Ivanti’nin VPN cihazlarının mevcut siber güvenlik durumu hakkında net olan şey şu: Bu cihazlar siber saldırılara karşı oldukça savunmasız durumda ve tehdit aktörleri olasılıkların farkında. Bundan sonra ne olacağına karar vermek kurumsal siber ekiplerine kalmış.
Şimdiye kadar Ivanti, 2024’te çoğu sıfır gün olarak istismar edilen beş VPN kusurunu açıkladı; bunlardan ikisi yamalar kullanıma sunulmadan haftalar önce kamuya duyuruldu. Siber güvenlik araştırmacısı Jake Williams gibi bazı eleştirmenler, Ivanti’deki güvenlik açıklarının çokluğunu ve şirketin olaylara yavaş tepki vermesini iş için varoluşsal bir tehdit olarak görüyor.
Williams, Ivanti’nin mevcut sorunlarının sebebini yıllardır güvenli kodlama ve güvenlik testlerinin ihmal edilmesine bağlıyor. Williams’a göre Ivanti’nin toparlanması için hem teknik borcun üstesinden gelmesi hem de müşterilerinin güvenini bir şekilde yeniden inşa etmesi gerekecek. Williams, bunun Ivanti’nin başarabileceğinden şüpheli olduğunu da sözlerine ekledi.
Williams, sosyal medyada yaygın olarak tekrarladığı bir düşünce olan Dark Reading’e “Ivanti’nin kurumsal bir güvenlik duvarı markası olarak nasıl hayatta kaldığını anlamıyorum” dedi.
Son dönemdeki sıfır gün açıklamalarına daha cömert bir bakış açısı, bunun Ivanti’nin siber güvenliğine uzun ve sıkı bir şekilde baktığının olumlu bir işareti olduğu yönünde.
Viakoo Labs başkan yardımcısı John Gallagher, “Ivanti, güvenlik açıklarını bulmak, düzeltmek ve ortaya çıkarmak için kendi ürünlerini derinlemesine araştırıyor ve bu konuda biraz övgüyü hak ediyor” diyor.
Yorumu sorulan Ivanti, Dark Reading’i 8 Şubat’taki etkinliğine yönlendirdi. Blog yazısı en son açıklamasıyla ilgili.
Ivanti’nin Acıları Siber Ekiplere Düşüyor
Sonuçta kurumsal siber güvenlik ekipleri yama uygulamak veya CISA’nın tavsiyelerine uyarak Ivanti VPN cihazlarının fişini tamamen çekmek için. Kararı üst kademelere de açıklamak zorundalar.
Yama uygulamak makul bir yanıt ancak Ivanti’nin yama programı, 10 Ocak’ta açıklanan yukarıda bahsedilen sıfır gün güvenlik açığı çifti (CVE-2024-21887 ve CVE-2023-46805) nedeniyle ertelendi. Bunlar sonuçta oldu aktif istismar altında 30 Ocak’ta yamaları almadan önce 20 gün boyunca yama yapılmadı. Ancak daha kötü haberlerle geldiler: Ivanti güncellemesi şunları da içeriyordu: daha önce açıklanmayan iki ek hata için düzeltmeler (CVE-2024-21888 ve CVE-2024-21893), ikincisi de zaten vahşi doğada aktif olarak sömürülüyordu.
Bu, CISA’nın 1 Şubat’ta federal kurumlara Ivanti ürünlerinin sistemlerinden bağlantısını kesmeleri yönünde talimat vermesi için yeterliydi.
Beşinci Ivanti güvenlik açığı 9 Şubat’ta CVE-2024-22024 olarak takip edildi. Sonunda, Ivanti watchTowr’a itibar etti keşifle birlikte, ilk başta dahili ekiplerin hatayı bulduğunu iddia etti ve bu da böcek avcısı saflarında bazı kafa karışıklıklarına yol açtı.
Ivanti’nin güvenlik uygulamalarına olan güveni daha da zayıflatan şey, ilk 10 Ocak’taki hataların başlangıçta 22 Ocak’ta yamalanacak olmasıydı; ancak Ivanti, yayınlanma tarihini 30 Ocak’a erteledi.
Bambanek Consulting’in başkanı John Bambenek, “Bu cihazların yazılımlarının, bu tehdidin gerektirdiği ciddiyetle tasarlanmış yazılımlara ihtiyacı var” diyor. “Sıfır günlük yama programlarını yayınladığınızda, özellikle böyle bir durumda bu hedeflere ulaşmanız gerekir.”
Bu arada Ivanti’nin ısrarcı kusurları çok sayıda siber suçlunun ilgisini çekti. Çin devleti destekli tehdit aktörleri. Siber araştırmacı “Shadowserver” Pitor Kijewski de Dark Reading’e bugüne kadar en az 47 IP’nin en çok IP’den yararlanmaya çalıştığını doğruladı. yakın zamanda açıklanan Ivanti VPN hatası.
Burada da bazı karışıklıklar var: Ivanti, Shadowserver raporuna yanıt olarak Dark Reading’e şu açıklamayı yaptı: “CVE-2024-22024’ün vahşi doğada istismar edildiğine dair hiçbir göstergemiz yok.”
Viakoo’dan Gallagher, Ivanti’ye şimdiye kadarki olaylara müdahale konusunda kötü notlar verdi.
“Ivanti’nin iyileşmesinin hem bu saldırıların teknik yönlerini hem de bunun onlara yol açtığı güven/itibar hasarını ele alması gerekecek” diyor. “Her iki cephede de fena halde tökezlediler.”
Ivanti Kusurları Düzeltmeye Söz Verdi, Müşteriler Dikkatli
En son Connect Secure ve Policy Secure Gateway hataları hakkında 8 Şubat’ta yayınlanan bir danışma belgesinde Ivanti, müşterilere şu anda kodunun tam denetimini yaptığına dair güvence verdi.
Şirket, “Ekibimiz tüm kodları agresif bir şekilde incelemek için 24 saat çalışıyor ve Ivanti Connect Secure (eski adıyla Pulse Connect Secure), Ivanti Policy Secure ve ZTA ağ geçitlerini etkileyen sorunlara tam çözüm getirmeye odaklanıyor” dedi.
Keeper Security güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet’e göre Ivanti’nin siber güvenlik sorunları arttıkça siber ekipler için alınacak ders, uç cihazlara reaktif yama uygulamasının tek başına yeterli olmadığıdır.
Tiquet, “Satıcıların çözümlerindeki sorunları tanımlamaya ve çözmeye öncelik vermesi zorunludur” diyor. “Ancak kuruluşlar, proaktif olarak güvenlik açıklarını başkalarından önce bulmak için kendi ürün ve hizmetlerine düzenli olarak sızma testi uygulamalıdır.”
Ivanti’nin halihazırda ayrılmış olan müşterilerini geri kazanıp kazanamayacağını ve ortalıkta kalanlara güvence verip veremeyeceğini ancak zaman gösterecek, ancak bu arada Bambanek, kurumsal güvenlik ekiplerine ihtiyatlı kalmalarını tavsiye ediyor.
“Eğer bir CISO olsaydım, kendilerini yeniden kanıtlayana kadar Ivanti’yi birkaç yıllığına görmezden gelirdim” diye ekliyor.