Ivanti cam kết cải tổ an ninh một ngày sau khi có thêm 4 lỗ hổng được tiết lộ

Ivanti cam kết cải tổ an ninh một ngày sau khi có thêm 4 lỗ hổng được tiết lộ

Dấu thời gian: 4:2024 chiều ngày 5 tháng 43 năm XNUMX
Nút nguồn: 2535720

Giám đốc điều hành Ivanti, Jeff Abbott trong tuần này cho biết công ty của ông sẽ cải tiến hoàn toàn các biện pháp bảo mật của mình ngay cả khi nhà cung cấp tiết lộ một loạt lỗi mới khác trong các sản phẩm truy cập từ xa Ivanti Connect Secure và Policy Secure có nhiều lỗ hổng.

Trong một bức thư ngỏ gửi khách hàng, Abbott cam kết thực hiện một loạt thay đổi mà công ty sẽ thực hiện trong những tháng tới để chuyển đổi mô hình vận hành bảo mật sau hàng loạt phát hiện lỗi liên tục kể từ tháng 1. Các bản sửa lỗi đã hứa bao gồm việc cải tiến hoàn toàn các quy trình quản lý lỗ hổng, bảo mật và kỹ thuật của Ivanti cũng như triển khai sáng kiến ​​bảo mật mới theo thiết kế để phát triển sản phẩm.

Đại tu kỹ lưỡng

Abbott cho biết: “Chúng tôi đã thử thách bản thân để xem xét kỹ lưỡng mọi giai đoạn trong quy trình và mọi sản phẩm của mình nhằm đảm bảo mức độ bảo vệ cao nhất cho khách hàng của mình”. trong tuyên bố của mình. “Chúng tôi đã bắt đầu áp dụng bài học từ những sự cố gần đây để cải thiện ngay lập tức các biện pháp kỹ thuật và bảo mật của chính mình.”

Một số bước cụ thể bao gồm đưa bảo mật vào mọi giai đoạn của vòng đời phát triển phần mềm và tích hợp các tính năng cách ly và chống khai thác mới trong các sản phẩm của mình để giảm thiểu tác động tiềm ẩn của các lỗ hổng phần mềm. Abbott cho biết công ty cũng sẽ cải thiện quy trình quản lý và phát hiện lỗ hổng nội bộ, đồng thời tăng cường khuyến khích cho những người săn lỗi bên thứ ba.

Ngoài ra, Ivanti sẽ cung cấp nhiều tài nguyên hơn cho khách hàng để tìm kiếm thông tin về lỗ hổng bảo mật và tài liệu liên quan, đồng thời cam kết chuyển đổi và chia sẻ thông tin nhiều hơn với khách hàng, ông nói thêm.

Những cam kết này sẽ giúp ngăn chặn bao nhiêu sự thất vọng của khách hàng ngày càng tăng với Ivanti vẫn chưa rõ ràng dựa trên hồ sơ theo dõi bảo mật gần đây của công ty. Trên thực tế, bình luận của Abbot được đưa ra một ngày sau khi Ivanti tiết lộ bốn lỗi mới trong Connect Secure và Policy Secure công nghệ cổng và phát hành các bản vá cho từng công nghệ đó.

Việc tiết lộ theo sau một sự cố tương tự cách đây chưa đầy hai tuần liên quan đến hai lỗi trong Standalone Sentry của Ivanti và Neuron's dành cho các sản phẩm ITSM. Ivanti cho đến nay đã tiết lộ tổng cộng 11 lỗ hổng – bao gồm cả 1 lỗ hổng trong tuần này – trong các công nghệ của mình kể từ ngày XNUMX tháng XNUMX. Nhiều trong số đó là các lỗ hổng nghiêm trọng – ít nhất XNUMX lỗ hổng là zero-day – trong các sản phẩm truy cập từ xa của công ty, những kẻ tấn công , bao gồm các tác nhân đe dọa dai dẳng nâng cao như “Yêu tinh nam châm,”Có bị bóc lột một cách đại chúng. Lo ngại về khả năng xảy ra những vi phạm lớn từ một số lỗi này đã khiến Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào tháng 1 ra lệnh cho tất cả các cơ quan dân sự liên bang đưa hệ thống Ivanti của họ ngoại tuyến và không kết nối lại các thiết bị cho đến khi được khắc phục hoàn toàn.

Nhà nghiên cứu bảo mật và giảng viên IANS Research, Jake Williams, cho biết việc tiết lộ lỗ hổng bảo mật đã đặt ra những câu hỏi nghiêm túc từ khách hàng của Ivanti. “Dựa trên những cuộc trò chuyện mà tôi đang có, đặc biệt là với các khách hàng Fortune 500, tôi thực lòng nghĩ rằng điều đó là quá ít và quá muộn,” anh nói. “Thời điểm công khai đưa ra cam kết này đã cách đây hơn một tháng”. Ông nói: Không còn nghi ngờ gì nữa, các vấn đề với thiết bị Ivanti VPN (trước đây là Pulse) đang khiến các CISO đặt câu hỏi về tính bảo mật của nhiều sản phẩm khác của Ivanti.

Một bộ 4 lỗi mới

Bốn lỗi mới mà Ivanti tiết lộ trong tuần này bao gồm hai lỗ hổng tràn vùng heap trong thành phần IPSec của Connect Secure và Policy Secure, cả hai lỗi này đều được công ty mô tả là có rủi ro ở mức độ nghiêm trọng cao đối với khách hàng. Một trong những lỗ hổng, được theo dõi là CVE-2024-21894, cung cấp cho những kẻ tấn công không được xác thực một cách để chạy mã tùy ý trên các hệ thống bị ảnh hưởng. Cái còn lại, được gán là CVE-2024-22053, cho phép kẻ tấn công từ xa không được xác thực đọc nội dung từ bộ nhớ hệ thống trong một số điều kiện nhất định. Ivanti mô tả cả hai lỗ hổng đều cho phép kẻ tấn công gửi các yêu cầu độc hại nhằm kích hoạt các điều kiện từ chối dịch vụ.

Hai lỗ hổng còn lại – CVE-2024-22052 và CVE-2024-22023 – là hai lỗ hổng có mức độ nghiêm trọng trung bình mà kẻ tấn công có thể khai thác để gây ra tình trạng từ chối dịch vụ trên các hệ thống bị ảnh hưởng. Ivanti cho biết kể từ ngày 2 tháng XNUMX, họ không biết về bất kỳ hoạt động khai thác nào nhằm vào các lỗ hổng.

Việc tiết lộ lỗi liên tục đã đặt ra câu hỏi về rủi ro mà các sản phẩm của Ivanti gây ra cho hơn 40,000 khách hàng trên toàn thế giới, trong đó một số người bày tỏ sự thất vọng đối với các diễn đàn như Reddit. Chỉ hai năm trước, thông cáo báo chí của Ivanti đã tuyên bố 96 công ty trong số Fortune 100 là khách hàng của mình. Trong bản phát hành mới nhất, con số đó đã giảm gần 12% xuống còn 85 công ty. Trong khi sự suy giảm có thể liên quan đến các yếu tố khác ngoài an ninh, một số đối thủ của Ivanti đã bắt đầu cảm nhận được cơ hội. Ví dụ, Cisco đã bắt đầu cung cấp ưu đãi — bao gồm bản dùng thử miễn phí 90 ngày — để thử và thuyết phục khách hàng của Ivanti VPN di chuyển sang nền tảng Truy cập an toàn của họ để họ có thể “giảm thiểu rủi ro” từ các sản phẩm của Ivanti.

Eric Parizo, một nhà phân tích của Omdia, cho biết ít nhất một số thách thức của Ivanti có liên quan đến thực tế là danh mục sản phẩm của công ty là tổng hợp của nhiều thương vụ mua lại trong quá khứ. “Các sản phẩm ban đầu được phát triển vào những thời điểm khác nhau bởi các công ty khác nhau cho các mục đích khác nhau bằng các phương pháp khác nhau. Điều này có nghĩa là chất lượng phần mềm, đặc biệt là vấn đề bảo mật phần mềm, có thể không đồng đều một cách đáng kể,” ông nói.

 Parizo cho biết những gì Ivanti đang làm hiện nay với cam kết cải thiện các quy trình và thủ tục bảo mật trên diện rộng là một bước đi đúng hướng. Ông nói: “Tôi cũng muốn thấy nhà cung cấp bồi thường cho khách hàng của mình những thiệt hại trực tiếp do những lỗ hổng này gây ra, vì điều đó sẽ giúp khôi phục niềm tin cho những lần mua hàng trong tương lai”. “Có lẽ một điều may mắn cho Ivanti là khách hàng đã quá quen với những sự kiện kiểu này, với việc các nhà cung cấp dịch vụ an ninh mạng gặp phải vô số sự cố tương tự trong những năm gần đây, nên khách hàng có nhiều khả năng tha thứ và quên đi hơn.”

Dấu thời gian:

Thêm từ Đọc tối