Patch Madness: فروشنده اشکالات مشاوره شکسته است، بنابراین شکسته است

BLACK HAT USA – لاس وگاس – پیگیری وصله‌های آسیب‌پذیری امنیتی در بهترین حالت چالش برانگیز است، اما اولویت‌بندی باگ‌هایی که باید روی آن‌ها تمرکز کرد دشوارتر از همیشه شده است، به لطف نمرات CVSS فاقد زمینه، توصیه‌های مبهم فروشنده، و رفع‌های ناقص. ادمین ها را با احساس امنیت کاذب رها کنید.

این استدلالی است که برایان گورنک و داستین چایلدز، هر دو با طرح Trend Micro's Zero Day Initiative (ZDI)، از صحنه Black Hat USA در طول جلسه خود بیان کردند.محاسبه ریسک در عصر ابهام: خواندن بین خطوط مشاوره امنیتی"

ZDI از سال 10,000 بیش از 2005 آسیب‌پذیری را برای فروشندگان در سراسر صنعت فاش کرده است. در طول آن زمان، مدیر ارتباطات ZDI Childs گفت که او متوجه روند نگران‌کننده‌ای شده است که کاهش کیفیت وصله و کاهش ارتباطات پیرامون به‌روزرسانی‌های امنیتی است.

وی خاطرنشان کرد: «مشکل واقعی زمانی ایجاد می‌شود که فروشندگان وصله‌های معیوب، یا اطلاعات نادرست و ناقص در مورد آن وصله‌ها را منتشر می‌کنند که می‌تواند باعث شود شرکت‌ها ریسک خود را اشتباه محاسبه کنند.» وصله‌های معیوب نیز می‌توانند برای نویسندگان مفید باشند، زیرا استفاده از «n-days» بسیار آسان‌تر از روز صفر است.»

مشکل با امتیازات CVSS و اولویت وصله

اکثر تیم‌های امنیت سایبری کمبود کارکنان و تحت فشار هستند، و شعار «همیشه تمام نسخه‌های نرم‌افزار را به‌روز نگه دارید» برای بخش‌هایی که به سادگی منابع لازم برای پوشش آب‌نما را ندارند، همیشه منطقی نیست. به همین دلیل است که اولویت‌بندی وصله‌هایی که باید با توجه به رتبه‌بندی شدت آن‌ها در مقیاس شدت آسیب‌پذیری رایج (CVSS) اعمال شوند، برای بسیاری از مدیران تبدیل به یک جایگزین شده است.

با این حال، چایلدز خاطرنشان کرد که این رویکرد عمیقاً ناقص است و می‌تواند منجر به صرف منابع برای باگ‌هایی شود که بعید است هرگز مورد سوء استفاده قرار گیرند. این به این دلیل است که اطلاعات مهمی وجود دارد که امتیاز CVSS ارائه نمی کند.

او گفت: «در اغلب موارد، شرکت‌ها برای تعیین اولویت وصله‌سازی به هسته اصلی CVSS نگاه نمی‌کنند. اما CVSS واقعاً به قابلیت بهره برداری یا اینکه آیا یک آسیب پذیری احتمالاً در طبیعت مورد استفاده قرار می گیرد یا خیر. CVSS به شما نمی گوید که آیا این اشکال در 15 سیستم وجود دارد یا در 15 میلیون سیستم. و نمی گوید که آیا در سرورهای قابل دسترسی عمومی است یا خیر.

او افزود: «و مهمتر از همه، نمی گوید که آیا این اشکال در سیستمی که برای شرکت خاص شما حیاتی است وجود دارد یا خیر.»

بنابراین، حتی اگر یک اشکال ممکن است دارای رتبه‌بندی بحرانی 10 از 10 در مقیاس CVSS باشد، تأثیر واقعی آن ممکن است بسیار کمتر از آن چیزی باشد که برچسب مهم نشان می‌دهد.

او گفت: «اشکال اجرای کد از راه دور تأیید نشده (RCE) در سرور ایمیل مانند Microsoft Exchange، علاقه زیادی را از سوی نویسندگان اکسپلویت ایجاد خواهد کرد. "یک اشکال RCE احراز هویت نشده در سرور ایمیل مانند Squirrel Mail احتمالاً توجه زیادی را به خود جلب نخواهد کرد."

برای پر کردن شکاف‌های زمینه‌ای، تیم‌های امنیتی اغلب به توصیه‌های فروشنده روی می‌آورند – که به گفته چایلدز، مشکل آشکار خود را دارد: آن‌ها اغلب امنیت را از طریق ابهام انجام می‌دهند.

مایکروسافت پچ سه‌شنبه مشاوره‌ها فاقد جزئیات هستند

در سال 2021، مایکروسافت این تصمیم را گرفت برای حذف خلاصه های اجرایی
از راهنماهای به‌روزرسانی امنیتی، به جای آن به کاربران اطلاع می‌دهد که امتیازات CVSS برای اولویت‌بندی کافی است - تغییری که Childs آن را محکوم کرد.

او گفت: «تغییر زمینه ای را که برای تعیین ریسک لازم است حذف می کند. برای مثال، آیا یک اشکال افشای اطلاعات، حافظه تصادفی یا PII را تخلیه می‌کند؟ یا برای دور زدن ویژگی امنیتی، چه چیزی در حال دور زدن است؟ اطلاعات موجود در این نوشته‌ها با وجود انتقادات تقریباً جهانی از این تغییر، متناقض و با کیفیت متفاوت است.

علاوه بر این که مایکروسافت «اطلاعات را در به‌روزرسانی‌هایی که قبلاً راهنمایی‌های واضحی را تولید می‌کردند حذف می‌کرد یا پنهان می‌کرد»، اکنون تعیین اطلاعات اولیه Patch Tuesday، مانند تعداد باگ‌هایی که هر ماه وصله می‌شوند، دشوارتر است.

چایلدز خاطرنشان کرد: "اکنون باید خودت را بشماری، و این در واقع یکی از سخت ترین کارهایی است که انجام می دهم."

همچنین، اطلاعات مربوط به تعداد آسیب‌پذیری‌هایی که تحت حمله فعال هستند یا به طور عمومی شناخته شده‌اند، هنوز در دسترس است، اما اکنون در بولتن‌ها مدفون شده است.

«به عنوان مثال، با 121 CVE در این ماه وصله شده استچایلدز گفت، به نوعی سخت است که همه آنها را جستجو کنیم تا ببینیم کدام یک مورد حمله فعال هستند. در عوض، مردم در حال حاضر به منابع دیگر اطلاعات مانند وبلاگ ها و مقالات مطبوعاتی، به جای اطلاعات معتبر از فروشنده برای کمک به تعیین ریسک، تکیه می کنند.

لازم به ذکر است که مایکروسافت تغییر را دو برابر کرده است. در گفتگو با Dark Reading در Black Hat USA، معاون شرکتی مرکز پاسخگویی امنیتی مایکروسافت، Aanchal Gupta، گفت که این شرکت آگاهانه تصمیم گرفته است اطلاعاتی را که در ابتدا با CVE های خود ارائه می دهد محدود کند تا از کاربران محافظت کند. او گفت در حالی که مایکروسافت CVE اطلاعاتی را در مورد شدت باگ و احتمال سوء استفاده از آن (و اینکه آیا به طور فعال مورد بهره برداری قرار می گیرد) ارائه می دهد، این شرکت در مورد نحوه انتشار اطلاعات سوء استفاده از آسیب پذیری عاقلانه عمل خواهد کرد.

گوپتا گفت، هدف این است که به مقامات امنیتی زمان کافی برای اعمال وصله بدون به خطر انداختن آنها داده شود. او می‌گوید: «اگر در CVE خود، تمام جزئیات مربوط به نحوه استفاده از آسیب‌پذیری‌ها را ارائه دهیم، مشتریان خود را روز صفر خواهیم کرد.

فروشندگان دیگر ابهام را تمرین می کنند

مایکروسافت در ارائه جزئیات ناچیز در افشای باگ ها به سختی تنها نیست. Childs گفت که بسیاری از فروشندگان وقتی یک به‌روزرسانی را منتشر می‌کنند، اصلاً CVE ارائه نمی‌کنند.

او توضیح داد: "آنها فقط می گویند که به روز رسانی چندین مشکل امنیتی را برطرف می کند." "چند تا؟ شدتش چیه؟ قابلیت بهره برداری چیست؟ ما حتی اخیراً یک فروشنده داشتیم که به طور خاص به ما گفت، ما توصیه های عمومی در مورد مسائل امنیتی منتشر نمی کنیم. این یک حرکت جسورانه است.»

علاوه بر این، برخی از فروشندگان توصیه هایی را پشت دیوارهای پرداخت یا قراردادهای پشتیبانی قرار می دهند و ریسک آنها را بیشتر پنهان می کنند. یا، با وجود این تصور رایج که یک CVE نشان دهنده یک آسیب پذیری منحصر به فرد است، چندین گزارش باگ را در یک CVE واحد ترکیب می کنند.

او گفت: «این ممکن است منجر به انحراف در محاسبه ریسک شما شود. به عنوان مثال، اگر به خرید یک محصول نگاه کنید و 10 CVE را ببینید که در مدت زمان معینی وصله شده اند، ممکن است به یک نتیجه از خطر این محصول جدید برسید. با این حال، اگر می دانستید که آن 10 CVE بر اساس بیش از 100 گزارش اشکال هستند، ممکن است به نتیجه متفاوتی برسید.

دارونما وصله های اولویت بندی طاعون

فراتر از مشکل افشا، تیم های امنیتی نیز با مشکلاتی در مورد خود وصله ها مواجه هستند. به گفته چایلدز، «وصله‌های پلاسبو»، که «اصلاحاتی» هستند که در واقع هیچ تغییر مؤثری در کد ایجاد نمی‌کنند، غیرمعمول نیستند.

او گفت: "بنابراین این اشکال هنوز وجود دارد و برای عوامل تهدید قابل استفاده است، با این تفاوت که اکنون آنها از آن مطلع شده اند." دلایل زیادی وجود دارد که چرا ممکن است این اتفاق بیفتد، اما این اتفاق می افتد - اشکالات بسیار خوبی هستند که ما آنها را دو بار وصله می کنیم.

همچنین اغلب وصله هایی وجود دارد که ناقص هستند. در واقع، در برنامه ZDI، 10٪ تا 20٪ کامل از اشکالاتی که محققان تجزیه و تحلیل می کنند، نتیجه مستقیم یک پچ معیوب یا ناقص است.

Childs از مثال مشکل سرریز اعداد صحیح در Adobe Reader استفاده کردند که منجر به تخصیص پشته کم‌تر می‌شود، که وقتی داده‌های زیادی روی آن نوشته می‌شود، منجر به سرریز بافر می‌شود.

چایلدز گفت: «ما انتظار داشتیم که Adobe با قرار دادن هر مقداری روی یک نقطه خاص، مشکل را برطرف کند. اما این چیزی نیست که ما دیدیم، و در عرض 60 دقیقه پس از عرضه، یک بای پس وصله وجود داشت و آنها مجبور شدند دوباره وصله کنند. تکرارها فقط برای برنامه های تلویزیونی نیستند.»

نحوه مبارزه با مشکلات اولویت بندی پچ

در نهایت وقتی نوبت به اولویت‌بندی وصله‌ها می‌رسد، مدیریت مؤثر وصله‌ها و محاسبه ریسک به شناسایی اهداف نرم‌افزاری با ارزش بالا در سازمان و همچنین استفاده از منابع شخص ثالث برای محدود کردن این که کدام وصله‌ها برای هر محیطی مهم‌تر هستند، خلاصه می‌شود. محققان خاطرنشان کردند.

با این حال، موضوع چابکی پس از افشای اطلاعات یکی دیگر از حوزه‌های کلیدی است که سازمان‌ها باید روی آن تمرکز کنند.

به گفته گورنک، مدیر ارشد ZDI، مجرمان سایبری وقت خود را برای ادغام بدافزارها با سطوح حمله بزرگ در مجموعه ابزارهای باج‌افزار یا کیت‌های بهره‌برداری خود تلف نمی‌کنند و قبل از اینکه شرکت‌ها زمان لازم را برای اصلاح آن داشته باشند، به دنبال سلاح‌هایی هستند که به تازگی فاش شده‌اند. این باگ‌های به‌اصطلاح n-day برای مهاجمانی که به طور متوسط ​​می‌توانند یک باگ را در کمتر از 48 ساعت مهندسی معکوس کنند، بسیار مفید هستند.

گورنک گفت: «در بیشتر موارد، جامعه تهاجمی از آسیب‌پذیری‌های روز n استفاده می‌کند که دارای وصله‌های عمومی در دسترس هستند. "برای ما مهم است که در هنگام افشا متوجه شویم که آیا یک باگ واقعاً به سلاح تبدیل می شود یا خیر، اما اکثر فروشندگان اطلاعاتی در مورد قابلیت بهره برداری ارائه نمی دهند."

بنابراین، ارزیابی ریسک سازمانی باید به اندازه کافی پویا باشد تا بتواند پس از افشای اطلاعات را تغییر دهد، و تیم‌های امنیتی باید منابع اطلاعاتی تهدید را زیر نظر بگیرند تا بفهمند چه زمانی یک باگ در یک کیت بهره‌برداری یا باج‌افزار ادغام می‌شود یا زمانی که یک سوءاستفاده آنلاین منتشر می‌شود.

علاوه بر آن، یک جدول زمانی مهم برای شرکت‌ها این است که چقدر طول می‌کشد تا یک پچ در سراسر سازمان منتشر شود و آیا منابع اضطراری وجود دارد که می‌توان در صورت لزوم از آنها استفاده کرد.

گورنک توضیح می‌دهد: «زمانی که تغییراتی در چشم‌انداز تهدید رخ می‌دهد (بازبینی اصلاحیه‌ها، اثبات مفاهیم عمومی و انتشار اکسپلویت)، شرکت‌ها باید منابع خود را برای رفع نیاز و مبارزه با آخرین خطرات تغییر دهند. «نه فقط آخرین آسیب‌پذیری منتشر شده و نام‌گذاری شده. به آنچه در چشم انداز تهدید می گذرد توجه کنید، منابع خود را جهت دهی کنید و تصمیم بگیرید که چه زمانی اقدام کنید.