Ivanti Menjanjikan Perbaikan Keamanan Sehari Setelah 4 Vuln Lagi Terungkap

CEO Ivanti Jeff Abbott minggu ini mengatakan perusahaannya akan sepenuhnya mengubah praktik keamanannya bahkan ketika vendor tersebut mengungkapkan serangkaian bug baru dalam produk akses jarak jauh Ivanti Connect Secure dan Policy Secure yang penuh kerentanan.

Dalam surat terbuka kepada pelanggan, Abbott berkomitmen terhadap serangkaian perubahan yang akan dilakukan perusahaan dalam beberapa bulan mendatang untuk mengubah model operasi keamanannya menyusul rentetan pengungkapan bug yang tiada henti sejak Januari. Perbaikan yang dijanjikan mencakup penyelesaian menyeluruh terhadap proses rekayasa, keamanan, dan manajemen kerentanan Ivanti serta implementasi inisiatif desain aman baru untuk pengembangan produk.

Perombakan Menyeluruh

“Kami telah menantang diri kami sendiri untuk melihat secara kritis setiap fase proses kami, dan setiap produk, untuk memastikan tingkat perlindungan tertinggi bagi pelanggan kami,” kata Abbott, dalam pernyataannya. “Kami sudah mulai menerapkan pembelajaran dari insiden baru-baru ini untuk segera melakukan perbaikan pada praktik teknik dan keamanan kami.”

Beberapa langkah spesifiknya termasuk menanamkan keamanan ke dalam setiap tahap siklus hidup pengembangan perangkat lunak dan mengintegrasikan fitur isolasi dan anti-eksploitasi baru dalam produknya untuk meminimalkan potensi dampak kerentanan perangkat lunak. Perusahaan juga akan meningkatkan proses penemuan dan pengelolaan kerentanan internal serta meningkatkan insentif bagi pemburu bug pihak ketiga, kata Abbott.

Selain itu, Ivanti akan menyediakan lebih banyak sumber daya bagi pelanggan untuk menemukan informasi kerentanan dan dokumentasi terkait serta berkomitmen untuk melakukan transformasi dan berbagi informasi yang lebih besar dengan pelanggan, tambahnya.

Seberapa besar komitmen ini akan membantu membendung meningkatnya kekecewaan pelanggan dengan Ivanti masih belum jelas mengingat rekam jejak keamanan perusahaan saat ini. Padahal, komentar Kepala Biara itu muncul satu hari setelah Ivanti mengungkapkannya empat bug baru di Connect Secure dan Policy Secure teknologi gateway dan mengeluarkan patch untuk masing-masing teknologi tersebut.

Pengungkapan tersebut menyusul a kejadian serupa kurang dari dua minggu lalu yang melibatkan dua bug di Standalone Sentry milik Ivanti dan Neuron untuk produk ITSM. Ivanti sejauh ini telah mengungkapkan total 11 kerentanan – termasuk empat kerentanan minggu ini – dalam teknologinya sejak 1 Januari. Banyak di antaranya merupakan kelemahan kritis – setidaknya dua adalah zero-day – pada produk akses jarak jauh perusahaan, yang diserang oleh penyerang. , termasuk pelaku ancaman tingkat lanjut yang terus-menerus seperti “Magnet Goblin,"Memiliki dieksploitasi secara massal. Kekhawatiran atas potensi pelanggaran besar dari beberapa bug ini mendorong Badan Keamanan Siber dan Infrastruktur AS (CISA) pada bulan Januari memerintahkan semua lembaga federal sipil untuk menjadikan sistem Ivanti mereka offline dan jangan menyambungkan kembali perangkat sampai benar-benar diperbaiki.

Peneliti keamanan dan anggota fakultas IANS Research Jake Williams mengatakan pengungkapan kerentanan telah menimbulkan pertanyaan serius dari pelanggan Ivanti. “Berdasarkan percakapan yang saya lakukan, terutama dengan klien Fortune 500, sejujurnya menurut saya ini terlalu sedikit, sudah terlambat,” katanya. “Waktu untuk membuat komitmen ini secara terbuka sudah lebih dari sebulan yang lalu.” Tidak ada keraguan bahwa masalah dengan alat Ivanti VPN (sebelumnya Pulse) membuat CISO mempertanyakan keamanan banyak produk Ivanti lainnya, katanya.

Satu Set 4 Bug Baru

Empat bug baru yang diungkapkan Ivanti minggu ini mencakup dua kerentanan heap overflow dalam komponen IPSec Connect Secure dan Policy Secure, yang keduanya dikategorikan oleh perusahaan sebagai risiko tingkat keparahan yang tinggi bagi pelanggan. Salah satu kerentanan, yang dilacak sebagai CVE-2024-21894, memberikan kesempatan kepada penyerang yang tidak diautentikasi untuk menjalankan kode arbitrer pada sistem yang terpengaruh. Yang lainnya, ditetapkan sebagai CVE-2024-22053, memungkinkan penyerang jarak jauh yang tidak diautentikasi membaca konten dari memori sistem dalam kondisi tertentu. Ivanti menggambarkan kedua kerentanan tersebut memungkinkan penyerang mengirim permintaan jahat untuk memicu kondisi penolakan layanan.

Dua kelemahan lainnya – CVE-2024-22052 dan CVE-2024-22023 – merupakan dua kerentanan dengan tingkat keparahan sedang yang dapat dieksploitasi oleh penyerang untuk menyebabkan kondisi penolakan layanan pada sistem yang terpengaruh. Ivanti mengatakan hingga 2 April, pihaknya tidak mengetahui adanya aktivitas eksploitasi di alam liar yang menargetkan kerentanan tersebut.

Banyaknya pengungkapan bug telah menimbulkan pertanyaan tentang risiko yang ditimbulkan oleh produk Ivanti terhadap lebih dari 40,000 pelanggan di seluruh dunia, dan beberapa di antaranya mengungkapkan rasa frustrasi mereka terhadap forum seperti Reddit. Dua tahun lalu, siaran pers Ivanti mengklaim 96 dari perusahaan Fortune 100 sebagai pelanggannya. Dalam rilis terbaru, jumlah tersebut telah menurun hampir 12% menjadi 85 perusahaan. Meskipun penurunan tersebut mungkin ada hubungannya dengan faktor-faktor selain keamanan, beberapa pesaing Ivanti mulai merasakan adanya peluang. Cisco, misalnya, telah dimulai menawarkan insentif — termasuk uji coba gratis selama 90 hari — untuk mencoba dan membuat pelanggan Ivanti VPN bermigrasi ke platform Akses Aman sehingga mereka dapat “mengurangi risiko” dari produk Ivanti.

Masalah Terkait Akuisisi?

Eric Parizo, analis Omdia, mengatakan setidaknya beberapa tantangan Ivanti berkaitan dengan fakta bahwa portofolio produk perusahaan merupakan gabungan dari banyak akuisisi di masa lalu. “Produk asli dikembangkan pada waktu yang berbeda oleh perusahaan yang berbeda untuk tujuan yang berbeda dengan menggunakan metode yang berbeda-beda. Ini berarti kualitas perangkat lunak, khususnya yang berkaitan dengan keamanan perangkat lunak, bisa sangat tidak merata,” ujarnya.

 Parizo mengatakan apa yang dilakukan Ivanti saat ini dengan komitmennya terhadap peningkatan proses dan prosedur keamanan secara menyeluruh merupakan langkah ke arah yang benar. “Saya juga ingin melihat vendor memberikan ganti rugi kepada pelanggannya atas kerugian langsung yang diakibatkan oleh kerentanan ini, karena hal ini akan membantu memulihkan kepercayaan terhadap pembelian di masa mendatang,” ujarnya. “Mungkin satu-satunya anugerah bagi Ivanti adalah pelanggan sudah terbiasa dengan kejadian seperti ini, karena vendor keamanan siber mengalami banyak sekali insiden serupa dalam beberapa tahun terakhir, sehingga pelanggan cenderung memaafkan dan melupakannya.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns