Zephyrnet Logosu

Yama Çılgınlığı: Satıcı Hata Önerileri Bozuldu, Çok Bozuldu

Tarih:

BLACK HAT USA – Las Vegas – Güvenlik açığı düzeltme ekine ayak uydurmak en iyi ihtimalle zorlayıcıdır, ancak içeriğe uygun olmayan CVSS puanları, çamurlu satıcı tavsiyeleri ve eksik düzeltmeler sayesinde hangi hatalara odaklanılacağına öncelik vermek her zamankinden daha zor hale geldi. yöneticilere yanlış bir güvenlik duygusu bırakın.

Her ikisi de Trend Micro'nun Zero Day Initiative (ZDI) üyesi olan Brian Gorenc ve Dustin Childs'ın seansları sırasında Black Hat USA sahnesinden yaptıkları iddia bu: “Belirsizlik Çağında Riski Hesaplamak: Güvenlik Tavsiyelerinin Satır Arasını Okumak".

ZDI, 10,000'ten bu yana sektördeki satıcılara 2005'den fazla güvenlik açığı açıkladı. Bu süre zarfında, ZDI iletişim yöneticisi Childs, yama kalitesinde bir düşüş ve güvenlik güncellemelerini çevreleyen iletişimlerde azalma gibi rahatsız edici bir eğilim fark ettiğini söyledi.

"Asıl sorun, satıcıların hatalı yamalar yayınladığında veya bu yamalar hakkında işletmelerin risklerini yanlış hesaplamalarına neden olabilecek yanlış ve eksik bilgiler yayınladığında ortaya çıkıyor" dedi. Hatalı yamalar, yazarları sömürmek için de bir nimet olabilir, çünkü 'n-günlerin' kullanımı sıfır-günlerden çok daha kolaydır."

CVSS Puanları ve Yama Önceliği Sorunu

Siber güvenlik ekiplerinin çoğu yetersiz personel ve baskı altındadır ve “tüm yazılım sürümlerini her zaman güncel tut” mantrası, kıyıyı kapsayacak kaynaklara sahip olmayan departmanlar için her zaman mantıklı değildir. Bu nedenle, Ortak Güvenlik Açığı Önem Ölçeği'nde (CVSS) önem derecelerine göre hangi yamaların uygulanacağına öncelik vermek birçok yönetici için bir geri dönüş haline geldi.

Ancak Childs, bu yaklaşımın derinden kusurlu olduğunu ve kaynakların hiç kullanılmaması muhtemel hatalara harcanmasına yol açabileceğini belirtti. Bunun nedeni, CVSS puanının sağlamadığı çok sayıda kritik bilgi olmasıdır.

"Çoğu zaman, işletmeler yama önceliğini belirlemek için CVSS temel çekirdeğinden başka bir yere bakmazlar" dedi. “Ancak CVSS, gerçekten sömürülebilirliğe veya bir güvenlik açığının vahşi ortamda kullanılıp kullanılmayacağına bakmıyor. CVSS, hatanın 15 sistemde mi yoksa 15 milyon sistemde mi olduğunu söylemez. Ve herkese açık sunucularda olup olmadığını söylemiyor.”

"Ve en önemlisi, özel girişiminiz için kritik olan bir sistemde hatanın bulunup bulunmadığını söylemiyor."

Bu nedenle, bir hata CVSS ölçeğinde 10 üzerinden 10 kritik bir derecelendirme taşısa bile, gerçek etkisi bu kritik etiketin gösterdiğinden çok daha az endişe verici olabilir.

"Microsoft Exchange gibi bir e-posta sunucusundaki kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) hatası, istismar yazarlarından çok fazla ilgi çekecek" dedi. "Squirrel Mail gibi bir e-posta sunucusundaki kimliği doğrulanmamış bir RCE hatası muhtemelen o kadar dikkat çekmeyecek."

Güvenlik ekipleri, bağlamsal boşlukları doldurmak için genellikle satıcı tavsiyelerine başvururlar - Childs'ın belirttiğine göre, kendi bariz sorunları vardır: Genellikle belirsizliğe dayalı güvenlik uygularlar.

Microsoft Yama Salı Önerileri Eksik Ayrıntılar

2021'de Microsoft kararını verdi yönetici özetlerini kaldırmak için
Güvenlik güncelleme kılavuzlarından, bunun yerine kullanıcıları CVSS puanlarının önceliklendirme için yeterli olacağı konusunda bilgilendirmek - Childs'ın patlattığı bir değişiklik.

"Değişiklik, riski belirlemek için gereken bağlamı ortadan kaldırıyor" dedi. “Örneğin, bir bilgi ifşa hatası rastgele bellek veya PII boşaltır mı? Veya bir güvenlik özelliği atlaması için, atlanan nedir? Bu yazılardaki bilgiler, değişikliğin neredeyse evrensel eleştirisine rağmen, tutarsız ve değişen kalitede. ”

Microsoft'un "önceden net rehberlik sağlayan güncellemelerdeki bilgileri kaldırma veya gizlemeye" ek olarak, her ay kaç hatanın yamalandığı gibi Salı Yaması ile ilgili temel bilgileri belirlemek de artık daha zor.

Childs, “Şimdi kendinizi saymanız gerekiyor ve bu aslında yaptığım en zor şeylerden biri” dedi.

Ayrıca, aktif saldırı altında olan veya kamuya açık olarak bilinen kaç güvenlik açığı olduğu bilgisi hala mevcut, ancak artık bültenlerde gömülü durumda.

“Örnek olarak, Bu ay 121 CVE yamalıChilds, "hangilerinin aktif saldırı altında olduğunu aramak için hepsini kazmak biraz zor" dedi. “Bunun yerine, insanlar artık riski belirlemeye yardımcı olmak için satıcıdan gelen güvenilir bilgiler yerine bloglar ve basın makaleleri gibi diğer bilgi kaynaklarına güveniyor.”

Unutulmamalıdır ki, Microsoft değişimi ikiye katladı. Microsoft'un Güvenlik Müdahale Merkezi'nin kurumsal başkan yardımcısı Aanchal Gupta, Black Hat USA'da Dark Reading ile yaptığı bir konuşmada, şirketin kullanıcıları korumak için başlangıçta sağladığı bilgileri CVE'leriyle sınırlamaya bilinçli olarak karar verdiğini söyledi. Microsoft CVE'ler, hatanın ciddiyeti ve istismar edilme olasılığı (ve aktif olarak istismar edilip edilmediği) hakkında bilgi sağlarken, şirketin güvenlik açığından yararlanma bilgilerini nasıl yayınladığı konusunda makul olacağını söyledi.

Gupta, amacın güvenlik yönetimlerine yamayı tehlikeye atmadan uygulamak için yeterli zaman vermek olduğunu söyledi. "CVE'mizde, güvenlik açıklarından nasıl yararlanılabileceğine dair tüm ayrıntıları sağladıysak, müşterilerimizi sıfır gün ediyor olacağız" dedi.

Diğer Satıcılar Belirsizlik Uygular

Microsoft, hata açıklamalarında yetersiz ayrıntı sağlama konusunda pek yalnız değil. Childs, birçok satıcının bir güncelleme yayınladıklarında hiç CVE sağlamadığını söyledi.

"Sadece güncellemenin birkaç güvenlik sorununu çözdüğünü söylüyorlar" diye açıkladı. "Kaç tane? Şiddet nedir? Sömürülebilirlik nedir? Hatta geçenlerde bir tedarikçimizin bize özellikle güvenlik sorunlarıyla ilgili halka açık tavsiyeler yayınlamıyoruz dediğini söyledik. Bu cesur bir hareket.”

Ek olarak, bazı satıcılar ödeme duvarlarının veya destek sözleşmelerinin arkasına tavsiyeler koyarak risklerini daha da gizler. Veya, bir CVE'nin tek bir benzersiz güvenlik açığını temsil ettiğine dair yaygın algıya rağmen, birden çok hata raporunu tek bir CVE'de birleştirirler.

“Bu, muhtemelen risk hesaplamanızı çarpıtmaya yol açar” dedi. “Örneğin, bir ürün satın almaya bakarsanız ve belirli bir süre içinde yamalanmış 10 CVE görürseniz, bu yeni ürünün riskine ilişkin bir sonuca varabilirsiniz. Ancak, bu 10 CVE'nin 100'den fazla hata raporuna dayandığını bilseydiniz, farklı bir sonuca varabilirsiniz."

Plasebo Yamaları Veba Önceliklendirmesi

İfşa sorununun ötesinde, güvenlik ekipleri de yamalar ile ilgili sorunlarla karşı karşıyadır. Childs'a göre, aslında hiçbir etkili kod değişikliği yapmayan "düzeltmeler" olan "plasebo yamaları" nadir değildir.

“Yani bu hata hala orada ve aktörleri tehdit etmek için kullanılabilir, ancak şimdi bilgilendirilmeleri dışında” dedi. “Bunun olmasının birçok nedeni var, ama oluyor – böcekler o kadar güzel ki onları iki kez yamalıyoruz.”

Ayrıca genellikle eksik olan yamalar da vardır; aslında, ZDI programında, araştırmacıların analiz ettiği hataların %10 ila %20'si, hatalı veya eksik bir yamanın doğrudan sonucudur.

Childs, Adobe Reader'da, çok fazla veri yazıldığında arabellek taşmasına neden olan küçük boyutlu yığın ayırmaya yol açan bir tamsayı taşması sorunu örneğini kullandı.

Childs, "Adobe'nin belirli bir noktanın üzerindeki herhangi bir değeri kötü olarak ayarlayarak düzeltmeyi yapmasını bekliyorduk" dedi. “Ancak gördüğümüz bu değildi ve kullanıma sunduktan sonraki 60 dakika içinde bir yama baypası oldu ve tekrar yama yapmak zorunda kaldılar. Tekrar gösterimler sadece TV şovları için değil.”

Yama Önceliklendirme Sorunlarıyla Nasıl Mücadele Edilir?

Sonuç olarak, yama önceliklendirmesi söz konusu olduğunda, etkili yama yönetimi ve risk hesaplaması, kuruluş içindeki yüksek değerli yazılım hedeflerini belirlemenin yanı sıra herhangi bir ortam için hangi yamaların en önemli olacağını daraltmak için üçüncü taraf kaynakları kullanmaya indirgenir. araştırmacılar kaydetti.

Ancak, ifşa sonrası çeviklik konusu, kuruluşların odaklanması gereken bir diğer önemli alandır.

ZDI Kıdemli Direktörü Gorenc'e göre siber suçlular, büyük saldırı yüzeylerine sahip güvenlik açıklarını fidye yazılımı araç setlerine veya istismar kitlerine entegre etmek için hiç vakit kaybetmeden yeni ifşa edilen kusurları şirketlerin düzeltmeye vakti olmadan önce silah haline getirmeye çalışıyor. Bu sözde n-day böcekleri, ortalama olarak bir hatayı 48 saat gibi kısa bir sürede tersine çevirebilen saldırganlar için kedi nanesi gibidir.

Gorenc, "Çoğunlukla saldırgan topluluk, herkese açık yamalar bulunan n-günlük güvenlik açıklarını kullanıyor" dedi. "Bir hatanın gerçekten silahlanıp silahlanmayacağını ifşa ederken anlamamız bizim için önemli, ancak çoğu satıcı istismar edilebilirlik hakkında bilgi vermiyor."

Bu nedenle, kurumsal risk değerlendirmelerinin, ifşa sonrası değişim için yeterince dinamik olması gerekir ve güvenlik ekipleri, bir hatanın bir istismar kitine veya fidye yazılımına ne zaman entegre edildiğini veya bir istismarın çevrimiçi olarak ne zaman yayınlandığını anlamak için tehdit istihbarat kaynaklarını izlemelidir.

Buna ek olarak, kuruluşların dikkate alması gereken önemli bir zaman çizelgesi, kuruluş genelinde bir yamanın gerçekten ne kadar süreceği ve gerektiğinde kullanılabilecek acil durum kaynaklarının bulunup bulunmadığıdır.

Gorenc, "Tehdit ortamında değişiklikler meydana geldiğinde (yama revizyonları, kamuya açık kavram kanıtları ve açıklardan yararlanma sürümleri), işletmeler ihtiyacı karşılamak ve en son risklerle mücadele etmek için kaynaklarını değiştirmelidir." “Yalnızca en son yayınlanan ve adlandırılmış güvenlik açığı değil. Tehdit ortamında neler olup bittiğini gözlemleyin, kaynaklarınızı yönlendirin ve ne zaman harekete geçeceğinize karar verin.”

spot_img

En Son İstihbarat

spot_img