Jeff Abbott, forstjóri Ivanti, sagði í vikunni að fyrirtæki hans muni gjörbreyta öryggisvenjum sínum, jafnvel þar sem söluaðilinn birti aðra ferska galla í Ivanti Connect Secure og Policy Secure fjaraðgangsvörum sínum, sem eru með varnarleysi.

Í opnu bréfi til viðskiptavina skuldbindur Abbott sig til að taka þátt í röð breytinga sem fyrirtækið mun gera á næstu mánuðum til að umbreyta öryggisrekstrarlíkani sínu í kjölfar stanslausrar uppljóstrunar villu síðan í janúar. Fyrirheitnar lagfæringar fela í sér fullkomna útfærslu á verkfræði-, öryggis- og varnarleysisstjórnunarferlum Ivanti og innleiðingu á nýju öruggu framtaki fyrir vöruþróun.

Ítarleg yfirferð

„Við höfum skorað á okkur sjálf að skoða hvert stig í ferlum okkar og hverja vöru með gagnrýnum hætti til að tryggja hámarksvernd fyrir viðskiptavini okkar,“ sagði Abbott. í yfirlýsingu sinni. „Við höfum þegar byrjað að beita lærdómi af nýlegum atvikum til að gera tafarlausar endurbætur á eigin verkfræði- og öryggisvenjum okkar.

Sum af sérstökum skrefum fela í sér að fella öryggi inn í öll stig hugbúnaðarþróunarlífsferils og samþætta nýja einangrun og aðgerða gegn hagnýtingu í vörum sínum til að lágmarka hugsanleg áhrif hugbúnaðarveikleika. Fyrirtækið mun einnig bæta innra varnarleysisuppgötvun og stjórnunarferli og auka hvata fyrir þriðju aðila villuveiðimenn, sagði Abbott.

Að auki mun Ivanti gera fleiri úrræði tiltæk fyrir viðskiptavini til að finna varnarleysisupplýsingar og tengd skjöl og er skuldbundinn til meiri umbreytingar og upplýsingamiðlunar með viðskiptavinum, bætti hann við.

Hversu mikið þessar skuldbindingar munu hjálpa til við að stemma stigu við vaxandi óánægju viðskiptavina með Ivanti er enn óljóst í ljósi nýlegrar öryggisafkomu fyrirtækisins. Reyndar komu ummæli Abbot einum degi eftir að Ivanti upplýsti fjórar nýjar villur í Connect Secure og Policy Secure gáttartækni og útgefna plástra fyrir hvern þeirra.

Uppljóstrunin fylgdi a svipað atvik fyrir tæpum tveimur vikum sem fól í sér tvær villur í Ivanti's Standalone Sentry og Neuron's for ITSM vörur. Ivanti hefur hingað til opinberað alls 11 veikleika - þar á meðal fjóra þessa vikuna - í tækni sinni síðan 1. janúar. Margir þeirra hafa verið mikilvægir gallar - að minnsta kosti tveir voru núlldagar - í fjaraðgangsvörum fyrirtækisins, sem árásarmenn , þar á meðal háþróaðir viðvarandi ógnarleikarar eins og „Magnet Goblin,”Hafa nýtt í fjöldatísku. Áhyggjur af hugsanlegum meiriháttar innbrotum frá sumum af þessum villum urðu til þess að bandaríska netöryggis- og innviðaöryggisstofnunin (CISA) í janúar skipaði öllum borgaralegum alríkisstofnunum að taka Ivanti kerfin þeirra ótengd og ekki tengdu tækin aftur fyrr en að fullu lagfært.

Jake Williams, öryggisrannsakandi og IANS Research deildarmeðlimur, segir að uppljóstrun um varnarleysi hafi vakið alvarlegar spurningar frá viðskiptavinum Ivanti. „Miðað við samtöl sem ég á, sérstaklega við Fortune 500 viðskiptavini, held ég satt að segja að það sé aðeins of lítið, of seint,“ segir hann. „Tíminn til að skuldbinda sig opinberlega var fyrir meira en mánuði síðan. Það er engin spurning að vandamálin með Ivanti VPN tækinu (áður Pulse) fá CISO til að efast um öryggi margra annarra vara Ivanti, segir hann.

Nýtt sett af 4 pöddum

Fjórar nýju villurnar sem Ivanti birti í vikunni innihéldu tvo veikleika í hrúga yfirflæði í IPSec hlutanum Connect Secure og Policy Secure, sem fyrirtækið lýsti báða sem mikla áhættu fyrir viðskiptavini. Einn af veikleikunum, rakinn sem CVE-2024-21894, gefur óstaðfestum árásarmönnum leið til að keyra handahófskenndan kóða á viðkomandi kerfum. Hinn, úthlutað sem CVE-2024-22053, gerir óvottaðri fjarlægum árásarmanni kleift að lesa innihaldið úr kerfisminni við ákveðnar aðstæður. Ivanti lýsti báðum veikleikunum þannig að þeir leyfðu árásarmönnum að senda illgjarnar beiðnir til að kalla fram neitun á þjónustuskilyrðum.

Hinir tveir gallarnir - CVE-2024-22052 og CVE-2024-22023 - eru tveir miðlungs alvarlegir veikleikar sem árásarmenn geta nýtt sér til að valda afneitun á þjónustu á viðkomandi kerfum. Ivanti sagði að frá og með 2. apríl hefði það ekki vitað af neinni hagnýtingarstarfsemi í náttúrunni sem beitti veikleikana.

Stöðugur straumur gallaupplýsinga hefur vakið upp spurningar um hættuna á að vörur Ivanti hafi í för með sér fyrir meira en 40,000 viðskiptavini um allan heim, þar sem sumir hafa lýst gremju sinni yfir spjallborð eins og Reddit. Fyrir aðeins tveimur árum síðan gerðu fréttatilkynningar Ivanti tilkall til 96 af Fortune 100 fyrirtækjum sem viðskiptavini sína. Í nýjustu útgáfunni hefur þeim fækkað um næstum 12% í 85 fyrirtæki. Þó að niðurbrotið gæti haft að gera með öðrum þáttum en bara öryggi, eru sumir keppinautar Ivanti farnir að skynja tækifæri. Cisco er til dæmis byrjað bjóða hvata - þar á meðal 90 daga ókeypis prufuáskrift - til að reyna að fá Ivanti VPN viðskiptavini til að flytja yfir á öruggan aðgangsvettvang sinn svo þeir geti „minnkað áhættu“ af vörum Ivanti.

Vandamál sem tengjast kaupum?

Eric Parizo, sérfræðingur hjá Omdia, segir að minnsta kosti sum af áskorunum Ivanti hafa að gera með þá staðreynd að vöruúrval fyrirtækisins er summan af fjölmörgum fyrri yfirtökum. „Upprunalegu vörurnar voru þróaðar á mismunandi tímum af mismunandi fyrirtækjum í mismunandi tilgangi með mismunandi aðferðum. Þetta þýðir að hugbúnaðargæði, sérstaklega með tilliti til hugbúnaðaröryggis, geta verið verulega ójöfn,“ segir hann.

 Parizo segir að það sem Ivanti sé að gera núna með skuldbindingu sinni til að bæta öryggisferla og verklagsreglur á öllum sviðum sé skref í rétta átt. „Ég myndi líka vilja sjá söluaðilann skaða viðskiptavini sína fyrir tjón sem stafar beint af þessum veikleikum, þar sem það mun hjálpa til við að endurheimta traust á framtíðarkaupum,“ segir hann. „Kannski er það eina sem bjargar Ivanti að viðskiptavinir eru svo vanir svona atburðum, þar sem netöryggisframleiðendur hafa orðið fyrir óteljandi svipuðum atvikum á undanförnum árum, að viðskiptavinir eru líklegri til að fyrirgefa og gleyma.

• SEO knúið efni og PR dreifing. Fáðu magnara í dag.
• PlatoData.Network Vertical Generative Ai. Styrktu sjálfan þig. Aðgangur hér.
• PlatoAiStream. Web3 upplýsingaöflun. Þekking aukin. Aðgangur hér.
• PlatóESG. Kolefni, CleanTech, Orka, Umhverfi, Sól, Úrgangsstjórnun. Aðgangur hér.
• PlatoHealth. Líftækni og klínísk rannsóknagreind. Aðgangur hér.
• Heimild: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns