שיגעון תיקון: הודעות באגים של ספקים נשברו, אז אינטליגנציה נתונים של PlatoBlockchain שבורה. חיפוש אנכי. איי.

שיגעון תיקון: הודעות באגים של ספקים נשברו, כל כך שבורות

חותמת זמן: 12 באוגוסט 2022 4:18

BLACK HAT ארה"ב - לאס וגאס - שמירה על תיקון פגיעות אבטחה היא מאתגרת במקרה הטוב, אבל תעדוף באילו באגים להתמקד הפך לקשה יותר מאי פעם, הודות לציוני CVSS חסרי הקשר, ייעוץ ספק בוצי ותיקונים לא שלמים להשאיר את המנהלים עם תחושת ביטחון מזויפת.

זה הטיעון שבריאן גורנץ ודסטין צ'יילדס, שניהם עם יוזמת Zero Day של Trend Micro (ZDI), העלו מהבמה של Black Hat USA במהלך הפגישה שלהם, "חישוב סיכון בעידן הערפול: קריאה בין השורות של ייעוץ אבטחה".

ZDI חשף יותר מ-10,000 נקודות תורפה לספקים ברחבי התעשייה מאז 2005. במהלך הזמן הזה, מנהל התקשורת של ZDI Childs אמר שהוא הבחין במגמה מטרידה, שהיא ירידה באיכות התיקון והפחתת התקשורת סביב עדכוני האבטחה.

"הבעיה האמיתית מתעוררת כאשר ספקים משחררים תיקונים פגומים, או מידע לא מדויק ולא שלם על אותם תיקונים שעלולים לגרום לארגונים לחשב שגוי את הסיכון שלהם", ציין. "תיקונים פגומים יכולים להיות גם יתרון לניצול כותבים, מכיוון ש'n-ימים' הרבה יותר קל לשימוש מאשר אפס-ימים."

הבעיה עם ציוני CVSS ותעדוף תיקון

רוב צוותי אבטחת הסייבר אינם מאוישים ותחת לחץ, והמנטרה "לשמור תמיד על כל גרסאות התוכנה מעודכנות" לא תמיד הגיונית עבור מחלקות שפשוט אין להן את המשאבים לכסות את קו המים. זו הסיבה שתעדוף אילו תיקונים להחיל על פי דירוג החומרה שלהם בסולם חומרת הפגיעות הנפוצה (CVSS) הפך לסוג חוזר עבור מנהלי מערכת רבים.

צ'יילדס ציין, עם זאת, שגישה זו פגומה עמוקה, ויכולה להוביל להוצאת משאבים על באגים שסביר שלא ינוצלו אי פעם. זה בגלל שיש שלל מידע קריטי שציון ה-CVSS לא מספק.

"לעתים קרובות מדי, ארגונים אינם מסתכלים רחוק יותר מאשר הליבה הבסיסית של CVSS כדי לקבוע עדיפות לתיקון", אמר. "אבל ה-CVSS לא באמת בוחן את יכולת הניצול, או אם פגיעות צפויה לשמש בטבע. ה-CVSS לא אומר לך אם הבאג קיים ב-15 מערכות או ב-15 מיליון מערכות. וזה לא אומר אם זה בשרתים נגישים לציבור או לא."

הוא הוסיף, "והכי חשוב, זה לא אומר אם הבאג קיים או לא במערכת שהיא קריטית לארגון הספציפי שלך."

לפיכך, למרות שבאג עשוי לשאת דירוג קריטי של 10 מתוך 10 בסולם CVSS, ההשפעה האמיתית שלו עשויה להיות הרבה פחות מדאיגה ממה שתווית קריטית תצביע על כך.

"באג של ביצוע קוד מרחוק לא מאומת (RCE) בשרת דוא"ל כמו Microsoft Exchange הולך ליצור עניין רב מכותבי ניצול", אמר. "באג RCE לא מאומת בשרת דוא"ל כמו Squirrel Mail כנראה לא ייצור כל כך הרבה תשומת לב."

כדי להשלים את הפערים ההקשריים, צוותי אבטחה פונים לעתים קרובות לייעוץ של ספקים - אשר, ציין צ'יילדס, יש להם בעיה בולטת משלהם: לעתים קרובות הם מתרגלים אבטחה דרך ערפול.

Advisions של Microsoft Patch Tuesday חסרים פרטים

בשנת 2021, מיקרוסופט קיבלה את ההחלטה כדי להסיר סיכומי מנהלים
ממדריכי עדכוני אבטחה, במקום זאת ליידע את המשתמשים שציוני CVSS יספיקו לתעדוף - שינוי שצ'יילדס פוצץ.

"השינוי מסיר את ההקשר הדרוש כדי לקבוע סיכון", אמר. "לדוגמה, האם באג של גילוי מידע זורק זיכרון אקראי או PII? או עבור מעקף תכונת אבטחה, מה עוקף? המידע בכתבות אלה אינו עקבי ובאיכות משתנה, למרות ביקורת כמעט אוניברסלית על השינוי".

בנוסף ל-Microsoft "הסרה או טשטש מידע בעדכונים שנהגו לייצר הנחיות ברורות", גם כעת קשה יותר לקבוע מידע בסיסי של Patch Tuesday, כגון כמה באגים מתוקנים בכל חודש.

"עכשיו אתה צריך לספור את עצמך, וזה למעשה אחד הדברים הקשים ביותר שאני עושה", ציין צ'ילדס.

כמו כן, המידע על כמה נקודות תורפה נמצאות תחת תקיפה פעילה או ידועות בציבור עדיין זמין, אך קבור בבליטינים כעת.

"כדוגמה, עם 121 CVEs מתוקנים החודש, זה קצת קשה לחפור בכולם כדי לחפש מי מהם מותקפים פעילים", אמר צ'יילדס. "במקום זאת, אנשים מסתמכים כעת על מקורות מידע אחרים כמו בלוגים ומאמרי עיתונות, במקום מה שצריך להיות מידע סמכותי מהספק כדי לעזור לקבוע סיכונים."

יש לציין שמיקרוסופט הכפיל את השינוי. בשיחה עם Dark Reading ב-Black Hat USA, סגן נשיא החברה של מרכז התגובה האבטחה של מיקרוסופט, Aanchal Gupta, אמר שהחברה החליטה במודע להגביל את המידע שהיא מספקת בתחילה עם ה-CVEs שלה כדי להגן על המשתמשים. בעוד ש-CVE של מיקרוסופט מספקים מידע על חומרת הבאג, והסבירות לניצול (והאם הוא מנוצל באופן פעיל), החברה תהיה נבונה לגבי האופן שבו היא משחררת מידע על ניצול פגיעות, אמרה.

המטרה היא לתת למנהלי האבטחה מספיק זמן להחיל את התיקון מבלי לסכן אותם, אמר גופטה. "אם, ב-CVE שלנו, נספק את כל הפרטים על האופן שבו ניתן לנצל פגיעויות, נהיה אפס-יום ללקוחות שלנו", אמרה.

ספקים אחרים מתרגלים ערפול

מיקרוסופט כמעט ולא לבד במתן פרטים מועטים בגילויי באגים. צ'ילדס אמר שספקים רבים אינם מספקים CVEs כלל כשהם משחררים עדכון.

"הם רק אומרים שהעדכון מתקן כמה בעיות אבטחה", הסביר. "כמה? מה החומרה? מה יכולת הניצול? אפילו היה לנו מוכר לאחרונה שאמר לנו ספציפית, אנחנו לא מפרסמים הודעות ציבוריות בנושאי אבטחה. זה מהלך נועז".

בנוסף, חלק מהספקים שמים ייעוץ מאחורי חומות תשלום או חוזי תמיכה, ומטשטשים עוד יותר את הסיכון שלהם. לחלופין, הם משלבים דיווחי באגים מרובים ל-CVE אחד, למרות התפיסה הרווחת ש-CVE מייצג פגיעות ייחודית אחת.

"זה מוביל אולי להטיית חישוב הסיכון שלך", אמר. "לדוגמה, אם אתה מסתכל על קניית מוצר, ותראה 10 CVEs שתוקנו בפרק זמן מסוים, אתה עשוי להגיע למסקנה אחת לגבי הסיכון מהמוצר החדש הזה. עם זאת, אם ידעת ש-10 CVEs אלה מבוססים על 100+ דוחות באגים, אולי תגיע למסקנה אחרת."

תיקוני פלצבו תעדוף מגיפה

מעבר לבעיית החשיפה, צוותי האבטחה מתמודדים גם עם בעיות עם התיקונים עצמם. "תיקוני פלייסבו", שהם "תיקונים" שלמעשה אינם מבצעים שינויי קוד יעילים, אינם נדירים, על פי צ'ילדס.

"אז הבאג הזה עדיין קיים וניתן לניצול לשחקנים מאיימים, אלא שעכשיו הודיעו להם על זה", אמר. "יש הרבה סיבות למה זה יכול לקרות, אבל זה קורה - באגים כל כך נחמדים שאנחנו מתקינים אותם פעמיים."

לעתים קרובות יש גם טלאים שאינם שלמים; למעשה, בתוכנית ZDI, 10% עד 20% מלאים מחוקרי הבאגים מנתחים הם תוצאה ישירה של תיקון פגום או לא שלם.

Childs השתמש בדוגמה של בעיית הצפת מספרים שלמים ב-Adobe Reader המובילה להקצאת ערימה קטנה, מה שגורם להצפת מאגר כאשר יותר מדי נתונים נכתבים אליו.

"ציפינו שאדובי תבצע את התיקון על ידי הגדרת כל ערך מעל נקודה מסוימת להיות רע", אמר צ'ילדס. "אבל זה לא מה שראינו, ותוך 60 דקות מההפצה, היה מעקף של תיקון והם נאלצו לתקן שוב. שידורים חוזרים הם לא רק לתוכניות טלוויזיה".

כיצד להילחם בבעיות תעדוף תיקון

בסופו של דבר כאשר מדובר על סדר עדיפויות של תיקונים, ניהול תיקונים יעיל וחישוב סיכונים מסתכם בזיהוי יעדי תוכנה בעלי ערך גבוה בתוך הארגון, כמו גם שימוש במקורות צד שלישי כדי לצמצם אילו תיקונים יהיו החשובים ביותר עבור כל סביבה נתונה, ציינו חוקרים.

עם זאת, סוגיית הזריזות שלאחר החשיפה היא תחום מפתח נוסף לארגונים להתמקד בו.

לדברי Gorenc, מנהל בכיר ב-ZDI, פושעי סייבר לא מבזבזים זמן בשילוב פגיעות עם משטחי תקיפה גדולים לתוך ערכות הכלים של תוכנות הכופר או ערכות הניצול שלהם, ומחפשים לנשק את הפגמים החדשים שנחשפו לפני שהחברות יספיקו לתקן. הבאגים הנקראים n-day אלה הם תוקפים, שבממוצע יכולים לבצע הנדסה לאחור של באג תוך 48 שעות בלבד.

"לרוב, הקהילה ההתקפית משתמשת בפגיעויות של n-ימים שיש להם תיקונים ציבוריים זמינים", אמר גורנץ. "חשוב לנו להבין בעת ​​החשיפה אם באג באמת הולך להיות נשק, אבל רוב הספקים לא מספקים מידע לגבי יכולת הניצול".

לפיכך, הערכות סיכונים ארגוניות צריכות להיות דינמיות מספיק כדי לשנות לאחר החשיפה, וצוותי אבטחה צריכים לפקח על מקורות מודיעין איומים כדי להבין מתי באג משולב בערכת ניצול או תוכנת כופר, או מתי ניצול משוחרר באינטרנט.

נלווה לכך, ציר זמן חשוב שארגונים צריכים לשקול הוא כמה זמן לוקח בפועל להפעיל תיקון ברחבי הארגון, והאם יש משאבי חירום שניתן ליישם במידת הצורך.

"כאשר מתרחשים שינויים בנוף האיומים (תיקונים של תיקונים, הוכחה ציבורית למושגים והפצות ניצול), ארגונים צריכים להעביר את המשאבים שלהם כדי לענות על הצורך ולהילחם בסיכונים האחרונים", הסביר גורנץ. "לא רק הפגיעות האחרונה שפורסמה ונקראת בשם. התבונן במתרחש בנוף האיומים, כוון את המשאבים שלך והחליט מתי לפעול".

בול זמן:

עוד מ קריאה אפלה