Um novo estudo desta semana certamente levantará mais questões para as equipes de segurança corporativa sobre a sabedoria de confiar apenas nas pontuações de vulnerabilidade do National Vulnerability Database (NVD) para tomar decisões de priorização de patches.
Uma análise da VulnCheck de 120 CVEs com pontuações CVSS v3 associadas a eles mostra que quase 25,000 - ou cerca de 20% - tinham duas pontuações de gravidade. Uma pontuação foi do NIST, que mantém o NVD, e a outra do fornecedor do produto com o bug. Em muitos casos, essas duas pontuações diferiam, tornando difícil para as equipes de segurança saber em quem confiar.
Alta taxa de conflito
Aproximadamente 56%, ou 14,000, das vulnerabilidades com duas pontuações de gravidade tiveram pontuações conflitantes, significando que a atribuída pelo NIST e a pontuação do fornecedor não correspondiam. Onde um fornecedor pode ter avaliado uma vulnerabilidade específica como de gravidade moderada, o NIST pode tê-la avaliado como grave.
Como um exemplo, VulnCheck apontou para CVE-2023-21557, uma vulnerabilidade de negação de serviço no Windows Lightweight Directory Access Protocol (LDAP). A Microsoft atribuiu à vulnerabilidade uma classificação de gravidade “alta” de 7.5 na escala CVSS de 10 pontos. NIST deu uma pontuação de 9.1, tornando-a uma vulnerabilidade “crítica”. As informações sobre a vulnerabilidade no NVD não forneceram informações sobre por que as pontuações diferiram, disse VulnCheck. O banco de dados de vulnerabilidades é repleto de várias outras instâncias semelhantes.
Essa alta taxa de conflito pode atrasar os esforços de correção para organizações com poucos recursos em equipes de gerenciamento de vulnerabilidades, diz Jacob Baines, pesquisador de vulnerabilidades da VulnCheck. “Um sistema de gerenciamento de vulnerabilidades que depende muito da pontuação CVSS às vezes prioriza vulnerabilidades que não são críticas”, diz ele. “Priorizar as vulnerabilidades erradas desperdiçará o recurso mais crítico das equipes de gerenciamento de vulnerabilidades: o tempo.”
Os pesquisadores do VulnCheck encontraram outras diferenças na forma como o NIST e os fornecedores incluíam informações específicas sobre falhas no banco de dados. Eles decidiram olhar para scripts entre sites (XSS) e vulnerabilidades de falsificação de solicitação entre sites (CSRF) no NVD.
A análise mostrou que a fonte primária – normalmente NIST – atribuiu 12,969 dos 120,000 CVEs no banco de dados como uma vulnerabilidade XSS, enquanto fontes secundárias listaram 2,091 muito menores como XSS. O VulnCheck descobriu que fontes secundárias eram muito menos propensas a indicar que uma falha XSS requer interação do usuário para ser explorada. Os escores de falhas do CSRF mostraram diferenças semelhantes.
“As vulnerabilidades XSS e CSRF sempre exigem interação do usuário”, diz Baines. “A interação do usuário é um elemento de pontuação do CVSSv3 e está presente no vetor CVSSv3.” Examinar com que frequência as vulnerabilidades de XSS e CSRF no NVD incluem informações que fornecem informações sobre a escala de erros de pontuação no banco de dados, diz ele.
Pontuações de gravidade sozinhas não são a resposta
As pontuações de gravidade com base na Common Vulnerability Severity Scale (CVSS) destinam-se a fornecer às equipes de correção e gerenciamento de vulnerabilidade uma maneira direta de entender a gravidade de uma vulnerabilidade de software. Ele informa ao profissional de segurança se uma falha apresenta um risco baixo, médio ou grave e geralmente fornece contexto sobre uma vulnerabilidade que o fornecedor do software pode não ter fornecido ao atribuir um CVE ao bug.
Várias organizações usam o padrão CVSS ao atribuir pontuações de severidade a vulnerabilidades em seus produtos, e as equipes de segurança geralmente usam as pontuações para decidir a ordem em que aplicam patches a softwares vulneráveis no ambiente.
Apesar de sua popularidade, muitos já alertaram contra confiar apenas nas pontuações de confiabilidade do CVSS para priorização de patches. Em uma sessão da Black Hat USA 2022, Dustin Childs e Brian Gorenc, ambos pesquisadores da Zero Day Initiative (ZDI) da Trend Micro, apontou vários problemas como a falta de informações sobre a capacidade de exploração de um bug, sua difusão e quão acessível ele pode ser para atacar como razões pelas quais as pontuações do CVSS por si só não são suficientes.
“As empresas têm recursos limitados, portanto, normalmente precisam priorizar quais patches implementam”, disse Childs ao Dark Reading. “No entanto, se eles obtiverem informações conflitantes, podem acabar gastando recursos em bugs que dificilmente serão explorados.”
As organizações geralmente dependem de produtos de terceiros para ajudá-los a priorizar as vulnerabilidades e decidir o que corrigir primeiro, observa Childs. Freqüentemente, eles tendem a dar preferência ao CVSS do fornecedor em vez de outra fonte como o NIST.
“Mas nem sempre se pode confiar que os fornecedores sejam transparentes sobre o risco real. Os fornecedores nem sempre entendem como seus produtos são implantados, o que pode levar a diferenças no risco operacional de um alvo”, diz ele.
Childs e Bains defendem que as organizações devem considerar informações de várias fontes ao tomar decisões sobre a correção de vulnerabilidades. Eles também devem considerar fatores como se um bug tem uma exploração pública para ele na natureza ou se está sendo explorado ativamente.
“Para priorizar com precisão uma vulnerabilidade, as organizações precisam ser capazes de responder às seguintes perguntas”, diz Baines. “Essa vulnerabilidade tem uma exploração pública? Essa vulnerabilidade foi explorada na natureza? Esta vulnerabilidade está sendo usada por ransomware ou APT? É provável que essa vulnerabilidade seja exposta na Internet?”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://www.darkreading.com/application-security/discrepancies-discovered-in-vulnerability-severity-ratings
- 000
- 1
- 2022
- 7
- 9
- a
- Capaz
- Sobre
- Acesso
- Protocolo de acesso
- acessível
- exatamente
- ativamente
- advogado
- contra
- sozinho
- sempre
- análise
- e
- Outro
- responder
- Aplicar
- APT
- por aí
- avaliado
- atribuído
- associado
- ataque
- em caminho duplo
- baseado
- ser
- Preto
- Black Hat
- Brian
- Bug
- erros
- casos
- comum
- geralmente
- conflito
- Conflitante
- Considerar
- contexto
- crítico
- cve
- Escuro
- Leitura escura
- banco de dados
- dia
- decidido
- decisões
- implantado
- DID
- diferenças
- descoberto
- esforços
- suficiente
- Empreendimento
- segurança empresarial
- empresas
- Meio Ambiente
- SEMPRE
- Examinando
- exemplo
- Explorar
- exploradas
- fatores
- Primeiro nome
- falha
- falhas
- seguinte
- encontrado
- da
- ter
- OFERTE
- Queijos duros
- chapéu
- fortemente
- ajudar
- Alta
- Como funciona o dobrador de carta de canal
- Contudo
- HTTPS
- in
- incluir
- incluído
- indicam
- INFORMAÇÕES
- Iniciativa
- introspecção
- interação
- IT
- Saber
- Falta
- conduzir
- leve
- Provável
- Listado
- olhar
- Baixo
- mantém
- fazer
- Fazendo
- de grupos
- muitos
- Match
- significado
- média
- Microsoft
- poder
- erros
- mais
- a maioria
- múltiplo
- Nacional
- você merece...
- Novo
- nist
- Notas
- numeroso
- ONE
- operacional
- ordem
- organizações
- Outros
- particular
- Remendo
- Patches
- Patching
- platão
- Inteligência de Dados Platão
- PlatãoData
- popularidade
- presente
- presentes
- anteriormente
- primário
- priorização
- Priorizar
- priorização
- Produto
- Produtos
- profissional
- protocolo
- fornecido
- fornece
- público
- Frequentes
- aumentar
- ransomware
- Taxa
- classificação
- avaliações
- Leitura
- reais
- razões
- confiabilidade
- solicitar
- requerer
- exige
- investigador
- pesquisadores
- recurso
- Recursos
- Risco
- Rolo
- Dito
- Escala
- marcar
- secundário
- segurança
- Sessão
- conjunto
- grave
- rede de apoio social
- Shows
- semelhante
- menor
- So
- Software
- alguns
- fonte
- Fontes
- específico
- Passar
- padrão
- franco
- Estudo
- tal
- .
- Target
- equipes
- A
- deles
- De terceiros
- esta semana
- tempo
- para
- transparente
- Trend
- Confiança
- tipicamente
- compreender
- Estados Unidos
- usar
- Utilizador
- fornecedor
- fornecedores
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- semana
- O Quê
- se
- qual
- enquanto
- Selvagem
- precisarão
- Windows
- sabedoria
- Errado
- XSS
- zefirnet
- zero
- Day Zero
