دو سال پہلے، Ivanti کی پریس ریلیز نے Fortune 96 کمپنیوں میں سے 100 کو اس کے صارفین کے طور پر دعویٰ کیا تھا۔ تازہ ترین ریلیز میں یہ تعداد تقریباً 12 فیصد کم ہو کر 85 کمپنیوں تک پہنچ گئی ہے۔ اگرچہ اس تناؤ کا تعلق صرف سیکورٹی کے علاوہ دیگر عوامل سے بھی ہو سکتا ہے، لیکن کچھ Ivanti حریفوں نے موقع کو محسوس کرنا شروع کر دیا ہے۔ سسکو، مثال کے طور پر، شروع ہو گیا ہے مراعات کی پیش کش — بشمول 90 دن کا مفت ٹرائل — Ivanti VPN صارفین کو اس کے محفوظ رسائی پلیٹ فارم پر منتقل کرنے کی کوشش کرنے اور حاصل کرنے کے لیے تاکہ وہ Ivanti کی مصنوعات سے "خطرے کو کم کر سکیں"۔
حصول سے متعلق مسائل؟
اومڈیا کے تجزیہ کار ایرک پاریزو کہتے ہیں کہ کم از کم آئیونٹی کے کچھ چیلنجز کا تعلق اس حقیقت سے ہے کہ کمپنی کا پروڈکٹ پورٹ فولیو ماضی کے متعدد حصولات کا مجموعہ ہے۔ "اصل مصنوعات مختلف اوقات میں مختلف کمپنیوں کے ذریعہ مختلف طریقوں سے مختلف مقاصد کے لئے تیار کی گئیں۔ اس کا مطلب ہے کہ سافٹ ویئر کا معیار، خاص طور پر سافٹ ویئر سیکیورٹی کے حوالے سے، ڈرامائی طور پر ناہموار ہوسکتا ہے،" وہ کہتے ہیں۔
پاریزو کا کہنا ہے کہ ایونٹی پورے بورڈ میں سیکیورٹی کے عمل اور طریقہ کار کو بہتر بنانے کے عزم کے ساتھ جو کچھ کر رہی ہے وہ درست سمت میں ایک قدم ہے۔ "میں یہ بھی دیکھنا چاہوں گا کہ وینڈر اپنے صارفین کو ان کمزوریوں کے نتیجے میں ہونے والے نقصانات کی تلافی کرے، کیونکہ اس سے مستقبل کی خریداریوں میں اعتماد بحال کرنے میں مدد ملے گی،" وہ کہتے ہیں۔ "شاید ایونٹی کے لیے ایک فضل یہ ہے کہ صارفین اس قسم کے ایونٹ کے اتنے عادی ہیں، سائبرسیکیوریٹی وینڈرز کو حالیہ برسوں میں اسی طرح کے لاتعداد واقعات کا سامنا کرنا پڑا، کہ صارفین کو معاف کرنے اور بھول جانے کا امکان زیادہ ہوتا ہے۔"
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
- : ہے
- : ہے
- : نہیں
- 000
- 000 صارفین
- 1
- 100
- 11
- 40
- 500
- 7
- a
- ہمارے بارے میں
- تک رسائی حاصل
- حصول
- حصول
- کے پار
- سرگرمی
- اداکار
- شامل کیا
- اس کے علاوہ
- اعلی درجے کی
- متاثر
- کے بعد
- ایجنسیوں
- ایجنسی
- پہلے
- تمام
- اجازت دے رہا ہے
- کی اجازت دیتا ہے
- پہلے ہی
- بھی
- an
- تجزیہ کار
- اور
- اور بنیادی ڈھانچہ
- ایک اور
- کوئی بھی
- درخواست دینا
- اپریل
- صوابدیدی
- کیا
- AS
- تفویض
- منسلک
- At
- حملہ آور
- مایوسی
- دستیاب
- آگاہ
- ڈیم
- کی بنیاد پر
- BE
- رہا
- شروع
- بٹ
- بورڈ
- دونوں
- خلاف ورزیوں
- بگ کی اطلاع دیں
- کیڑوں
- by
- آیا
- کر سکتے ہیں
- کیونکہ
- سی ای او
- کچھ
- چیلنج
- چیلنجوں
- تبدیلیاں
- خصوصیات
- سسکو
- سویلین
- دعوی کیا
- کلائنٹس
- کوڈ
- آنے والے
- تبصروں
- وابستگی
- وعدوں
- انجام دیا
- کمپنیاں
- کمپنی کے
- مکمل
- مکمل طور پر
- جزو
- اندیشہ
- حالات
- آپکا اعتماد
- رابطہ قائم کریں
- مندرجات
- مکالمات
- تیار کیا
- اہم
- گاہک
- گاہکوں
- سائبر سیکیورٹی
- سائیکل
- دن
- سروس کا انکار
- بیان کیا
- ترقی یافتہ
- ترقی
- کے الات
- مختلف
- سمت
- براہ راست
- انکشاف
- دریافت
- do
- دستاویزات
- کر
- ڈرامائی طور پر
- ہر ایک
- سرایت کرنا
- انجنیئرنگ
- کو یقینی بنانے کے
- خاص طور پر
- بھی
- واقعہ
- ہر کوئی
- دھماکہ
- کا اظہار
- حقیقت یہ ہے
- عوامل
- دور
- خصوصیات
- وفاقی
- تلاش
- مقررہ
- خامیوں
- پیچھے پیچھے
- کے بعد
- کے لئے
- پہلے
- فارچیون
- چار
- مفت
- مفت جانچ
- تازہ
- سے
- مایوسی
- مکمل طور پر
- مستقبل
- گیٹ وے
- حاصل
- دی
- فراہم کرتا ہے
- فضل
- زیادہ سے زیادہ
- ہے
- ہونے
- he
- مدد
- سب سے زیادہ
- ان
- ہنسی
- HTTPS
- i
- فوری طور پر
- اثر
- نفاذ
- کو بہتر بنانے کے
- بہتری
- کو بہتر بنانے کے
- in
- مراعات
- واقعہ
- شامل
- شامل
- سمیت
- اضافہ
- معلومات
- انفراسٹرکچر
- انیشی ایٹو
- مثال کے طور پر
- انضمام کرنا
- اندرونی
- میں
- ملوث
- تنہائی
- جاری
- مسائل
- IT
- میں
- جنوری
- جنوری
- فوٹو
- صرف
- مرحوم
- تازہ ترین
- تازہ ترین رہائی
- سیکھنے
- کم سے کم
- کم
- خط
- سطح
- زندگی
- کی طرح
- امکان
- تھوڑا
- دیکھو
- اہم
- بنا
- بنانا
- انتظام
- بہت سے
- ماس
- کا مطلب ہے کہ
- رکن
- یاد داشت
- طریقوں
- شاید
- منتقلی
- کم سے کم
- تخفیف کریں
- ماڈل
- مہینہ
- ماہ
- زیادہ
- بہت
- تقریبا
- نئی
- نہیں
- اب
- تعداد
- متعدد
- of
- اومیڈیا
- on
- ایک
- کھول
- کام
- مواقع
- حکم
- اصل
- دیگر
- ہمارے
- خود
- پر
- اضافی
- خود
- خاص طور پر
- گزشتہ
- پیچ
- شاید
- مرحلہ
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پالیسی
- پورٹ فولیو
- کرنسی
- ممکنہ
- طریقوں
- پریس
- پریس ریلیز
- مسائل
- طریقہ کار
- عمل
- عمل
- مصنوعات
- مصنوعات کی ترقی
- حاصل
- وعدہ
- تحفظ
- عوامی طور پر
- پلس
- خریداریوں
- مقاصد
- معیار
- سوال
- سوالات
- اٹھایا
- پڑھیں
- حال ہی میں
- دوبارہ مربوط
- ریکارڈ
- اٹ
- شمار
- متعلقہ
- جاری
- ریلیز
- بے حد
- باقی
- ریموٹ
- دور دراز تک رسائی
- درخواستوں
- تحقیق
- محقق
- وسائل
- بحال
- نتیجے
- ٹھیک ہے
- رسک
- حریفوں
- رن
- s
- کہا
- بچت
- کا کہنا ہے کہ
- محفوظ بنانے
- سیکورٹی
- دیکھنا
- بھیجنے
- احساس
- سیریز
- سنگین
- سروس
- مقرر
- اشتراک
- اسی طرح
- بعد
- So
- اب تک
- سافٹ ویئر کی
- سوفٹ ویئر کی نشوونما
- کچھ
- مخصوص
- اسٹیج
- اسٹینڈ
- مستحکم
- تنا
- مرحلہ
- مراحل
- سٹریم
- اس طرح
- مبتلا
- کے نظام
- سسٹمز
- ھدف بندی
- ٹیکنالوجی
- سے
- کہ
- ۔
- ان
- ان
- وہاں.
- یہ
- وہ
- لگتا ہے کہ
- تیسری پارٹی
- اس
- اس ہفتے
- مکمل
- خطرہ
- دھمکی دینے والے اداکار
- وقت
- اوقات
- کرنے کے لئے
- بھی
- کل
- کی طرف
- ٹریک
- ٹریک ریکارڈ
- تبدیل
- تبدیلی
- مقدمے کی سماعت
- ٹرگر
- کوشش
- دو
- کے تحت
- جب تک
- us
- استعمال کیا جاتا ہے
- کا استعمال کرتے ہوئے
- مختلف
- وینڈر
- دکانداروں
- VPN
- نقصان دہ
- خطرے کا سامنا
- خطرے کی معلومات
- تھا
- راستہ..
- we
- ہفتے
- مہینے
- تھے
- کیا
- جس
- جبکہ
- وائلڈ
- گے
- ولیمز
- ساتھ
- دنیا بھر
- گا
- سال
- زیفیرنیٹ