BLACK HAT USA – Las Vegas – Turvahaavatavuse parandamisega sammu pidamine on parimal juhul keeruline, kuid vigade tähtsuse järjekorda seadmine on muutunud keerulisemaks kui kunagi varem, tänu konteksti puuduvatele CVSS-i skooridele, räpanetele hankijate soovitustele ja mittetäielikele parandustele. jäta administraatorid vale turvatundega.
Selle argumendi esitasid Brian Gorenc ja Dustin Childs, mõlemad Trend Micro Zero Day Initiative'iga (ZDI), Black Hat USA lavalt oma seansi ajal.Riski arvutamine ebaselguse ajastul: lugemine turvanõuannete ridade vahel. "
ZDI on alates 10,000. aastast avalikustanud müüjatele üle 2005 XNUMX haavatavuse. Selle aja jooksul märkis ZDI kommunikatsioonijuht Childs, et ta on märganud häirivat trendi, milleks on paiga kvaliteedi langus ja turbevärskendustega seotud suhtluse vähenemine.
"Tõeline probleem tekib siis, kui müüjad annavad välja vigased paigad või ebatäpne ja mittetäielik teave nende paikade kohta, mis võivad panna ettevõtted oma riske valesti arvutama," märkis ta. "Vigased paigad võivad olla õnnistuseks ka kirjanike ärakasutamiseks, kuna "n-päevaseid" on palju lihtsam kasutada kui null-päevaseid."
Probleemid CVSS-i skooride ja paikamise prioriteediga
Enamikul küberjulgeolekumeeskondadel on alatöötajaid ja surve all ning mantra "hoidke kõik tarkvaraversioonid alati ajakohasena" ei ole alati mõistlik osakondade jaoks, kellel pole lihtsalt ressursse veepiiri katmiseks. Seetõttu on rakendatavate plaastrite tähtsuse järjekorda seadmine vastavalt nende raskusastmele CVSS-s (Common Vulnerability Severity Scale) muutunud paljude administraatorite jaoks varuks.
Childs märkis aga, et see lähenemisviis on sügavalt vigane ja võib viia ressursside kulutamiseni vigadele, mida tõenäoliselt kunagi ära ei kasutata. Seda seetõttu, et CVSS-i skoor ei anna palju kriitilist teavet.
"Liiga sageli otsivad ettevõtted paikamise prioriteedi määramiseks ainult CVSS-i baastuuma, " ütles ta. "Kuid CVSS ei vaata tegelikult kasutatavust ega seda, kas haavatavust kasutatakse tõenäoliselt looduses. CVSS ei ütle teile, kas viga esineb 15 süsteemis või 15 miljonis süsteemis. Ja see ei ütle, kas see on avalikult juurdepääsetavates serverites või mitte.
Ta lisas: "Ja mis kõige tähtsam, see ei ütle, kas viga on teie ettevõtte jaoks kriitilise tähtsusega süsteemis olemas või mitte."
Seega, kuigi viga võib anda CVSS-i skaalal kriitilise hinnangu 10 punkti 10-st, võib selle tegelik mõju olla palju väiksem, kui see kriitiline silt viitab.
"Autentseerimata kaugkoodikäivituse (RCE) viga sellises meiliserveris nagu Microsoft Exchange äratab ärakasutajatest palju huvi," ütles ta. "Autentimata RCE viga sellises meiliserveris nagu Squirrel Mail ei tekita tõenäoliselt nii palju tähelepanu."
Kontekstuaalsete lünkade täitmiseks pöörduvad turvameeskonnad sageli müüjate nõuannete poole – millel Childs märkis, et neil on oma silmatorkav probleem: nad kasutavad turvalisust sageli varjatuse kaudu.
Microsofti plaastri teisipäeva nõuannetes puuduvad üksikasjad
2021. aastal tegi Microsoft selle otsuse kommenteeritud kokkuvõtete eemaldamiseks
turvavärskenduste juhenditest, teavitades selle asemel kasutajaid, et CVSS-i skooridest piisaks prioriseerimiseks – muudatus, mille Childs lõhki pani.
"Muudatus eemaldab konteksti, mida on vaja riski kindlaksmääramiseks," ütles ta. „Kas näiteks teabe avalikustamise viga tühjendab juhuslikku mälu või isikuandmeid? Või turvafunktsioonide ümbersõidu puhul, millest mööda minnakse? Nendes kirjutistes sisalduv teave on ebajärjekindel ja erineva kvaliteediga, hoolimata peaaegu üldisest muudatuse kriitikast.
Lisaks sellele, et Microsoft "eemaldab või varjab teavet värskendustest, mis andsid selgeid juhiseid", on nüüd keerulisem määrata ka põhiteavet paigateisipäeva kohta, näiteks seda, kui palju vigu iga kuu parandatakse.
"Nüüd peate ennast kokku lugema ja see on tegelikult üks raskemaid asju, mida ma teen," märkis Childs.
Samuti on endiselt saadaval teave selle kohta, kui palju turvaauke on aktiivse rünnaku all või avalikult teada, kuid see on praegu bülletäänidesse maetud.
“Näiteks koos Sel kuul parandatakse 121 CVE-d, on omamoodi raske neid kõiki läbi kaevata, et otsida, millised on aktiivse rünnaku all,” ütles Childs. "Selle asemel tuginevad inimesed nüüd muudele teabeallikatele, nagu ajaveebid ja ajakirjandusartiklid, mitte sellele, mis peaks olema müüjalt saadud autoriteetne teave, mis aitab riski kindlaks teha."
Tuleb märkida, et Microsoft on kahekordistunud. Vestluses Dark Readingiga Black Hat USA-s ütles Microsofti turvareageerimiskeskuse ettevõtte asepresident Aanchal Gupta, et ettevõte on teadlikult otsustanud kasutajate kaitsmiseks piirata teavet, mida ta algselt oma CVE-dega annab. Kuigi Microsofti CVE-d annavad teavet vea tõsiduse ja selle ärakasutamise tõenäosuse kohta (ja selle kohta, kas seda kasutatakse aktiivselt), on ettevõte teadlik, kuidas ta haavatavuse ärakasutamise teavet avaldab, ütles ta.
Gupta ütles, et eesmärk on anda turvahalduritele piisavalt aega plaastri paigaldamiseks ilma neid ohtu seadmata. "Kui esitaksime oma CVE-s kõik üksikasjad selle kohta, kuidas turvaauke saab ära kasutada, ei tee me oma kliente nullist," ütles ta.
Teised müüjad kasutavad varjatust
Vaevalt on Microsoft üksi, pakkudes vigade avalikustamises vähe üksikasju. Childs ütles, et paljud müüjad ei paku värskenduse väljalaskmisel CVE-sid üldse.
"Nad lihtsalt ütlevad, et värskendus parandab mitu turvaprobleemi," selgitas ta. "Kui palju? Mis on raskusaste? Mis on ekspluateeritavus? Meil oli hiljuti isegi üks müüja meile konkreetselt öelnud, et me ei avalda turvaküsimuste kohta avalikke nõuandeid. See on julge samm."
Lisaks panevad mõned müüjad nõuandeid maksemüüride või tugilepingute taha, varjates sellega oma riski veelgi. Või ühendavad nad mitu veaaruannet üheks CVE-ks, hoolimata levinud arvamusest, et CVE esindab ühte ainulaadset haavatavust.
"See võib teie riskikalkulatsiooni moonutada," ütles ta. „Näiteks kui vaatate toodet ostes ja näete 10 CVE-d, mis on teatud aja jooksul paigatud, võite teha ühe järelduse selle uue toote riski kohta. Kui aga teadsite, et need 10 CVE-d põhinevad 100+ vearaportil, võite jõuda teistsugusele järeldusele.
Platseebo plaastrid katku prioriseerimiseks
Lisaks avalikustamisprobleemile seisavad turvameeskonnad silmitsi ka plaastrite endi probleemidega. Childsi sõnul ei ole "Placebo plaastrid", mis on "parandused", mis tegelikult tõhusaid koodimuudatusi ei tee.
"Nii et see viga on endiselt olemas ja ohus osalejate jaoks ärakasutatav, välja arvatud nüüd, kui neid on sellest teavitatud," ütles ta. "Selleks võib olla palju põhjuseid, aga see juhtub – vead on nii toredad, et parandame neid kaks korda.
Sageli on ka plaastreid, mis on puudulikud; Tegelikult on ZDI programmis tervelt 10–20% uurijate analüüsitud vigadest otsene vigase või mittetäieliku paiga tagajärg.
Childs kasutas näidet täisarvude ületäitumise probleemist Adobe Readeris, mis viib alamõõdulise hunniku jaotamiseni, mille tulemuseks on puhvri ületäitumine, kui sinna kirjutatakse liiga palju andmeid.
"Ootasime, et Adobe teeb selle paranduse, määrates mis tahes väärtuse teatud punktist üle halvaks," ütles Childs. "Kuid see pole see, mida me nägime ja 60 minuti jooksul pärast kasutuselevõttu toimus paigast möödasõit ja nad pidid uuesti lappima. Kordusetendused pole mõeldud ainult telesaadete jaoks.
Kuidas võidelda plaastri prioriseerimise probleemidega
Lõppkokkuvõttes, mis puudutab paikade prioriseerimist, taandub tõhus paikade haldamine ja riskide arvutamine kõrge väärtusega tarkvara sihtmärkide tuvastamisele organisatsiooni sees ning kolmandate osapoolte allikate kasutamisel, et kitsendada, millised paigad oleksid mis tahes keskkonnas kõige olulisemad. teadlased märkisid.
Avalikustamisjärgse nõtkuse küsimus on aga organisatsioonide jaoks veel üks oluline valdkond, millele keskenduda.
ZDI vanemdirektori Gorenci sõnul ei raiska küberkurjategijad aega suurte rünnakupindadega turvahädade integreerimisele oma lunavara tööriistakomplektidesse või nende ärakasutamiskomplektidesse, püüdes relvastada äsja avalikustatud vigu enne, kui ettevõtted jõuavad neid parandada. Need niinimetatud n-päevased vead on ründajatele kassinahkadeks, kes suudavad vea keskmiselt tagasi pöörata vaid 48 tunniga.
"Enamasti kasutab ründav kogukond n-päevaseid turvaauke, millel on saadaval avalikud paigad," ütles Gorenc. "Meie jaoks on oluline mõista avalikustamisel, kas viga kavatsetakse tegelikult relvastada, kuid enamik müüjaid ei anna teavet kasutatavuse kohta."
Seega peavad ettevõtte riskihinnangud olema piisavalt dünaamilised, et pärast avalikustamist neid muuta, ja turbemeeskonnad peaksid jälgima ohuteabe allikaid, et mõista, millal on viga integreeritud ärakasutuskomplekti või lunavarasse või millal ässitus on võrgus välja antud.
Lisaks sellele on oluline ajakava, mida ettevõtted peavad kaaluma, see, kui kaua kulub plaastri kogu organisatsioonis kasutuselevõtt ja kas on olemas hädaolukorra ressursse, mida saab vajadusel kasutada.
"Kui ohumaastikul toimuvad muudatused (parandused, kontseptsioonide avalik tõestamine ja ärakasutamise väljalasked), peaksid ettevõtted oma ressursse suunama, et rahuldada vajadusi ja võidelda uusimate riskidega," selgitas Gorenc. "Mitte ainult viimane avalikustatud ja nimega haavatavus. Jälgige ohumaastikul toimuvat, suunake oma ressursse ja otsustage, millal tegutseda.
