Ivanti CEO’su Jeff Abbott bu hafta, satıcının güvenlik açıklarıyla dolu Ivanti Connect Secure ve Policy Secure uzaktan erişim ürünlerinde yeni bir dizi hata daha ortaya çıkarmasına rağmen şirketinin güvenlik uygulamalarını tamamen yenileyeceğini söyledi.
Abbott, müşterilere yazdığı açık mektupta, Ocak ayından bu yana aralıksız süren hata açıklamalarının ardından şirketin güvenlik işletim modelini dönüştürmek için önümüzdeki aylarda yapacağı bir dizi değişikliği taahhüt etti. Vaat edilen düzeltmeler arasında Ivanti’nin mühendislik, güvenlik ve güvenlik açığı yönetimi süreçlerinin tamamen yenilenmesi ve ürün geliştirme için yeni bir tasarım gereği güvenlik girişiminin uygulanması yer alıyor.
Kapsamlı Bir Revizyon
Abbott, “Müşterilerimiz için en yüksek düzeyde koruma sağlamak amacıyla süreçlerimizin her aşamasına ve her ürüne eleştirel bir gözle bakma konusunda kendimizi zorladık” dedi. onun açıklamasında. “Kendi mühendislik ve güvenlik uygulamalarımızda anında iyileştirmeler yapmak için son olaylardan öğrendiklerimizi uygulamaya başladık.”
Belirli adımlardan bazıları, güvenliği yazılım geliştirme yaşam döngüsünün her aşamasına dahil etmeyi ve yazılım güvenlik açıklarının potansiyel etkisini en aza indirmek için ürünlerine yeni izolasyon ve istismar önleme özelliklerini entegre etmeyi içerir. Abbott, şirketin ayrıca dahili güvenlik açığı tespit ve yönetim sürecini iyileştireceğini ve üçüncü taraf hata avcılarına yönelik teşvikleri artıracağını söyledi.
Ayrıca Ivanti’nin, güvenlik açığı bilgilerini ve ilgili belgeleri bulmak için müşterilere daha fazla kaynak sunacağını ve müşterilerle daha fazla dönüşüm ve bilgi paylaşımına kararlı olduğunu da sözlerine ekledi.
Bu taahhütler ne kadar yardımcı olacak? artan müşteri hayal kırıklığı Şirketin son zamanlardaki güvenlik geçmişi göz önüne alındığında Ivanti ile olan ilişkisi belirsizliğini koruyor. Aslında Abbot’un yorumları Ivanti’nin bu açıklamayı yapmasından bir gün sonra geldi. Connect Secure ve Policy Secure’da dört yeni hata ağ geçidi teknolojileri ve bunların her biri için yayınlanan yamalar.
Açıklamayı takip etti iki haftadan kısa bir süre önce benzer olay Ivanti’nin Bağımsız Sentry’sinde ve ITSM ürünleri için Neuron’da iki hata vardı. Ivanti, 1 Ocak’tan bu yana teknolojilerinde şu ana kadar toplam 11 güvenlik açığı (bu haftaki dördü de dahil olmak üzere) açıkladı. Bunların çoğu, saldırganların tespit ettiği, şirketin uzaktan erişim ürünlerindeki kritik kusurlardı (en az ikisi sıfır gündü). ” gibi gelişmiş kalıcı tehdit aktörleri de dahilMıknatıs Goblin,” sahip olmak kitlesel biçimde sömürülüyor. Bu hataların bazılarından kaynaklanan büyük ihlal potansiyeline ilişkin endişeler, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Ocak ayında tüm sivil federal kurumlara talimat vermesine yol açtı. Ivanti sistemlerini çevrimdışına al ve tamamen düzelene kadar cihazları yeniden bağlamayın.
Güvenlik araştırmacısı ve IANS Araştırma öğretim üyesi Jake Williams, güvenlik açığı açıklamalarının Ivanti’nin müşterilerinde ciddi sorulara yol açtığını söylüyor. “Özellikle Fortune 500 müşterileriyle yaptığım görüşmelere dayanarak açıkçası bunun biraz fazla geç olduğunu düşünüyorum” diyor. “Bu taahhüdün kamuoyuna açıklanmasının zamanı bir aydan fazla bir süre önceydi.” Kendisi, Ivanti VPN cihazıyla (eski adıyla Pulse) ilgili sorunların CISO’ların Ivanti’nin diğer birçok ürününün güvenliğini sorgulamasına yol açtığına şüphe olmadığını söylüyor.
4 Hatadan Oluşan Yeni Bir Set
Ivanti’nin bu hafta açıkladığı dört yeni hata, Connect Secure ve Policy Secure’un IPSec bileşenindeki iki yığın taşması güvenlik açığını içeriyordu; bunların her ikisi de şirket, müşteriler için yüksek düzeyde risk olarak tanımlandı. CVE-2024-21894 olarak takip edilen güvenlik açıklarından biri, kimliği doğrulanmamış saldırganlara, etkilenen sistemlerde rastgele kod çalıştırmanın bir yolunu sunuyor. CVE-2024-22053 olarak atanan diğeri, kimliği doğrulanmamış uzaktaki bir saldırganın belirli koşullar altında sistem belleğindeki içerikleri okumasına olanak tanır. Ivanti, her iki güvenlik açığının da saldırganların hizmet reddi koşullarını tetiklemek için kötü niyetli olarak hazırlanmış istekler göndermesine olanak tanıdığını belirtti.
Diğer iki kusur (CVE-2024-22052 ve CVE-2024-22023), saldırganların etkilenen sistemlerde hizmet reddi koşullarına neden olmak için kullanabileceği orta önemdeki iki güvenlik açığıdır. Ivanti, 2 Nisan itibarıyla güvenlik açıklarını hedef alan herhangi bir istismar faaliyetinin farkında olmadığını söyledi.
Hata açıklamalarının sürekli akışı, Ivanti ürünlerinin dünya çapında 40.000’den fazla müşteri için oluşturduğu riskle ilgili soruları gündeme getirdi ve bazıları bu konuda hayal kırıklığını dile getirdi. Reddit gibi forumlar. Sadece iki yıl önce Ivanti’nin basın bültenlerinde Fortune 100 şirketlerinden 96’sının müşterisi olduğu iddia edilmişti. Son sürümde bu sayı yaklaşık %12 azalarak 85 şirkete geriledi. Yıpranma güvenlik dışındaki faktörlerle ilgili olsa da Ivanti’nin bazı rakipleri bir fırsat sezmeye başladı. Örneğin Cisco başladı teşvikler sunmak – 90 günlük ücretsiz deneme dahil – Ivanti VPN müşterilerinin, Ivanti ürünlerinden kaynaklanan “riski azaltabilmeleri” için Güvenli Erişim platformuna geçmelerini sağlamak.
Edinmeyle İlgili Sorunlar mı?
Omdia analisti Eric Parizo, Ivanti’nin karşılaştığı zorlukların en azından bir kısmının, şirketin ürün portföyünün geçmişteki çok sayıda satın almanın toplamı olmasından kaynaklandığını söylüyor. “Orijinal ürünler farklı zamanlarda farklı şirketler tarafından farklı amaçlarla, farklı yöntemler kullanılarak geliştirildi. Bu, özellikle yazılım güvenliği açısından yazılım kalitesinin önemli ölçüde dengesiz olabileceği anlamına geliyor” diyor.
Parizo, Ivanti’nin şu anda güvenlik süreçlerini ve prosedürlerini iyileştirmeye yönelik kararlılığıyla yaptığı şeyin doğru yönde atılmış bir adım olduğunu söylüyor. “Ayrıca satıcının bu güvenlik açıklarından doğrudan kaynaklanan zararları müşterilerini tazmin etmesini de görmek isterim, çünkü bu, gelecekteki satın alımlarda güvenin yeniden sağlanmasına yardımcı olacaktır” diyor. “Belki de Ivanti’yi kurtaran tek şey, siber güvenlik satıcılarının son yıllarda sayısız benzer olayla karşılaşmasıyla müşterilerin bu tür olaylara o kadar alışmış olmaları ki, müşterilerin affedip unutma olasılıkları daha yüksek.”