Patch Madness: Vendor Bug Advisories are Broken, So Broken

BLACK HAT Η.Π.Α. – Λας Βέγκας – Η συμβατότητα με την ενημέρωση κώδικα ευπάθειας ασφαλείας είναι στην καλύτερη περίπτωση πρόκληση, αλλά η ιεράρχηση των σφαλμάτων στα οποία πρέπει να εστιάσετε έχει γίνει πιο δύσκολη από ποτέ, χάρη στις βαθμολογίες CVSS που λείπουν από το περιβάλλον, τις λασπώδεις συμβουλές προμηθευτών και τις ελλιπείς διορθώσεις που αφήστε τους διαχειριστές με μια ψευδή αίσθηση ασφάλειας.

Αυτό είναι το επιχείρημα που έκαναν ο Brian Gorenc και ο Dustin Childs, και οι δύο με το Zero Day Initiative (ZDI) της Trend Micro, από τη σκηνή του Black Hat USA κατά τη διάρκεια της συνεδρίας τους.Υπολογισμός του κινδύνου στην εποχή της αφάνειας: ανάγνωση μεταξύ των γραμμών των συμβουλών ασφαλείας. "

Η ZDI έχει αποκαλύψει περισσότερες από 10,000 ευπάθειες σε προμηθευτές σε ολόκληρο τον κλάδο από το 2005. Κατά τη διάρκεια αυτής της περιόδου, ο διευθυντής επικοινωνίας της ZDI Childs είπε ότι παρατήρησε μια ανησυχητική τάση, η οποία είναι μείωση της ποιότητας ενημέρωσης κώδικα και μείωση των επικοινωνιών γύρω από ενημερώσεις ασφαλείας.

«Το πραγματικό πρόβλημα προκύπτει όταν οι πωλητές εκδίδουν ελαττωματικά patches ή ανακριβείς και ελλιπείς πληροφορίες σχετικά με αυτές τις ενημερώσεις κώδικα που μπορεί να αναγκάσουν τις επιχειρήσεις να υπολογίσουν εσφαλμένα τον κίνδυνο τους», σημείωσε. "Τα ελαττωματικά patches μπορούν επίσης να είναι ένα όφελος για την εκμετάλλευση των συγγραφέων, καθώς το "n-days" είναι πολύ πιο εύκολο στη χρήση από το zero-days."

The Trouble With CVSS Scores & Patching Priority

Οι περισσότερες ομάδες κυβερνοασφάλειας είναι υποστελεχωμένες και υπό πίεση, και το μάντρα «να διατηρείτε πάντα ενημερωμένες όλες τις εκδόσεις λογισμικού» δεν έχει πάντα νόημα για τα τμήματα που απλά δεν έχουν τους πόρους για να καλύψουν την προκυμαία. Αυτός είναι ο λόγος για τον οποίο η ιεράρχηση των ενημερώσεων κώδικα που θα εφαρμοστούν σύμφωνα με τη βαθμολογία σοβαρότητάς τους στην κοινή κλίμακα σοβαρότητας ευπάθειας (CVSS) έχει γίνει εναλλακτική λύση για πολλούς διαχειριστές.

Ο Childs σημείωσε, ωστόσο, ότι αυτή η προσέγγιση είναι βαθιά ελαττωματική και μπορεί να οδηγήσει στη δαπάνη πόρων για σφάλματα που είναι απίθανο να αξιοποιηθούν ποτέ. Αυτό συμβαίνει επειδή υπάρχει μια σειρά από κρίσιμες πληροφορίες που η βαθμολογία CVSS δεν παρέχει.

«Πολύ συχνά, οι επιχειρήσεις δεν κοιτάζουν πέρα ​​από τον βασικό πυρήνα του CVSS για να καθορίσουν την προτεραιότητα επιδιόρθωσης», είπε. «Αλλά το CVSS δεν εξετάζει πραγματικά την εκμεταλλευσιμότητα ή εάν μια ευπάθεια είναι πιθανό να χρησιμοποιηθεί στη φύση. Το CVSS δεν σας λέει εάν το αν το σφάλμα υπάρχει σε 15 συστήματα ή σε 15 εκατομμύρια συστήματα. Και δεν λέει αν είναι ή όχι σε διακομιστές με πρόσβαση στο κοινό.»

Πρόσθεσε, «Και το πιο σημαντικό, δεν λέει εάν το σφάλμα υπάρχει ή όχι σε ένα σύστημα που είναι κρίσιμο για τη συγκεκριμένη επιχείρησή σας».

Έτσι, παρόλο που ένα σφάλμα μπορεί να έχει μια κρίσιμη βαθμολογία 10 στα 10 στην κλίμακα CVSS, ο πραγματικός αντίκτυπος μπορεί να είναι πολύ λιγότερο ανησυχητικός από ό,τι θα έδειχνε αυτή η κρίσιμη ετικέτα.

"Ένα σφάλμα εκτέλεσης απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας (RCE) σε έναν διακομιστή email όπως το Microsoft Exchange θα προκαλέσει μεγάλο ενδιαφέρον από τους συντάκτες εκμετάλλευσης", είπε. "Ένα σφάλμα RCE χωρίς έλεγχο ταυτότητας σε έναν διακομιστή email όπως το Squirrel Mail πιθανότατα δεν πρόκειται να προκαλέσει τόση προσοχή."

Για να καλύψουν τα συμφραζόμενα κενά, οι ομάδες ασφαλείας στρέφονται συχνά σε συμβουλές προμηθευτών – οι οποίες, σημείωσε ο Childs, έχουν το δικό τους κραυγαλέο πρόβλημα: Συχνά ασκούν την ασφάλεια μέσω της αφάνειας.

Microsoft Patch Τρίτη Συμβουλές Δεν υπάρχουν λεπτομέρειες

Το 2021, η Microsoft πήρε την απόφαση για να αφαιρέσετε εκτελεστικές περιλήψεις
από τους οδηγούς ενημέρωσης ασφαλείας, αντ' αυτού ενημερώνοντας τους χρήστες ότι οι βαθμολογίες CVSS θα ήταν επαρκείς για ιεράρχηση - μια αλλαγή που η Childs κατέρριψε.

«Η αλλαγή αφαιρεί το πλαίσιο που απαιτείται για τον προσδιορισμό του κινδύνου», είπε. «Για παράδειγμα, ένα σφάλμα αποκάλυψης πληροφοριών απορρίπτει τυχαία μνήμη ή PII; Ή για μια παράκαμψη χαρακτηριστικών ασφαλείας, τι παρακάμπτεται; Οι πληροφορίες σε αυτά τα γραπτά είναι ασυνεπείς και ποικίλης ποιότητας, παρά την σχεδόν καθολική κριτική για την αλλαγή».

Εκτός από το γεγονός ότι η Microsoft είτε «αφαιρούσε ή αποκρύπτει πληροφορίες σε ενημερώσεις που παρήγαγαν σαφείς οδηγίες», είναι επίσης πιο δύσκολο να προσδιοριστούν οι βασικές πληροφορίες του Patch Tuesday, όπως πόσα σφάλματα διορθώνονται κάθε μήνα.

«Τώρα πρέπει να μετράς τον εαυτό σου, και είναι στην πραγματικότητα ένα από τα πιο δύσκολα πράγματα που κάνω», σημείωσε ο Τσάιλντς.

Επίσης, οι πληροφορίες σχετικά με το πόσες ευπάθειες βρίσκονται υπό ενεργή επίθεση ή είναι δημοσίως γνωστές είναι ακόμα διαθέσιμες, αλλά είναι θαμμένες στα δελτία τώρα.

«Για παράδειγμα, με 121 CVE επιδιορθώθηκαν αυτόν τον μήνα, είναι κάπως δύσκολο να τα ψάξεις όλα για να βρεις ποια δέχονται ενεργή επίθεση», είπε ο Τσάιλντς. «Αντίθετα, οι άνθρωποι βασίζονται πλέον σε άλλες πηγές πληροφοριών, όπως τα ιστολόγια και τα άρθρα στον τύπο, αντί σε αυτές που θα έπρεπε να είναι έγκυρες πληροφορίες από τον πωλητή για να βοηθήσουν στον προσδιορισμό του κινδύνου».

Να σημειωθεί ότι η Microsoft έχει διπλασιαστεί στην αλλαγή. Σε μια συνομιλία με την Dark Reading στο Black Hat USA, ο εταιρικός αντιπρόεδρος του Κέντρου Απάντησης Ασφαλείας της Microsoft, Aanchal Gupta, είπε ότι η εταιρεία αποφάσισε συνειδητά να περιορίσει τις πληροφορίες που παρέχει αρχικά με τα CVE της για να προστατεύσει τους χρήστες. Ενώ τα Microsoft CVE παρέχουν πληροφορίες σχετικά με τη σοβαρότητα του σφάλματος και την πιθανότητα εκμετάλλευσής του (και κατά πόσον γίνεται ενεργή εκμετάλλευση), η εταιρεία θα είναι συνετή σχετικά με τον τρόπο με τον οποίο δημοσιεύει πληροφορίες για την εκμετάλλευση ευπάθειας, είπε.

Ο στόχος είναι να δοθεί στις διοικήσεις ασφαλείας αρκετός χρόνος για να εφαρμόσουν την ενημερωμένη έκδοση κώδικα χωρίς να τεθούν σε κίνδυνο, είπε ο Gupta. «Εάν, στο CVE μας, παρέχουμε όλες τις λεπτομέρειες για το πώς μπορούν να εκμεταλλευτούν τα τρωτά σημεία, θα καταστήσουμε μηδενική ημέρα τους πελάτες μας», είπε.

Άλλοι προμηθευτές ασκούν την αφάνεια

Η Microsoft δεν είναι η μόνη που παρέχει ελάχιστες λεπτομέρειες στις αποκαλύψεις σφαλμάτων. Η Childs είπε ότι πολλοί προμηθευτές δεν παρέχουν καθόλου CVE όταν κυκλοφορούν μια ενημέρωση.

«Απλώς λένε ότι η ενημέρωση διορθώνει αρκετά ζητήματα ασφαλείας», εξήγησε. "Πόσα? Ποια είναι η σοβαρότητα; Ποια είναι η εκμεταλλευσιμότητα; Είχαμε μάλιστα πρόσφατα έναν πωλητή να μας είπε συγκεκριμένα, δεν δημοσιεύουμε δημόσιες συμβουλές για θέματα ασφάλειας. Είναι μια τολμηρή κίνηση».

Επιπλέον, ορισμένοι πωλητές θέτουν συμβουλές πίσω από τα paywalls ή τα συμβόλαια υποστήριξης, επισκιάζοντας περαιτέρω τον κίνδυνο τους. Ή, συνδυάζουν πολλαπλές αναφορές σφαλμάτων σε ένα μόνο CVE, παρά την κοινή αντίληψη ότι ένα CVE αντιπροσωπεύει μια μοναδική μοναδική ευπάθεια.

«Αυτό οδηγεί σε πιθανή παραμόρφωση του υπολογισμού του κινδύνου σας», είπε. «Για παράδειγμα, αν κοιτάξετε την αγορά ενός προϊόντος και δείτε 10 CVE που έχουν επιδιορθωθεί σε συγκεκριμένο χρονικό διάστημα, μπορεί να καταλήξετε σε ένα συμπέρασμα σχετικά με τον κίνδυνο από αυτό το νέο προϊόν. Ωστόσο, αν ήξερες ότι αυτά τα 10 CVE βασίζονται σε 100+ αναφορές σφαλμάτων, μπορεί να καταλήξεις σε διαφορετικό συμπέρασμα.»

Το εικονικό φάρμακο επιδιορθώνει την ιεράρχηση της πανώλης

Πέρα από το πρόβλημα της αποκάλυψης, οι ομάδες ασφαλείας αντιμετωπίζουν επίσης προβλήματα με τις ίδιες τις ενημερώσεις κώδικα. Σύμφωνα με την Childs, τα «μπαλώματα με εικονικό φάρμακο», τα οποία είναι «διορθώσεις» που στην πραγματικότητα δεν κάνουν αποτελεσματικές αλλαγές στον κώδικα, δεν είναι ασυνήθιστες.

"Επομένως, αυτό το σφάλμα εξακολουθεί να υπάρχει και μπορεί να εκμεταλλευτεί σε απειλές, εκτός από τώρα που έχουν ενημερωθεί γι' αυτό", είπε. «Υπάρχουν πολλοί λόγοι για τους οποίους μπορεί να συμβεί αυτό, αλλά συμβαίνει – σφάλματα τόσο ωραία που τα επιδιορθώνουμε δύο φορές.»

Υπάρχουν επίσης συχνά patches που είναι ελλιπή. Στην πραγματικότητα, στο πρόγραμμα ZDI, ένα πλήρες 10% έως 20% των σφαλμάτων που αναλύουν οι ερευνητές είναι το άμεσο αποτέλεσμα μιας ελαττωματικής ή ελλιπούς ενημέρωσης κώδικα.

Τα παιδιά χρησιμοποίησαν το παράδειγμα ενός προβλήματος υπερχείλισης ακεραίων στο Adobe Reader που οδηγεί σε μικρότερη κατανομή σωρού, η οποία οδηγεί σε υπερχείλιση buffer όταν εγγράφονται πάρα πολλά δεδομένα σε αυτό.

«Περιμέναμε από την Adobe να κάνει τη διόρθωση θέτοντας οποιαδήποτε τιμή σε ένα συγκεκριμένο σημείο ως κακή», είπε ο Childs. «Αλλά δεν είναι αυτό που είδαμε, και μέσα σε 60 λεπτά από την κυκλοφορία, έγινε ένα patch bypass και έπρεπε να το διορθώσουν ξανά. Οι επαναλήψεις δεν είναι μόνο για τηλεοπτικές εκπομπές».

Πώς να καταπολεμήσετε τα προβλήματα με την ιεράρχηση των ενημερωμένων εκδόσεων

Σε τελική ανάλυση, όσον αφορά την ιεράρχηση των ενημερώσεων κώδικα, η αποτελεσματική διαχείριση ενημερώσεων κώδικα και ο υπολογισμός κινδύνου συνοψίζονται στον εντοπισμό στόχων λογισμικού υψηλής αξίας εντός του οργανισμού καθώς και στη χρήση πηγών τρίτων για να περιορίσετε ποιες ενημερώσεις κώδικα θα ήταν οι πιο σημαντικές για κάθε δεδομένο περιβάλλον. σημείωσαν οι ερευνητές.

Ωστόσο, το ζήτημα της ευκινησίας μετά την αποκάλυψη είναι ένας άλλος βασικός τομέας στον οποίο πρέπει να επικεντρωθούν οι οργανισμοί.

Σύμφωνα με τον Gorenc, ανώτερο διευθυντή της ZDI, οι εγκληματίες του κυβερνοχώρου δεν χάνουν χρόνο ενσωματώνοντας vulns με μεγάλες επιφάνειες επίθεσης στα σύνολα εργαλείων ransomware ή στα κιτ εκμετάλλευσης τους, προσπαθώντας να οπλίσουν τα νέα ελαττώματα που αποκαλύφθηκαν πριν προλάβουν οι εταιρείες να επιδιορθώσουν. Αυτά τα αποκαλούμενα σφάλματα n-day είναι catnig για τους επιτιθέμενους, οι οποίοι κατά μέσο όρο μπορούν να δημιουργήσουν αντίστροφη μηχανική ενός σφάλματος σε μόλις 48 ώρες.

«Στο μεγαλύτερο μέρος της, η επιθετική κοινότητα χρησιμοποιεί ευπάθειες n-day που έχουν διαθέσιμες δημόσιες ενημερώσεις κώδικα», είπε ο Gorenc. "Είναι σημαντικό για εμάς να καταλάβουμε κατά την αποκάλυψη εάν ένα σφάλμα πρόκειται πράγματι να οπλιστεί, αλλά οι περισσότεροι προμηθευτές δεν παρέχουν πληροφορίες σχετικά με τη δυνατότητα εκμετάλλευσης."

Έτσι, οι αξιολογήσεις επιχειρηματικού κινδύνου πρέπει να είναι αρκετά δυναμικές ώστε να αλλάξουν μετά την αποκάλυψη και οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν πηγές πληροφοριών απειλών για να κατανοήσουν πότε ένα σφάλμα ενσωματώνεται σε κιτ εκμετάλλευσης ή ransomware ή πότε ένα exploit κυκλοφορεί στο διαδίκτυο.

Επικουρικό σε αυτό, ένα σημαντικό χρονοδιάγραμμα που πρέπει να λάβουν υπόψη οι επιχειρήσεις είναι πόσος χρόνος χρειάζεται για να αναπτυχθεί πραγματικά μια ενημέρωση κώδικα σε ολόκληρο τον οργανισμό και εάν υπάρχουν πόροι έκτακτης ανάγκης που μπορούν να χρησιμοποιηθούν εάν είναι απαραίτητο.

«Όταν συμβαίνουν αλλαγές στο τοπίο των απειλών (αναθεωρήσεις ενημερώσεων κώδικα, δημόσια απόδειξη των εννοιών και εκδόσεις εκμετάλλευσης), οι επιχειρήσεις θα πρέπει να μετατοπίζουν τους πόρους τους για να ανταποκριθούν στις ανάγκες και να καταπολεμήσουν τους πιο πρόσφατους κινδύνους», εξήγησε ο Gorenc. «Όχι μόνο η πιο πρόσφατη δημοσιοποιημένη και επώνυμη ευπάθεια. Παρατηρήστε τι συμβαίνει στο τοπίο της απειλής, προσανατολίστε τους πόρους σας και αποφασίστε πότε να δράσετε».