Μια νέα μελέτη αυτή την εβδομάδα είναι βέβαιο ότι θα εγείρει περισσότερα ερωτήματα για τις ομάδες ασφάλειας των επιχειρήσεων σχετικά με τη σοφία να βασίζονται μόνο στις βαθμολογίες ευπάθειας στην Εθνική Βάση Δεδομένων Ευπάθειας (NVD) για τη λήψη αποφάσεων προτεραιοποίησης ενημερώσεων κώδικα.
Μια ανάλυση από το VulnCheck 120 CVE με βαθμολογίες CVSS v3 που σχετίζονται με αυτά δείχνει ότι σχεδόν 25,000 — ή περίπου 20% — είχαν δύο βαθμολογίες σοβαρότητας. Το ένα σκορ ήταν από το NIST, το οποίο διατηρεί το NVD, και το άλλο από τον πωλητή του προϊόντος με το σφάλμα. Σε πολλές περιπτώσεις, αυτές οι δύο βαθμολογίες διέφεραν, καθιστώντας δύσκολο για τις ομάδες ασφαλείας να γνωρίζουν ποια να εμπιστευτούν.
Υψηλό ποσοστό σύγκρουσης
Περίπου το 56%, ή 14,000, από τα τρωτά σημεία με δύο βαθμολογίες σοβαρότητας είχαν αντικρουόμενες βαθμολογίες, που σημαίνει ότι αυτή που εκχωρήθηκε από το NIST και η βαθμολογία από τον προμηθευτή δεν ταιριάζουν. Όταν ένας πωλητής μπορεί να είχε αξιολογήσει μια συγκεκριμένη ευπάθεια ως μέτριας σοβαρότητας, η NIST μπορεί να την είχε αξιολογήσει ως σοβαρή.
Ως ένα παράδειγμα, το VulnCheck επεσήμανε CVE-2023-21557, μια ευπάθεια άρνησης υπηρεσίας στο πρωτόκολλο πρόσβασης καταλόγου Lightweight των Windows (LDAP). Η Microsoft εκχώρησε στην ευπάθεια μια «υψηλή» βαθμολογία σοβαρότητας 7.5 στην κλίμακα CVSS 10 βαθμών. Το NIST το έδωσε βαθμολογία 9.1, καθιστώντας το μια «κρίσιμη» ευπάθεια. Οι πληροφορίες σχετικά με την ευπάθεια στο NVD δεν παρείχαν καμία εικόνα για το γιατί διέφεραν οι βαθμολογίες, είπε ο VulnCheck. Η βάση δεδομένων ευπάθειας είναι γεμάτη με πολλές άλλες παρόμοιες περιπτώσεις.
Αυτό το υψηλό ποσοστό σύγκρουσης μπορεί να καθυστερήσει τις προσπάθειες αποκατάστασης για οργανισμούς που έχουν περιορισμένους πόρους σε ομάδες διαχείρισης ευπάθειας, λέει ο Jacob Baines, ερευνητής ευπάθειας στο VulnCheck. «Ένα σύστημα διαχείρισης τρωτών σημείων που βασίζεται σε μεγάλο βαθμό στη βαθμολογία CVSS θα δώσει μερικές φορές προτεραιότητα σε τρωτά σημεία που δεν είναι κρίσιμα», λέει. «Η ιεράρχηση των λανθασμένων τρωτών σημείων θα σπαταλήσει τον πιο κρίσιμο πόρο των ομάδων διαχείρισης ευπάθειας: τον χρόνο».
Οι ερευνητές του VulnCheck βρήκαν άλλες διαφορές στον τρόπο με τον οποίο το NIST και οι προμηθευτές συμπεριέλαβαν συγκεκριμένες πληροφορίες σχετικά με ελαττώματα στη βάση δεδομένων. Αποφάσισαν να κοιτάξουν δημιουργία σεναρίων μεταξύ ιστοτόπων Ευπάθειες (XSS) και πλαστογράφηση αιτημάτων μεταξύ τοποθεσιών (CSRF) στο NVD.
Η ανάλυση έδειξε ότι η κύρια πηγή - συνήθως το NIST - εκχωρούσε 12,969 από τα 120,000 CVE στη βάση δεδομένων ως ευπάθεια XSS, ενώ οι δευτερεύουσες πηγές ανέφεραν ένα πολύ μικρότερο 2,091 ως XSS. Το VulnCheck διαπίστωσε ότι οι δευτερεύουσες πηγές ήταν πολύ λιγότερο πιθανό να υποδείξουν ότι ένα ελάττωμα XSS απαιτεί αλληλεπίδραση με τον χρήστη για εκμετάλλευση. Οι βαθμολογίες σφαλμάτων CSRF έδειξαν παρόμοιες διαφορές.
«Τα τρωτά σημεία XSS και CSRF απαιτούν πάντα αλληλεπίδραση με τον χρήστη», λέει ο Baines. "Η αλληλεπίδραση χρήστη είναι ένα στοιχείο βαθμολόγησης του CVSSv3 και υπάρχει στο διάνυσμα CVSSv3." Εξετάζοντας πόσο συχνά τα τρωτά σημεία XSS και CSRF στο NVD περιλαμβάνουν αυτές τις πληροφορίες που παρέχουν πληροφορίες για την κλίμακα των λαθών βαθμολογίας στη βάση δεδομένων, λέει.
Οι βαθμολογίες σοβαρότητας από μόνες τους δεν είναι η απάντηση
Οι βαθμολογίες σοβαρότητας που βασίζονται στην Κοινή Κλίμακα Σοβαρότητας Ευπάθειας (CVSS) έχουν σκοπό να παρέχουν στις ομάδες επιδιόρθωσης και διαχείρισης ευπάθειας έναν απλό τρόπο κατανόησης της σοβαρότητας μιας ευπάθειας λογισμικού. Ενημερώνει τον επαγγελματία ασφαλείας εάν ένα ελάττωμα παρουσιάζει χαμηλό, μεσαίο ή σοβαρό κίνδυνο και συχνά παρέχει ένα πλαίσιο γύρω από μια ευπάθεια που ο προμηθευτής λογισμικού μπορεί να μην έχει παράσχει όταν εκχωρεί ένα CVE στο σφάλμα.
Πολλοί οργανισμοί χρησιμοποιούν το πρότυπο CVSS όταν εκχωρούν βαθμολογίες σοβαρότητας σε ευπάθειες στα προϊόντα τους και οι ομάδες ασφαλείας χρησιμοποιούν συνήθως τις βαθμολογίες για να αποφασίσουν τη σειρά με την οποία εφαρμόζουν ενημερώσεις κώδικα σε ευάλωτο λογισμικό στο περιβάλλον.
Παρά τη δημοτικότητά του, πολλοί έχουν προειδοποιήσει προηγουμένως να μην βασίζονται αποκλειστικά στις βαθμολογίες αξιοπιστίας CVSS για την ιεράρχηση των ενημερώσεων κώδικα. Σε μια συνεδρία Black Hat USA 2022, ο Dustin Childs και ο Brian Gorenc, και οι δύο ερευνητές της Trend Micro's Zero Day Initiative (ZDI), επισήμανε πολλά ζητήματα όπως η έλλειψη πληροφοριών σχετικά με την εκμεταλλευσιμότητα ενός σφάλματος, τη διεισδυτικότητα του και το πόσο προσιτή μπορεί να είναι η επίθεση ως λόγοι για τους οποίους οι βαθμολογίες CVSS από μόνες τους δεν αρκούν.
«Οι επιχειρήσεις έχουν περιορισμένους πόρους, επομένως πρέπει συνήθως να δίνουν προτεραιότητα σε ποιες ενημερώσεις κώδικα θα κυκλοφορήσουν», είπε ο Childs στο Dark Reading. «Ωστόσο, εάν λάβουν αντικρουόμενες πληροφορίες, μπορεί να καταλήξουν να ξοδέψουν πόρους σε σφάλματα που είναι απίθανο να αξιοποιηθούν ποτέ».
Οι οργανισμοί συχνά βασίζονται σε προϊόντα τρίτων για να τους βοηθήσουν να δώσουν προτεραιότητα στα τρωτά σημεία και να αποφασίσουν τι θα επιδιορθώσουν πρώτα, σημειώνει η Childs. Συχνά, τείνουν να προτιμούν το CVSS από τον προμηθευτή αντί για άλλη πηγή όπως το NIST.
«Αλλά οι πωλητές δεν μπορούν πάντα να βασιστούν για να είναι διαφανείς ως προς τον πραγματικό κίνδυνο. Οι πωλητές δεν καταλαβαίνουν πάντα πώς αναπτύσσονται τα προϊόντα τους, κάτι που μπορεί να οδηγήσει σε διαφορές στον λειτουργικό κίνδυνο για έναν στόχο», λέει.
Οι Childs and Bains υποστηρίζουν ότι οι οργανισμοί πρέπει να λαμβάνουν υπόψη πληροφορίες από πολλαπλές πηγές όταν λαμβάνουν αποφάσεις σχετικά με την αποκατάσταση ευπάθειας. Θα πρέπει επίσης να λάβουν υπόψη παράγοντες όπως το εάν ένα σφάλμα έχει μια δημόσια εκμετάλλευση για αυτό στη φύση ή εάν το εκμεταλλεύεται ενεργά.
«Για να δοθεί με ακρίβεια προτεραιότητα σε μια ευπάθεια, οι οργανισμοί πρέπει να είναι σε θέση να απαντήσουν στις ακόλουθες ερωτήσεις», λέει ο Baines. «Αυτή η ευπάθεια έχει δημόσια εκμετάλλευση; Έχει γίνει εκμετάλλευση αυτής της ευπάθειας στη φύση; Αυτή η ευπάθεια χρησιμοποιείται από ransomware ή APT; Είναι πιθανό αυτή η ευπάθεια να εκτεθεί στο Διαδίκτυο;»
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/discrepancies-discovered-in-vulnerability-severity-ratings
- 000
- 1
- 2022
- 7
- 9
- a
- Ικανός
- Σχετικά με εμάς
- πρόσβαση
- Πρωτόκολλο πρόσβασης
- προσιτός
- με ακρίβεια
- δραστήρια
- συνήγορος
- κατά
- alone
- πάντοτε
- ανάλυση
- και
- Άλλος
- απάντηση
- Εφαρμογή
- APT
- γύρω
- αξιολόγηση
- ανατεθεί
- συσχετισμένη
- επίθεση
- πίσω
- βασίζονται
- είναι
- Μαύρη
- Μαύρο καπέλο
- Brian
- Έντομο
- σφάλματα
- περιπτώσεις
- Κοινός
- συνήθως
- σύγκρουση
- Αντιφατικός
- Εξετάστε
- συμφραζόμενα
- κρίσιμης
- CVE
- σκοτάδι
- Σκοτεινή ανάγνωση
- βάση δεδομένων
- ημέρα
- αποφάσισε
- αποφάσεις
- αναπτυχθεί
- DID
- διαφορές
- ανακάλυψαν
- προσπάθειες
- αρκετά
- Εταιρεία
- επιχειρηματική ασφάλεια
- επιχειρήσεις
- Περιβάλλον
- ΠΑΝΤΑ
- Εξετάζοντας
- παράδειγμα
- Εκμεταλλεύομαι
- Κακοποιημένα
- παράγοντες
- Όνομα
- ελάττωμα
- ελαττώματα
- Εξής
- Βρέθηκαν
- από
- παίρνω
- Δώστε
- Σκληρά
- καπέλο
- βαριά
- βοήθεια
- Ψηλά
- Πως
- Ωστόσο
- HTTPS
- in
- περιλαμβάνουν
- περιλαμβάνονται
- υποδεικνύω
- πληροφορίες
- Πρωτοβουλία
- διορατικότητα
- αλληλεπίδραση
- IT
- Ξέρω
- Έλλειψη
- οδηγήσει
- πυγμάχος ελαφρού βάρους
- Πιθανός
- Εισηγμένες
- ματιά
- Χαμηλός
- διατηρεί
- κάνω
- Κατασκευή
- διαχείριση
- πολοί
- Ταίριασμα
- νόημα
- medium
- Microsoft
- ενδέχεται να
- λάθη
- περισσότερο
- πλέον
- πολλαπλούς
- εθνικός
- Ανάγκη
- Νέα
- nist
- Notes
- πολυάριθμες
- ONE
- επιχειρήσεων
- τάξη
- οργανώσεις
- ΑΛΛΑ
- Ειδικότερα
- Patch
- Patches
- Διόρθωση
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- δημοτικότητα
- παρόν
- δώρα
- προηγουμένως
- πρωταρχικός
- ιεράρχηση
- Δώστε προτεραιότητα
- ιεράρχηση
- Προϊόν
- Προϊόντα
- επαγγελματίας
- πρωτόκολλο
- παρέχεται
- παρέχει
- δημόσιο
- Ερωτήσεις
- αύξηση
- ransomware
- Τιμή
- εκτίμηση
- χαρακτηρισμοί
- Ανάγνωση
- πραγματικός
- λόγους
- αξιοπιστία
- ζητήσει
- απαιτούν
- Απαιτεί
- ερευνητής
- ερευνητές
- πόρος
- Υποστηρικτικό υλικό
- Κίνδυνος
- Ρολό
- Είπε
- Κλίμακα
- βαθμολόγησης
- δευτερεύων
- ασφάλεια
- Συνεδρίαση
- σειρά
- αυστηρός
- θα πρέπει να
- Δείχνει
- παρόμοιες
- μικρότερος
- So
- λογισμικό
- μερικοί
- Πηγή
- Πηγές
- συγκεκριμένες
- Δαπάνες
- πρότυπο
- ειλικρινής
- Μελέτη
- τέτοιος
- σύστημα
- στόχος
- ομάδες
- Η
- τους
- τρίτους
- αυτή την εβδομάδα
- ώρα
- προς την
- διαφανής
- τάση
- Εμπιστευθείτε
- συνήθως
- καταλαβαίνω
- ΗΠΑ
- χρήση
- Χρήστες
- πάροχος υπηρεσιών
- πωλητές
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- εβδομάδα
- Τι
- αν
- Ποιό
- ενώ
- Άγριος
- θα
- παράθυρα
- σοφία
- Λανθασμένος
- XSS
- zephyrnet
- μηδέν
- Ημέρα μηδέν
