Bir dizi yeni güvenlik açığı, Ivanti’nin CEO’sunun büyük bir suçluluk duygusu yaşamasına ve tasarım gereği güvenli metodolojileri benimseme sözü vermesine neden oldu.
CEO Jeff Abbott, açık bir mektupta, “tehdit ortamının artan karmaşıklığı ve tehdit aktörü taktiklerinin özel evrimi, ürünlerimizden birini yakın zamanda bildirilen güvenlik olaylarıyla ilgili tartışmaların ön sıralarına taşıdı” dedi.
Abbott, şirketin “mevcut duruma iyi bir şekilde hazırlandığımızdan emin olmak için kendi duruşumuzu ve süreçlerimizi çok yakından incelediğini” söyledi.
Ivanti’nin, “önemli bir yatırımla desteklenen ve yönetim kurulumuzun ve Ivanti’deki herkesin tam desteğine sahip” bir planla “sektörün en tanınmış güvenlik ve ürün geliştirme uzmanlarını” işe aldığını söyledi.
Mektupta, şirketin tasarım gereği güvenlik ilkelerine bağlı kalacağı, ürünleri güvenlik ve güven için optimize edeceği ve müşteriler üzerindeki güvenlik yükünü azaltacağı belirtildi.
Ivanti’nin güvenlik açığı yönetim programı, “risk bazlı yamalama ve güvenlik açığı iyileştirmesi” ile desteklenecek.
Ivanti ayrıca sahada daha güvenli konuşlandırma ve daha iyi bilgi paylaşımı vaat ediyor.
Ocak ayı başında istismar edilen iki sıfır gün hatasını düzeltmek zorunda kalan şirket için yıl kötü başladı.
Bu soruşturma sırasında keşfedilen bir hatanın Şubat ayında istismar edildiği ortaya çıktı ve Mart ayında yeni bir güvenlik aracının piyasaya sürülmesi sağlandı.
Mart ortasında Ivanti iki kritik güvenlik açığını daha ortadan kaldırmak zorunda kaldı: Bağımsız Sentry ürünündeki bir uzaktan kod yürütme hatası olan CVE-2023-41724; ve Neurons for ITSM ürünündeki uzak dosya yazma hatası olan CVE-2023-46808.
Şirket ayrıca Ivanti Connect Secure ürünündeki bir dizi kritik olmayan güvenlik açığını da kapattı.