BLACK HAT USA – 라스베가스 – 보안 취약성 패치를 유지하는 것은 기껏해야 어려운 일이지만 컨텍스트가 부족한 CVSS 점수, 모호한 공급업체 조언 및 잘못된 보안 감각을 관리자에게 남겨주세요.
이것이 바로 Trend Micro의 ZDI(Zero Day Initiative)의 Brian Gorenc와 Dustin Childs가 세션 중에 Black Hat USA 무대에서 만든 주장입니다.모호한 시대의 위험 계산: 보안 권고의 경계 읽기. "
ZDI는 10,000년부터 업계의 공급업체에 2005개 이상의 취약점을 공개했습니다. 그 기간 동안 ZDI 커뮤니케이션 관리자인 Childs는 패치 품질이 떨어지고 보안 업데이트를 둘러싼 커뮤니케이션이 감소하는 불안한 추세를 발견했다고 말했습니다.
그는 "진짜 문제는 공급업체가 결함이 있는 패치를 출시하거나 해당 패치에 대한 부정확하고 불완전한 정보를 발표할 때 발생하여 기업이 위험을 잘못 계산하게 할 수 있습니다."라고 말했습니다. "'n-days'가 XNUMX-days보다 훨씬 사용하기 쉽기 때문에 결함이 있는 패치는 작성자를 악용하는 데 도움이 될 수 있습니다."
CVSS 점수 및 패치 우선 순위 문제
대부분의 사이버 보안 팀은 인력이 부족하고 압박을 받고 있으며 "항상 모든 소프트웨어 버전을 최신 상태로 유지"라는 구호가 해안가를 처리할 리소스가 없는 부서에게 항상 의미가 있는 것은 아닙니다. 그렇기 때문에 CVSS(Common Vulnerability Severity Scale)의 심각도 등급에 따라 적용할 패치의 우선 순위를 지정하는 것이 많은 관리자에게 대안이 되었습니다.
그러나 차일즈는 이 접근 방식에 심각한 결함이 있으며 악용될 가능성이 거의 없는 버그에 리소스가 사용될 수 있다고 지적했습니다. CVSS 점수가 제공하지 않는 중요한 정보가 많기 때문입니다.
"너무 자주 기업은 패치 우선 순위를 결정하기 위해 CVSS 기본 코어 이상을 보지 않습니다."라고 그는 말했습니다. “그러나 CVSS는 실제로 악용 가능성이나 취약점이 야생에서 사용될 가능성이 있는지 여부를 고려하지 않습니다. CVSS는 버그가 15개 시스템에 있는지 15만 개 시스템에 있는지 알려주지 않습니다. 공개적으로 액세스할 수 있는 서버에 있는지 여부도 표시되지 않습니다.”
그는 "그리고 가장 중요한 것은 특정 기업에 중요한 시스템에 버그가 있는지 여부를 알려주지 않습니다."라고 덧붙였습니다.
따라서 버그가 CVSS 척도에서 10점 만점에 10점의 비판적 등급을 가질 수 있다 하더라도 실제 영향은 중요한 라벨이 나타내는 것보다 훨씬 덜 우려할 수 있습니다.
그는 “Microsoft Exchange와 같은 이메일 서버의 인증되지 않은 원격 코드 실행(RCE) 버그는 익스플로잇 작성자로부터 많은 관심을 불러일으킬 것입니다.”라고 말했습니다. "Squirrel Mail과 같은 이메일 서버의 인증되지 않은 RCE 버그는 아마도 많은 관심을 끌지 못할 것입니다."
상황에 따른 격차를 메우기 위해 보안 팀은 종종 벤더 자문에 의존합니다. 차일즈는 이 조언에 눈에 띄는 문제가 있다고 말했습니다. 그들은 종종 모호함을 통해 보안을 실천합니다.
Microsoft 패치 화요일 권고 세부 정보 부족
2021년, 마이크로소프트는 결정을 내렸습니다. 요약을 제거하려면
보안 업데이트 가이드에서 대신 CVSS 점수가 우선 순위 지정에 충분할 것이라고 사용자에게 알립니다.
그는 "이 변화는 위험을 결정하는 데 필요한 컨텍스트를 제거합니다."라고 말했습니다. “예를 들어, 정보 공개 버그가 임의의 메모리 또는 PII를 덤프합니까? 또는 보안 기능 우회의 경우 우회되는 것은 무엇입니까? 이 글의 정보는 변화에 대한 거의 보편적인 비판에도 불구하고 일관성이 없고 품질이 다양합니다.”
Microsoft가 "명확한 지침을 제공하는 데 사용된 업데이트의 정보를 제거하거나 모호하게"하는 것 외에도 이제 매월 패치되는 버그 수와 같은 기본 패치 화요일 정보를 결정하는 것이 더 어려워졌습니다.
"이제 자신을 헤아려야 합니다. 실제로 제가 하는 가장 어려운 일 중 하나입니다."라고 차일즈는 말했습니다.
또한 공격을 받고 있거나 공개적으로 알려진 취약점의 수에 대한 정보는 여전히 사용할 수 있지만 지금은 게시판에 묻혀 있습니다.
"예를 들어, 이번 달에 121개의 CVE가 패치됩니다., 어떤 것이 적극적인 공격을 받고 있는지 찾기 위해 그들 모두를 파헤치는 것은 일종의 어려운 일입니다.”라고 차일즈가 말했습니다. "대신 사람들은 이제 위험을 결정하는 데 도움이 되는 공급업체의 신뢰할 수 있는 정보보다 블로그 및 언론 기사와 같은 다른 정보 소스에 의존합니다."
마이크로소프트가 주목해야 할 변경 사항을 두 배로 늘렸습니다.. Black Hat USA의 Dark Reading과의 대화에서 Microsoft 보안 대응 센터의 부사장인 Aanchal Gupta는 회사가 사용자를 보호하기 위해 CVE와 함께 초기에 제공하는 정보를 제한하기로 의식적으로 결정했다고 말했습니다. 그녀는 마이크로소프트 CVE가 버그의 심각도와 악용 가능성(적극적으로 악용되고 있는지 여부)에 대한 정보를 제공하지만 회사는 취약점 악용 정보를 공개하는 방법에 대해 신중할 것이라고 말했다.
굽타는 "목표는 보안 관리자에게 패치를 적용할 수 있는 충분한 시간을 제공하는 것"이라고 말했다. 그녀는 “CVE에서 취약점이 어떻게 악용될 수 있는지에 대한 모든 세부 정보를 제공하면 고객을 제로데이 대상으로 삼을 것”이라고 말했다.
다른 공급업체는 모호함을 실천합니다.
Microsoft는 버그 공개에 대한 세부 정보를 거의 제공하지 않습니다. 차일즈는 많은 공급업체가 업데이트를 출시할 때 CVE를 전혀 제공하지 않는다고 말했습니다.
"그들은 업데이트가 몇 가지 보안 문제를 해결한다고 말합니다."라고 그는 설명했습니다. "얼마나? 심각성은 무엇입니까? 악용 가능성은 무엇입니까? 우리는 최근에 특정 공급업체로부터 보안 문제에 대한 공개 권고를 게시하지 않는다고 구체적으로 말했습니다. 대담한 조치다.”
또한 일부 공급업체는 페이월 또는 지원 계약 뒤에 조언을 넣어 위험을 더욱 흐리게 합니다. 또는 CVE가 하나의 고유한 취약점을 나타낸다는 일반적인 인식에도 불구하고 여러 버그 보고서를 단일 CVE로 결합합니다.
"이는 위험 계산을 왜곡할 수 있습니다."라고 그는 말했습니다. “예를 들어, 제품 구매를 살펴보고 일정 기간 동안 패치가 적용된 10개의 CVE를 본다면 이 신제품의 위험에 대해 한 가지 결론을 내릴 수 있습니다. 그러나 이 10개의 CVE가 100개 이상의 버그 보고서를 기반으로 한다는 것을 알고 있다면 다른 결론에 도달할 수 있습니다.”
플라시보 패치 전염병 우선 순위
공개 문제 외에도 보안 팀은 패치 자체에도 문제가 있습니다. 실제로 코드를 변경하지 않는 "수정"인 "위약 패치"는 차일즈에 따르면 드문 일이 아닙니다.
"따라서 그 버그는 여전히 존재하며 위협 행위자가 이를 악용할 수 있습니다. 단, 지금은 알 수 없습니다."라고 그는 말했습니다. “이런 일이 일어날 수 있는 데에는 여러 가지 이유가 있습니다. 그러나 그것은 일어난다 – 버그가 너무 좋아서 두 번 패치합니다.”
불완전한 패치도 종종 있습니다. 사실, ZDI 프로그램에서 연구원들이 분석하는 버그의 전체 10%에서 20%는 결함이 있거나 불완전한 패치의 직접적인 결과입니다.
Childs는 Adobe Reader의 정수 오버플로 문제의 예를 사용하여 너무 많은 데이터가 기록될 때 버퍼 오버플로가 발생하는 힙 할당 크기가 작아졌습니다.
"우리는 Adobe가 특정 지점 이상의 값을 나쁘게 설정하여 문제를 해결할 것으로 예상했습니다."라고 차일드가 말했습니다. “하지만 우리가 본 것은 그게 아니었고 롤아웃 60분 이내에 패치 우회가 있었고 그들은 다시 패치를 해야 했습니다. 재방송은 TV 프로그램만을 위한 것이 아닙니다.”
패치 우선 순위 문제를 해결하는 방법
궁극적으로 패치 우선 순위 지정과 관련하여 효과적인 패치 관리 및 위험 계산은 조직 내에서 가치가 높은 소프트웨어 대상을 식별하고 타사 소스를 사용하여 주어진 환경에 가장 중요한 패치를 좁히는 것으로 귀결됩니다. 연구원들은 지적했습니다.
그러나 공개 후 민첩성 문제는 조직이 집중해야 하는 또 다른 핵심 영역입니다.
ZDI의 수석 이사인 Gorenc에 따르면 사이버 범죄자들은 회사가 패치를 적용하기 전에 새로 공개된 결함을 무기화하기 위해 공격 표면이 큰 취약점을 랜섬웨어 도구 세트 또는 익스플로잇 킷에 통합하는 데 시간을 낭비하지 않습니다. 이러한 소위 n-day 버그는 평균적으로 48시간 이내에 버그를 리버스 엔지니어링할 수 있는 공격자에게 캣닙입니다.
Gorenc는 "대부분 공격적인 커뮤니티는 공개 패치가 있는 n-day 취약점을 사용하고 있습니다. "버그가 실제로 무기화될 것인지 공개 시 이해하는 것이 중요하지만 대부분의 공급업체는 악용 가능성에 대한 정보를 제공하지 않습니다."
따라서 기업 위험 평가는 공개 후를 변경할 수 있을 만큼 충분히 역동적이어야 하며 보안 팀은 위협 인텔리전스 소스를 모니터링하여 버그가 언제 익스플로잇 킷이나 랜섬웨어에 통합되는지 또는 언제 익스플로잇이 온라인으로 공개되는지 파악해야 합니다.
이에 부수적으로 기업이 고려해야 할 중요한 일정은 실제로 조직 전체에 패치를 배포하는 데 걸리는 시간과 필요한 경우 감당할 수 있는 비상 리소스가 있는지 여부입니다.
Gorenc는 "위협 환경(패치 개정, 공개 개념 증명 및 익스플로잇 릴리스)에 변화가 발생하면 요구 사항을 충족하고 최신 위험에 대처하기 위해 리소스를 전환해야 합니다."라고 설명했습니다. “최근에 공개되고 명명된 취약점이 아닙니다. 위협 환경에서 무슨 일이 일어나고 있는지 관찰하고, 리소스의 방향을 잡고, 행동할 시기를 결정하십시오.”
