O CEO da Ivanti, Jeff Abbott, disse esta semana que sua empresa renovará completamente suas práticas de segurança, mesmo com o fornecedor divulgando outro novo conjunto de bugs em seus produtos de acesso remoto Ivanti Connect Secure e Policy Secure, cheios de vulnerabilidades.
Numa carta aberta aos clientes, a Abbott comprometeu-se com uma série de mudanças que a empresa fará nos próximos meses para transformar o seu modelo operacional de segurança, após uma enxurrada implacável de divulgações de bugs desde janeiro. As correções prometidas incluem uma reformulação completa dos processos de engenharia, segurança e gerenciamento de vulnerabilidades da Ivanti e a implementação de uma nova iniciativa segura desde o design para o desenvolvimento de produtos.
Uma revisão completa
“Nós nos desafiamos a analisar criticamente cada fase de nossos processos e cada produto, para garantir o mais alto nível de proteção para nossos clientes”, disse Abbott, em sua declaração. “Já começamos a aplicar o que aprendemos com incidentes recentes para fazer melhorias imediatas em nossas próprias práticas de engenharia e segurança.”
Algumas das etapas específicas incluem a incorporação da segurança em todas as fases do ciclo de vida de desenvolvimento de software e a integração de novos recursos de isolamento e anti-exploração em seus produtos para minimizar o impacto potencial das vulnerabilidades de software. A empresa também melhorará seu processo interno de descoberta e gerenciamento de vulnerabilidades e aumentará os incentivos para caçadores de bugs terceirizados, disse Abbott.
Além disso, a Ivanti disponibilizará mais recursos aos clientes para encontrar informações sobre vulnerabilidades e documentação associada e está comprometida com uma maior transformação e compartilhamento de informações com os clientes, acrescentou.
Até que ponto estes compromissos ajudarão a conter crescente desencanto do cliente com a Ivanti ainda não está claro, dado o recente histórico de segurança da empresa. Na verdade, os comentários de Abbot vieram um dia depois que Ivanti divulgou quatro novos bugs em seu Connect Secure e Policy Secure tecnologias de gateway e patches emitidos para cada uma delas.
A divulgação seguiu um incidente semelhante há menos de duas semanas que envolveu dois bugs no Standalone Sentry e no Neuron da Ivanti para produtos ITSM. Até agora, a Ivanti revelou um total de 11 vulnerabilidades – incluindo as quatro desta semana – em suas tecnologias desde 1º de janeiro. Muitas delas foram falhas críticas – pelo menos duas eram de dia zero – nos produtos de acesso remoto da empresa, que os invasores , incluindo atores avançados de ameaças persistentes, como “Duende Magnético," ter explorado em massa. A preocupação com o potencial de grandes violações de alguns desses bugs levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) em janeiro a ordenar que todas as agências federais civis colocar seus sistemas Ivanti off-line e não reconecte os dispositivos até que esteja totalmente corrigido.
O pesquisador de segurança e membro do corpo docente da IANS Research, Jake Williams, diz que as divulgações de vulnerabilidades geraram sérias questões por parte dos clientes da Ivanti. “Com base nas conversas que estou tendo, especialmente com clientes da Fortune 500, honestamente acho que é um pouco tarde demais”, diz ele. “O momento de assumir publicamente esse compromisso foi há mais de um mês.” Não há dúvida de que os problemas com o dispositivo Ivanti VPN (anteriormente Pulse) estão fazendo os CISOs questionarem a segurança de muitos outros produtos da Ivanti, diz ele.
Um novo conjunto de 4 bugs
Os quatro novos bugs divulgados pela Ivanti esta semana incluíam duas vulnerabilidades de heap overflow no componente IPSec do Connect Secure e Policy Secure, ambas caracterizadas pela empresa como risco de alta gravidade para os clientes. Uma das vulnerabilidades, rastreada como CVE-2024-21894, oferece a invasores não autenticados uma maneira de executar código arbitrário nos sistemas afetados. O outro, designado CVE-2024-22053, permite que um invasor remoto não autenticado leia o conteúdo da memória do sistema sob certas condições. Ivanti descreveu ambas as vulnerabilidades como permitindo que invasores enviem solicitações elaboradas com códigos maliciosos para acionar condições de negação de serviço.
As outras duas falhas – CVE-2024-22052 e CVE-2024-22023 – são duas vulnerabilidades de gravidade média que os invasores podem explorar para causar condições de negação de serviço nos sistemas afetados. A Ivanti disse que, até 2 de abril, não tinha conhecimento de nenhuma atividade de exploração direcionada às vulnerabilidades.
O fluxo constante de divulgações de bugs levantou questões sobre o risco que os produtos da Ivanti representam para mais de 40,000 clientes em todo o mundo, com alguns expressando sua frustração em fóruns como Reddit. Há apenas dois anos, os comunicados de imprensa da Ivanti afirmavam que 96 das 100 empresas da Fortune eram seus clientes. Na última versão, esse número caiu quase 12%, para 85 empresas. Embora o desgaste possa ter a ver com outros fatores além da segurança, alguns rivais da Ivanti começaram a sentir uma oportunidade. A Cisco, por exemplo, começou oferecendo incentivos — incluindo uma avaliação gratuita de 90 dias — para tentar fazer com que os clientes da Ivanti VPN migrem para sua plataforma de acesso seguro para que possam “mitigar o risco” dos produtos da Ivanti.
Problemas relacionados à aquisição?
Eric Parizo, analista da Omdia, diz que pelo menos alguns dos desafios da Ivanti têm a ver com o facto de o portfólio de produtos da empresa ser a soma de inúmeras aquisições anteriores. “Os produtos originais foram desenvolvidos em momentos diferentes por empresas diferentes para finalidades diferentes e usando métodos variados. Isso significa que a qualidade do software, especialmente no que diz respeito à segurança do software, pode ser dramaticamente desigual”, afirma.
Parizo diz que o que a Ivanti está fazendo agora com seu compromisso de melhorar os processos e procedimentos de segurança em todos os níveis é um passo na direção certa. “Gostaria também de ver o fornecedor indenizar seus clientes pelos danos diretamente resultantes dessas vulnerabilidades, pois isso ajudará a restaurar a confiança em compras futuras”, afirma. “Talvez a única graça salvadora para a Ivanti seja que os clientes estão tão acostumados com esse tipo de evento, com os fornecedores de segurança cibernética sofrendo inúmeros incidentes semelhantes nos últimos anos, que é mais provável que os clientes perdoem e esqueçam.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
