Güvenlik Açığı Önem Derecelerinde Bulunan Tutarsızlıklar

Bu hafta yapılacak yeni bir çalışma, yama önceliklendirme kararları verirken yalnızca Ulusal Güvenlik Açığı Veritabanındaki (NVD) güvenlik açığı puanlarına güvenmenin bilgeliği konusunda kurumsal güvenlik ekiplerine daha fazla soru soracağı kesin.

VulnCheck tarafından CVSS v120 puanları ile ilişkili 3 CVE'nin analizi, yaklaşık 25,000'inin - veya yaklaşık %20'sinin - iki şiddet puanına sahip olduğunu gösteriyor. Bir puan, NVD'nin bakımını yapan NIST'ten, diğeri ise hatayı içeren ürünün satıcısından alınmıştır. Çoğu durumda, bu iki puan farklıydı ve güvenlik ekiplerinin hangisine güveneceğini bilmesini zorlaştırıyordu.

Yüksek Çatışma Oranı

İki önem puanına sahip güvenlik açıklarının yaklaşık %56'sı veya 14,000'i çelişkili puanlara sahipti; bu, NIST tarafından atanan puanla satıcının puanının eşleşmediği anlamına gelir. Bir satıcının belirli bir güvenlik açığını orta önemde olarak değerlendirdiği durumlarda, NIST bunu ciddi olarak değerlendirmiş olabilir.

Bir örnek olarak, VulnCheck işaret etti CVE-2023-21557, Windows Basit Dizin Erişim Protokolü'ndeki (LDAP) bir hizmet reddi güvenlik açığı. Microsoft, güvenlik açığına 7.5 puanlık CVSS ölçeğinde "yüksek" önem derecesini 10 olarak atadı. NIST verdi 9.1 puan, onu "kritik" bir güvenlik açığı haline getiriyor. VulnCheck, NVD'deki güvenlik açığıyla ilgili bilgilerin puanların neden farklı olduğuna dair bir fikir vermediğini söyledi. Güvenlik açığı veritabanı, çok sayıda başka benzer durumla doludur.

Bu yüksek çatışma oranı VulnCheck'te güvenlik açığı araştırmacısı olan Jacob Baines, güvenlik açığı yönetimi ekiplerinde kaynakları kısıtlı olan kuruluşlar için düzeltme çabalarını geri alabilir, diyor. "CVSS puanlamasına büyük ölçüde dayanan bir güvenlik açığı yönetim sistemi, bazen kritik olmayan güvenlik açıklarına öncelik verir" diyor. "Yanlış güvenlik açıklarına öncelik vermek, güvenlik açığı yönetimi ekiplerinin en kritik kaynağı olan zamanı israf edecektir."

VulnCheck araştırmacıları, NIST ve satıcıların veritabanındaki kusurlar hakkında belirli bilgileri dahil etme biçiminde başka farklılıklar buldu. bakmaya karar verdiler siteler arası komut dosyası oluşturma NVD'deki (XSS) ve siteler arası istek sahteciliği (CSRF) güvenlik açıkları.

Analiz, birincil kaynağın - tipik olarak NIST - veritabanındaki 12,969 CVE'den 120,000'unu bir XSS güvenlik açığı olarak atadığını, ikincil kaynakların ise çok daha küçük bir 2,091'i XSS olarak listelediğini gösterdi. VulnCheck, ikincil kaynakların bir XSS kusurundan yararlanmak için kullanıcı etkileşimi gerektirdiğini belirtme olasılığının çok daha düşük olduğunu buldu. CSRF kusur puanları benzer farklılıklar gösterdi.

Baines, "XSS ve CSRF güvenlik açıkları her zaman kullanıcı etkileşimi gerektirir" diyor. "Kullanıcı etkileşimi, CVSSv3'ün puanlama unsurudur ve CVSSv3 vektöründe bulunur." NVD'deki XSS ve CSRF güvenlik açıklarının ne sıklıkta bu bilgileri içerdiğini incelemek, veritabanındaki puanlama hatalarının ölçeği hakkında bilgi sağlıyor, diyor.

Önem Derecesi Tek Başına Cevap Değildir

Ortak Güvenlik Açığı Önem Ölçeğine (CVSS) dayalı önem puanları, yama uygulama ve güvenlik açığı yönetimi ekiplerine bir yazılım güvenlik açığının önem derecesini anlamaları için basit bir yol sağlamayı amaçlamaktadır. Bir kusurun düşük, orta veya ciddi bir risk teşkil edip etmediğini güvenlik uzmanına bildirir ve genellikle yazılım satıcısının hataya bir CVE atarken sağlamamış olabileceği bir güvenlik açığı etrafında bağlam sağlar.

Çok sayıda kuruluş, ürünlerindeki güvenlik açıklarına önem dereceleri atarken CVSS standardını kullanır ve güvenlik ekipleri, ortamdaki savunmasız yazılımlara yamaları uygulama sırasına karar vermek için genellikle puanları kullanır.

Popülaritesine rağmen, birçoğu daha önce yama önceliklendirme için yalnızca CVSS güvenilirlik puanlarına güvenmeme konusunda uyarıda bulundu. Bir Black Hat USA 2022 oturumunda, her ikisi de Trend Micro'nun Zero Day Initiative (ZDI) araştırmacısı Dustin Childs ve Brian Gorenc, birden fazla konuya işaret etti CVSS puanlarının tek başına yeterli olmamasının nedenleri olarak, bir hatanın istismar edilebilirliği, yaygınlığı ve saldırmak için ne kadar erişilebilir olabileceği hakkındaki bilgi eksikliği gibi.

Childs, Dark Reading'e "Kuruluşların kaynakları kısıtlıdır, bu nedenle genellikle hangi yamaları kullanıma sunacaklarına öncelik vermeleri gerekir" dedi. "Ancak, çelişkili bilgiler alırlarsa, kötüye kullanılması pek mümkün olmayan hatalara kaynak harcamak zorunda kalabilirler."

Childs, kuruluşların güvenlik açıklarına öncelik vermelerine ve önce neyi yamalayacaklarına karar vermelerine yardımcı olması için genellikle üçüncü taraf ürünlerine güvendiğini belirtiyor. Çoğu zaman, NIST gibi başka bir kaynak yerine tedarikçiden gelen CVSS'yi tercih etme eğilimindedirler.

"Ancak satıcıların gerçek risk konusunda şeffaf olduklarına her zaman güvenilemez. Satıcılar, ürünlerinin nasıl konuşlandırıldığını her zaman anlamıyor, bu da bir hedefin operasyonel riskinde farklılıklara yol açabiliyor” diyor.

Childs ve Bains, kuruluşların güvenlik açığı giderme konusunda kararlar alırken birden çok kaynaktan gelen bilgileri dikkate alması gerektiğini savunuyor. Ayrıca, bir hatanın vahşi ortamda kamuya açık bir istismara sahip olup olmadığı veya aktif olarak istismar edilip edilmediği gibi faktörleri de dikkate almaları gerekir.

Baines, "Bir güvenlik açığını doğru bir şekilde önceliklendirmek için kuruluşların aşağıdaki soruları yanıtlayabilmesi gerekir" diyor. “Bu güvenlik açığının herkese açık bir istismarı var mı? Bu güvenlik açığı vahşi ortamda kullanıldı mı? Bu güvenlik açığı fidye yazılımı veya APT tarafından mı kullanılıyor? Bu güvenlik açığının İnternet'e açık olması muhtemel mi?"

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/application-security/discrepancies-discovered-in-vulnerability-severity-ratings