Ivanti tegevjuht Jeff Abbott ütles sel nädalal, et tema ettevõte uuendab täielikult oma turvatavasid, isegi kui müüja avalikustas oma haavatavusest tulvil Ivanti Connecti turvalise ja poliitikaturvalise kaugjuurdepääsu toodetes veel ühe värske veakomplekti.
Klientidele saadetud avatud kirjas võttis Abbott kohustuse teha mitmeid muudatusi, mida ettevõte lähikuudel teeb, et muuta oma turvalisuse töömudelit pärast jaanuarist saadik lakkamatut vigade avalikustamise tulva. Lubatud parandused hõlmavad Ivanti inseneri-, turva- ja haavatavuse haldamise protsesside täielikku üleviimist ning tootearenduse uue turvalisuse algatuse rakendamist.
Põhjalik kapitaalremont
"Oleme esitanud endale väljakutse vaadata kriitiliselt oma protsesside iga etappi ja iga toodet, et tagada oma klientidele kõrgeim kaitsetase," ütles Abbott. oma avalduses. "Oleme juba alustanud hiljutistest juhtumitest õppimise rakendamist, et oma inseneri- ja turvatavasid koheselt täiustada."
Mõned konkreetsed sammud hõlmavad turvalisuse lisamist tarkvaraarenduse elutsükli igasse etappi ning uute isoleerimis- ja ärakasutamisvastaste funktsioonide integreerimist oma toodetesse, et minimeerida tarkvara haavatavuste võimalikku mõju. Ettevõte parandab ka oma sisemist haavatavuse avastamise ja haldamise protsessi ning suurendab kolmandate osapoolte veaküttide stiimuleid, ütles Abbott.
Lisaks teeb Ivanti klientidele rohkem ressursse haavatavuse teabe ja sellega seotud dokumentatsiooni leidmiseks ning on pühendunud suuremale ümberkujundamisele ja teabe jagamisele klientidega, lisas ta.
Kui palju need kohustused aitavad peatada klientide kasvav pettumus Ivantiga on ettevõtte hiljutisi turvalisuse rekordeid arvestades ebaselge. Tegelikult tulid Abboti kommentaarid üks päev pärast Ivanti avalikustamist neli uut viga rakenduses Connect Secure ja Policy Secure lüüsitehnoloogiad ja välja antud paigad igaühe jaoks.
Avalikustamine järgnes a sarnane juhtum vähem kui kaks nädalat tagasi mis hõlmas kahte viga Ivanti Standalone Sentry ja Neuron ITSM-i toodetes. Ivanti on seni avalikustanud kokku 11 turvaauku – sealhulgas neli sel nädalal – oma tehnoloogiates alates 1. jaanuarist. Paljud neist on olnud kriitilised vead – vähemalt kaks olid nullpäevad – ettevõtte kaugjuurdepääsutoodetes, mida ründajad ründavad. , sealhulgas edasijõudnud püsivad ohutegurid, naguMagnet Goblin,” on ekspluateeritakse massiliselt. Mure mõningate nende vigade võimalike suurte rikkumiste pärast ajendas USA küberjulgeoleku ja infrastruktuuri turvaagentuuri (CISA) jaanuaris andma kõikidele föderaalsetele tsiviilasutustele korralduse võtke nende Ivanti süsteemid võrguühenduseta ja ärge ühendage seadmeid uuesti enne, kui need on täielikult parandatud.
Turvateadlane ja IANS-i teaduskonna liige Jake Williams ütleb, et haavatavuse avalikustamine on tekitanud Ivanti klientidel tõsiseid küsimusi. "Tuginedes minu vestlustele, eriti Fortune 500 klientidega, arvan ausalt, et see on natuke liiga vähe, liiga hilja," ütleb ta. "Aeg selle kohustuse avalikuks tegemiseks oli rohkem kui kuu aega tagasi." Ta ütleb, et Ivanti VPN-seadmega (endine Pulse) seotud probleemid panevad CISO-d kahtluse alla Ivanti paljude teiste toodete turvalisuses.
Värske 4 veaga komplekt
Neli uut viga, mille Ivanti sel nädalal avalikustas, hõlmasid Connect Secure'i ja Policy Secure'i IPSec komponendi kahte kuhjaga ületäitumise haavatavust, mida mõlemat ettevõte iseloomustas kui tõsist ohtu klientidele. Üks haavatavustest, mida jälgitakse kui CVE-2024-21894, annab autentimata ründajatele võimaluse käitada mõjutatud süsteemides suvalist koodi. Teine, mis on määratud kui CVE-2024-22053, võimaldab autentimata kaugründajal teatud tingimustel lugeda süsteemimälust sisu. Ivanti kirjeldas mõlemat haavatavust nii, et need võimaldavad ründajatel saata pahatahtlikult koostatud taotlusi teenuse keelamise tingimuste käivitamiseks.
Ülejäänud kaks viga – CVE-2024-22052 ja CVE-2024-22023 – on kaks keskmise raskusastmega turvaauku, mida ründajad saavad ära kasutada, et tekitada mõjutatud süsteemides teenuse keelamise tingimusi. Ivanti ütles, et 2. aprilli seisuga ei olnud ta teadlik haavatavustele suunatud ekspluateerimisest looduses.
Pidev vigade avalikustamise voog on tekitanud küsimusi ohu kohta, mida Ivanti tooted kujutavad rohkem kui 40,000 XNUMX kliendile üle maailma, kusjuures mõned on väljendanud oma pettumust foorumites nagu Reddit. Vaid kaks aastat tagasi kuulutasid Ivanti pressiteated oma klientideks 96 Fortune 100 ettevõtet. Viimases väljaandes on see arv vähenenud peaaegu 12% 85 ettevõtteni. Kuigi hõõrdumine võib olla seotud muude teguritega peale turvalisuse, on mõned Ivanti rivaalid hakanud võimalust aima. Näiteks Cisco on alanud stiimulite pakkumine - sealhulgas 90-päevane tasuta prooviversioon -, et proovida panna Ivanti VPN-i kliendid üle minema selle turvalise juurdepääsu platvormile, et nad saaksid Ivanti toodetest tulenevaid riske maandada.
Kas omandamisega seotud probleemid?
Omdia analüütik Eric Parizo ütleb, et vähemalt osa Ivanti väljakutsetest on seotud asjaoluga, et ettevõtte tooteportfell on paljude varasemate omandamiste summa. „Originaalsed tooted töötati välja erinevatel aegadel erinevate ettevõtete poolt erinevatel eesmärkidel, kasutades erinevaid meetodeid. See tähendab, et tarkvara kvaliteet, eriti tarkvara turvalisuse osas, võib olla dramaatiliselt ebaühtlane,“ ütleb ta.
Parizo sõnul on see, mida Ivanti praegu teeb oma pühendumisega turvaprotsesside ja -protseduuride parandamisele kõikjal, on samm õiges suunas. "Samuti tahaksin näha, et müüja hüvitaks oma klientidele kahjud, mis tulenevad otseselt nendest haavatavustest, kuna see aitab taastada usalduse tulevaste ostude vastu," ütleb ta. "Võib-olla aitab Ivanti päästa see, et kliendid on sedalaadi sündmustega nii harjunud, kuna küberturbe müüjad on viimastel aastatel kannatanud lugematu arv sarnaseid juhtumeid, et kliendid andestavad ja unustavad tõenäolisemalt."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
