Ivanti — das Unternehmen hinter den Connect Secure VPN-Produkten — durchlebt derzeit eine Krise.
Ivanti Pulse ist in letzter Zeit zu einer Obsession von Angreifern und Forschern geworden.
Dies veranlasste Forscher bei Eclypsium, die Zusammensetzung seiner Firmware zu analysieren.
Schlechte Nachrichten
Und es sah nicht gut aus. Die Forschung legt nahe, dass die Firmware auf einer Version des Linux-Kernels basiert, dessen Lebenszyklus 2016 endete, zusammen mit Paketversionen, die bis zu 23 Jahre alt sind.
Das Alter der Komponenten allein ist nicht zwangsläufig ein sicheres Risiko.
In Kombination mit mangelnder Transparenz entsteht jedoch der Eindruck eines Unternehmens, das niedrige Entwicklungskosten über effektive Sicherheitspraktiken stellt.
Ohne Anreize zur Förderung einer solchen Transparenz werden immer mehr Unternehmen gleichzeitig mit Sicherheits- und Reputationsproblemen zu kämpfen haben.
Gute Nachrichten
Die gute Nachricht ist, dass Software-Transparenz mit SBOM hilft.
SBOM befähigt Kunden, solche Praktiken zu durchschauen, und schafft Anreize für sicherheitsbewusste Entscheidungen.
Hätte Ivanti eine SBOM veröffentlicht oder vertraulich geteilt, wäre es ein Leichtes gewesen, diese auf Sicherheitsanfälligkeiten und den Support-Status der Komponenten hin zu analysieren.
Bei Interlynk haben wir weniger als zwei Minuten benötigt, um die SBOM von Ivanti auf Grundlage der veröffentlichten Forschung von Grund auf neu zu erstellen (mit Fokus ausschließlich auf völlig veraltete Komponenten).
Der Schwachstellenscan von Interlynk zeigte sofort 35 kritische, 798 hohe und 1099 mittlere Schwachstellen an.
Das könnte der erste Fragenkatalog der Kunden sein.
Anschließend haben wir auf die Registerkarte „Support“ gewechselt, um die Details zu finden, die mit den Ergebnissen der Eclypsium-Forscher übereinstimmen.
Das wären die Folgefragen an Ivanti.
Interlynk ist überzeugt, dass Software-Transparenz den richtigen Anreiz schafft, um die Waage zwischen Entwicklungskosten und Sicherheit zu halten. Und dank modernster Integrationen ist die Analyse von SBOMs mit Interlynk so kinderleicht wie Drag-and-Drop. Wir hoffen, dass eine solche Transparenz Softwareherstellern und -verbrauchern viele nachgelagerte Wartungs- und Reputationskosten erspart und IT-Teams vor vermeidbaren Krisen bewahrt.