Ivanti, la société d’accès à distance dont les produits d’accès à distance ont été mis à mal par de graves failles ces derniers mois, a promis une « nouvelle ère », une ère qui « transforme fondamentalement le modèle opérationnel de sécurité d’Ivanti », soutenue par « un investissement important » et une soutien du conseil d’administration.
La lettre ouverte du PDG Jeff Abbott promet de réorganiser « l’ingénierie de base, la sécurité et la gestion des vulnérabilités », de rendre tous les produits « sécurisés dès la conception », de formaliser les partenariats avec les agences de cyberdéfense et de « partager des informations et des apprentissages avec nos clients ». Parmi les détails figurent la promesse de l’entreprise d’améliorer les capacités de recherche dans le portail de ressources et de documentation de sécurité d’Ivanti, « alimenté par l’IA », ainsi qu’un « système de réponse vocale interactive » pour acheminer les appels et alerter les clients sur les problèmes de sécurité, également « alimenté par l’IA ».
Ivanti et Abbott semblent avoir travaillé sur cette présentation depuis un certain temps. Il est donc peu probable qu’ils auraient pu savoir qu’elle arriverait quelques jours seulement après la divulgation de quatre nouvelles vulnérabilités pour ses produits de passerelle Connect Secure et Policy Secure, deux d’entre elles étant classées comme étant de haute gravité. . Ces vulnérabilités sont survenues deux semaines après deux autres vulnérabilités, classées critiques, avec exécution de code à distance. Et cela faisait suite à « une période d’exploitation non-stop de trois semaines » début février, au cours de laquelle les directeurs de la sécurité se sont démenés pour corriger et restaurer les services ou, comme l’ont fait les agences civiles fédérales, reconstruire leurs serveurs à partir de zéro.
Étant donné qu’Ivanti fabrique des produits VPN largement utilisés dans les grandes organisations, y compris les agences gouvernementales, il s’agit d’une cible privilégiée pour les acteurs malveillants et une cible qui semble particulièrement faible ces dernières années. Connect Secure d’Ivanti, une appliance VPN souvent abrégée en ICS, fonctionne comme un contrôleur d’accès qui permet aux appareils autorisés de se connecter.
En raison de son large déploiement et de son statut permanent, un ICS constitue une cible privilégiée, en particulier pour les acteurs au niveau des États-nations et les intrus motivés par des raisons financières. ICS (anciennement connu sous le nom de Pulse Connect) présentait des vulnérabilités zero-day déjà exploitées en 2019 et 2021. Un exploit de vulnérabilité PulseSecure a conduit la société de change Travelex à travailler entièrement sur papier début 2020 après que la société de ransomware REvil ait profité de l’échec de l’entreprise à corrigez une vulnérabilité vieille de plusieurs mois.
Même si certains professionnels de la sécurité ont parfois reconnu le mérite de l’entreprise pour avoir travaillé dur pour trouver et divulguer de nouvelles vulnérabilités, le volume et la cadence des vulnérabilités nécessitant des contre-mesures sérieuses ont sûrement retenu l’attention de certains. « Je ne vois pas comment Ivanti survivra en tant que marque de pare-feu d’entreprise », a déclaré le chercheur en sécurité Jake Williams sur le blog Dark Reading à la mi-février.
D’où la lettre ouverte, la « nouvelle ère », le « changement global » et tous les autres engagements pris par Ivanti. « Nous avons déjà commencé à appliquer les enseignements tirés des incidents récents pour immédiat (c’est nous qui soulignons par Abbott) qui ont apporté des améliorations à nos propres pratiques d’ingénierie et de sécurité. Et il y a encore plus à venir », indique la lettre. Des enseignements, bien sûr.