产品中又现4个漏洞，Ivanti 宣布安全大检修

Abbott 在向客户发送的公开信件中表示，由于继1月份以来连续披露漏洞，Ivanti 将在未来几个月中做出的改革安全运营模式的变化。该公司承诺的修复方案包括对 Ivanti 工程、安全和漏洞管理流程的完全改造以及关于产品开发的新的设计安全计划。

Abbott 在声明中提到，“我们严格审查所有流程的每个阶段和每款产品，确保客户能够获得最高级别的防护。我们已经开始应用从近期事件中吸取的经验教训，立即改进自身的工程和安全实践。”

其中一些特定步骤包括在软件开发生命周期中的每个阶段嵌入安全性，在产品中集成新的隔离和反利用特性，将软件漏洞的影响将至最低。Ivanti 公司还将改进内部漏洞发现和管理流程并提高对第三方漏洞猎人的激励措施。

另外，公司将向客户投入更多资源，发现漏洞信息和相关文档，并致力于与客户更多的变革和信息共享。鉴于该公司近期的安全表现，这些承诺对于阻断不断增长的客户担忧究竟起到什么作用还有待商榷。实际上，Abbot 的承诺就发生在 Ivanti 披露 Connect Secure 和 Policy Secure 网关技术中四个新漏洞及其补丁的一天之后。

而在两周前，Ivanti 适用于ITSM 产品的 Standalone Sentry 和 Neuron 中就被指存在两个漏洞。从1月份开始，Ivanti 公司截止目前已披露11个漏洞（含这4个新漏洞）。其中很多漏洞是位于远程访问产品中的严重漏洞，至少两个是 0day 漏洞，而这些漏洞遭到APT组织在内的攻击者利用。其中一些漏洞的影响范围之广导致CISA在1月份要求联邦机构下线 Ivanti 系统，且在漏洞修复前不能重新连接这些设备。

安全研究员兼IANS 安全成员 Jake Williams 表示，这些漏洞披露引发客户提起更严重的问题。他表示，“从我所参与的交谈来看，尤其是和财富500强客户的交谈，我认为做得太少也太晚了。公开发布这些承诺的时机应该是在一个多月前。”他表示，Ivanti VPN 设备中的这些问题导致首席信息安全官质疑 Ivanti 公司很多其它产品的安全性。

Ivanti 公司在本周披露的四个新漏洞包括位于 Connect Secure 和 Policy Secure 的IPSec 组件中的两个堆溢出漏洞，它们都被认为是高危漏洞。其中一个漏洞CVE-2024-21894可导致未认证攻击者在受影响系统上执行任意代码。另外一个漏洞CVE-2024-22053可导致未认证远程攻击者在某些条件下从系统内存中读取内容。Ivanti指出这两个漏洞都可导致攻击者发送恶意构造的请求，触发拒绝服务条件。

另外两个漏洞CVE-2024-22052和CVE-2024-22023均为中危漏洞，可被攻击者用于引发拒绝服务条件。Ivanti 公司表示，截止到4月2日，还未发现漏洞遭利用的迹象。

如此稳定的漏洞披露已经引发全球4万多家客户对于 Ivanti 公司产品风险的关注，其中一些客户在论坛上表达了这种受挫心情。就在两年前，Ivanti 公司发布新闻稿称在财富100强公司中，其中96家公司是其客户。在最新发布的文章中，这一数字掉到了85家。虽然这种变化可能和安全以外的因素行管，但一些竞争对手已经嗅到了商机。例如，思科已经开始提供为期90天的免费试用服务，试图将Ivanti VPN 客户迁移至思科 Secure Access 平台，从而“缓解”来自Ivanti 产品的“风险”。

Omdia 公司的分析师 Eric Parizo 表示，Ivanti 公司面临的至少一些挑战和该公司过去收购的很多产品组合有关。他提到，“原始产品由不同企业在不断时期出于不同目的使用不同方法开发而成。这意味着软件质量，尤其是与软件安全相关的质量可能波动较大。”

Parizo 表示，Ivanti 公司目前正在努力改进安全流程和程序，这是向正确方向迈出的一步。他标识号，“我希望看到该厂商能够为客户赔偿因这些漏洞造成的直接损失，因为这样做会恢复未来采购的信心。对 Ivanti 有利的方面可能在于客户习惯了这种事件，因为近年来网络安全厂商遭遇了无数次类似事件，客户更可能会谅解和忘记。”