قال الرئيس التنفيذي لشركة Ivanti، جيف أبوت، هذا الأسبوع إن شركته ستعمل على تجديد ممارساتها الأمنية بالكامل حتى عندما كشف البائع عن مجموعة جديدة أخرى من الأخطاء في منتجات الوصول عن بعد Ivanti Connect Secure و Policy Secure المليئة بالثغرات الأمنية.
وفي رسالة مفتوحة للعملاء، التزمت شركة أبوت بسلسلة من التغييرات التي ستجريها الشركة في الأشهر المقبلة لتحويل نموذج التشغيل الأمني الخاص بها بعد وابل لا هوادة فيه من الكشف عن الأخطاء منذ يناير. تتضمن الإصلاحات الموعودة إعادة كاملة لعمليات الهندسة والأمن وإدارة الثغرات الأمنية في Ivanti وتنفيذ مبادرة جديدة للتصميم الآمن لتطوير المنتج.
إصلاح شامل
وقال أبوت: "لقد تحدينا أنفسنا للنظر بشكل نقدي في كل مرحلة من مراحل عملياتنا، وكل منتج، لضمان أعلى مستوى من الحماية لعملائنا". في بيانه. "لقد بدأنا بالفعل في تطبيق التعلم من الحوادث الأخيرة لإجراء تحسينات فورية على ممارساتنا الهندسية والأمنية."
تتضمن بعض الخطوات المحددة تضمين الأمان في كل مرحلة من مراحل دورة حياة تطوير البرامج ودمج ميزات العزل ومكافحة الاستغلال الجديدة في منتجاتها لتقليل التأثير المحتمل لنقاط ضعف البرامج. وقال أبوت إن الشركة ستعمل أيضًا على تحسين عملية اكتشاف الثغرات الأمنية الداخلية وإدارتها وزيادة الحوافز لصائدي الأخطاء من الجهات الخارجية.
وأضاف أنه بالإضافة إلى ذلك، ستوفر Ivanti المزيد من الموارد للعملاء للعثور على معلومات الثغرات الأمنية والوثائق المرتبطة بها، كما أنها ملتزمة بمزيد من التحول ومشاركة المعلومات مع العملاء.
إلى أي مدى ستساعد هذه الالتزامات في وقفها؟ تزايد خيبة أمل العملاء مع Ivanti لا يزال غير واضح بالنظر إلى السجل الأمني الأخير للشركة. في الواقع، جاءت تعليقات أبوت بعد يوم واحد من كشف إيفانتي أربعة أخطاء جديدة في Connect Secure و Policy Secure تقنيات البوابة والتصحيحات الصادرة لكل منها.
وجاء الكشف أ حادثة مماثلة قبل أقل من أسبوعين التي تنطوي على خطأين في Ivanti's Standalone Sentry وNeuron's لمنتجات ITSM. كشفت شركة Ivanti حتى الآن عن 11 نقطة ضعف - بما في ذلك الأربع التي تم اكتشافها هذا الأسبوع - في تقنياتها منذ الأول من كانون الثاني (يناير). وكان العديد منها عبارة عن عيوب خطيرة - اثنتان منها على الأقل كانتا صفر يوم - في منتجات الوصول عن بعد الخاصة بالشركة، والتي يستهدفها المهاجمون. ، بما في ذلك جهات التهديد المستمرة المتقدمة مثل "عفريت المغناطيس," لديك استغلالها بطريقة جماعية. دفعت المخاوف بشأن احتمال حدوث انتهاكات كبيرة من بعض هذه الأخطاء وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) في يناير إلى إصدار أمر لجميع الوكالات الفيدرالية المدنية خذ أنظمة Ivanti الخاصة بهم دون اتصال بالإنترنت وعدم إعادة توصيل الأجهزة حتى يتم علاجها بالكامل.
يقول الباحث الأمني وعضو هيئة التدريس في IANS Research، جيك ويليامز، إن الكشف عن الثغرات الأمنية أثار أسئلة جدية من عملاء Ivanti. ويقول: "استنادًا إلى المحادثات التي أجريتها، خاصة مع عملاء Fortune 500، أعتقد بصراحة أن الأمر قليل جدًا ومتأخر جدًا". لقد حان وقت الإعلان عن هذا الالتزام منذ أكثر من شهر». ويقول إنه ليس هناك شك في أن المشكلات المتعلقة بجهاز Ivanti VPN (المعروف سابقًا باسم Pulse) تجعل مسؤولي أمن المعلومات يشككون في أمان العديد من منتجات Ivanti الأخرى.
مجموعة جديدة من 4 البق
تضمنت الأخطاء الأربعة الجديدة التي كشفت عنها شركة Ivanti هذا الأسبوع اثنتين من نقاط الضعف في تجاوز سعة الكومة في مكون IPSec الخاص بـ Connect Secure و Policy Secure، وكلاهما وصفتهما الشركة بأنهما يمثلان مخاطر عالية الخطورة للعملاء. إحدى الثغرات الأمنية، التي تم تتبعها باسم CVE-2024-21894، تمنح المهاجمين غير المصادقين طريقة لتشغيل تعليمات برمجية عشوائية على الأنظمة المتأثرة. والآخر، المعين باسم CVE-2024-22053، يسمح لمهاجم بعيد غير مصادق بقراءة المحتويات من ذاكرة النظام في ظل ظروف معينة. ووصف إيفانتي كلا الثغرات الأمنية بأنها تسمح للمهاجمين بإرسال طلبات ضارة لإثارة رفض شروط الخدمة.
العيبان الآخران – CVE-2024-22052 وCVE-2024-22023 – هما ثغرات متوسطة الخطورة يمكن للمهاجمين استغلالها للتسبب في ظروف رفض الخدمة على الأنظمة المتأثرة. وقالت إيفانتي إنه اعتبارًا من 2 أبريل، لم تكن على علم بأي نشاط استغلالي يستهدف الثغرات الأمنية.
أثار التدفق المستمر للكشف عن الأخطاء تساؤلات حول المخاطر التي تشكلها منتجات Ivanti على أكثر من 40,000 ألف عميل حول العالم، حيث أعرب البعض عن إحباطهم بشأن المنتديات مثل رديت. قبل عامين فقط، ادعت البيانات الصحفية لشركة Ivanti أن 96 شركة من شركات Fortune 100 هم من عملائها. وفي الإصدار الأخير انخفض هذا العدد بنسبة 12% تقريبًا ليصل إلى 85 شركة. في حين أن الاستنزاف قد يكون له علاقة بعوامل أخرى غير الأمن فقط، إلا أن بعض منافسي إيفانتي بدأوا يشعرون بوجود فرصة. على سبيل المثال، بدأت شركة سيسكو تقديم الحوافز - بما في ذلك نسخة تجريبية مجانية مدتها 90 يومًا - لمحاولة حث عملاء Ivanti VPN على الانتقال إلى نظام الوصول الآمن الخاص بها حتى يتمكنوا من "تخفيف المخاطر" من منتجات Ivanti.
المشاكل المتعلقة بالاستحواذ؟
يقول إريك باريزو، المحلل لدى Omdia، إن بعض التحديات التي تواجهها Ivanti على الأقل تتعلق بحقيقة أن محفظة منتجات الشركة هي مجموع العديد من عمليات الاستحواذ السابقة. "تم تطوير المنتجات الأصلية في أوقات مختلفة من قبل شركات مختلفة لأغراض مختلفة باستخدام أساليب مختلفة. وهذا يعني أن جودة البرمجيات، وخاصة فيما يتعلق بأمنها، يمكن أن تكون متفاوتة بشكل كبير.
يقول باريزو إن ما تفعله شركة Ivanti الآن بالتزامها بتحسين العمليات والإجراءات الأمنية في جميع المجالات هو خطوة في الاتجاه الصحيح. ويقول: "أود أيضًا أن أرى البائع يعوض عملائه عن الأضرار الناتجة مباشرة عن نقاط الضعف هذه، لأن ذلك سيساعد في استعادة الثقة في المشتريات المستقبلية". "ربما تكون النعمة الوحيدة التي تنقذ Ivanti هي أن العملاء معتادون جدًا على هذا النوع من الأحداث، حيث يعاني بائعو الأمن السيبراني من عدد لا يحصى من الحوادث المماثلة في السنوات الأخيرة، ومن المرجح أن يسامحها العملاء وينساها."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
