CVSS不會告訴你漏洞是否存在于15個系統或1500萬個系統
美國拉斯維加斯-黑帽大會消息,跟上安全漏洞修補的步伐是具有挑戰性的,由于缺乏上下文的CVSS分數、混亂的供應商建議和不完整的修復,確定優先關注哪些漏洞變得比以往任何時候都更加困難。讓幾乎成為管理員產生虛假的安全感的主要根源。在8月11日黑帽大會上,趨勢科技零日倡議(ZDI)的Brian Gorenc和Dustin Childs在他們題為《Calculating Risk in the Era of Obscurity: Reading Between the Lines of Security Advisories》(暗黑時代的風險度量-在安全公告的字里行間捕獲信息)的演講中,拋出了他們的上述觀點。
自2005年以來,ZDI已向整個行業的供應商披露了10,000多個漏洞。在此期間,ZDI客戶關系經理Childs表示,他注意到一個令人不安的趨勢,即補丁質量下降和圍繞安全更新的溝通減少。
“真正的問題出現在供應商發布了有缺陷的補丁,或者關于這些補丁的不準確和不完整的信息可能導致企業錯誤估計其風險,”他指出。“有缺陷的補丁也可以成為漏洞利用者的福音,因為‘N-days’比0-day更容易利用。
CVSS分數和補丁優先級的問題
大多數網絡安全團隊人手不足且面臨壓力,“始終保持所有軟件版本最新”的口號對于那些根本沒有資源全面覆蓋的部門并不總是有意義的。這就是為什么根據通用漏洞嚴重程度量表(CVSS)中的嚴重等級來優先應用哪些補丁已成為許多管理員的后備方案。
然而,Childs指出,這種方法存在嚴重缺陷,可能導致資源被花費在不太可能被利用的漏洞上。這是因為CVSS分數沒有提供有價值的關鍵信息。
“很多時候,企業只關注CVSS基礎核心來確定修補優先級,”他說。“但是CVSS并沒有真正關注可利用性,或者漏洞是否可能在野外被使用。CVSS不會告訴你漏洞是否存在于15個系統或1500萬個系統中。它不會告訴你它是否在可公開訪問的服務器中。”
他補充說:“最重要的是,它并沒有說明這個漏洞是否存在于對您的特定企業至關重要的系統中。”
因此,即使一個錯誤在CVSS量表上的關鍵評級為10 分(滿分10 分),它的真正影響可能遠沒有關鍵標簽所表明的那么令人擔憂。
“像Microsoft Exchange這樣的電子郵件服務器中的未經身份驗證的遠程代碼執行(RCE)漏洞將引起漏洞利用編寫者的極大興趣,”他說。“像Squirrel Mail這樣的電子郵件服務器中的未經身份驗證的RCE漏洞可能不會引起那么多關注。”
為了填補上下文空白,安全團隊經常求助于供應商建議——Childs指出,這些建議有其自身的明顯問題:他們經常通過默默無聞來實踐安全。
補丁公告缺乏細節
比如,2021年,微軟決定從安全更新指南中刪除執行摘要,而是通知用戶CVSS分數足以確定優先級——Childs抨擊了這一變化。
“這種變化消除了確定風險所需的背景,”他說。“例如,信息泄露漏洞是否會轉儲隨機內存或PII?或者對于安全功能繞過,繞過了什么?這些文章中的信息不一致且質量參差不齊。”
除了微軟“刪除或隱藏用于產生清晰指導的更新中的信息”之外,現在確定基本的“補丁星期二”的信息也變得更加困難,例如每個月修補了多少漏洞。
“現在你必須 自己數,這實際上是我做的最困難的事情之一,”Childs指出。
此外,關于有多少漏洞受到主動攻擊,有多少公開已知的信息可用,這些現在都隱藏在公告中。
“例如,本月修補了121個CVE,很難挖掘所有這些CVE以找出哪些受到主動攻擊,”Childs說。“相反,人們現在依賴其他信息來源,如博客和新聞文章,而不是來自供應商的權威信息來幫助其確定風險。”
應該指出的是,微軟在這一變化上加倍下注。微軟安全響應中心的企業副總裁Aanchal Gupta在Black Hat USA 與Dark Reading的對話中表示,該公司有意識地決定限制其最初通過其CVE提供的信息以保護用戶。她說,雖然微軟CVE提供了有關漏洞嚴重性以及漏洞被利用的可能性(以及是否被積極利用)的信息,但如何發布漏洞利用信息,微軟將審慎做出決定。
Gupta說,目標是讓安全管理部門有足夠的時間來應用補丁而不危及他們。“如果在我們的CVE中,我們提供了如何利用漏洞的所有詳細信息,我們就會有嫌疑對客戶進行零日漏洞攻擊,”她說。
多數供應商CVE披露缺少細節
微軟并不是唯一一個在漏洞披露中提供少量細節的公司。Childs表示,許多供應商在發布更新時根本不提供CVE。
“他們只是說更新修復了幾個安全問題,”他解釋說。“有多少?嚴重程度如何?可利用性如何?我們最近甚至有供應商專門對我們說,我們不發布有關安全問題的公共咨詢。這是一個大膽的舉動。”
此外,一些供應商將建議置于付費墻或支持合同之后,進一步掩蓋了他們的風險。或者,他們將多個漏洞報告合并到一個CVE 中,盡管普遍認為CVE代表一個獨特的漏洞。
“這可能會導致你的風險計算出現偏差,”他說。“例如,如果您考慮購買一種產品,并且您看到10個CVE在一定時間內已被修補,您可能會得出這個新產品存在風險的一個結論。但是,如果您知道這10個CVE基于100多個漏洞報告,您可能會得出不同的結論。”
補丁幾乎成了安慰劑
除了披露問題之外,安全團隊還面臨補丁本身的問題。根據Childs的說法,“安慰劑補丁”是一種實際上沒有進行有效代碼更改的“修復”,這種情況并不少見。
“所以這個漏洞仍然存在并且可以被威脅行為者利用,除非現在他們已經被告知它,”他說。“這可能發生的原因有很多,但它確實發生了——漏洞非常好,我們修補了兩次。”
另外經常出現不完整的補丁;事實上,在ZDI程序中,研究人員分析的整整10%到20%的漏洞是補丁錯誤或補丁不完整的直接結果。
Childs使用了Adobe Reader中整數溢出問題的示例,該問題導致堆分配過小,當向其中寫入過多數據時會導致緩沖區溢出。
“我們希望Adobe能夠通過將任何超過某個點的值設置為錯誤來解決問題,”Childs說。“但這不是我們所看到的,在推出后的60分鐘內,出現了補丁繞過,他們不得不再次修補。重播不僅適用于電視節目。”
補丁優先級成了用戶的難題
在補丁優先級方面,有效的補丁管理和風險計算歸結為確定組織內的高價值軟件目標以及使用第三方資源來縮小對任何給定環境最重要的補丁的范圍。
然而,漏洞披露后的靈活性問題是組織關注的另一個關鍵領域。
ZDI高級主管Gorenc表示,網絡犯罪分子會立即將具有大型攻擊面的漏洞集成到他們的勒索軟件工具集或漏洞利用工具包中,希望在公司有時間修補之前將新披露的漏洞作為武器。這些所謂的n-day bug對攻擊者來說是更具吸引力,他們平均可以在短短48小時內對bug進行逆向工程。
“在大多數情況下,攻擊性社區正在使用具有可用公共補丁的N-day漏洞,”Gorenc說。“對于我們來說,在披露時了解漏洞是否真的會被武器化很重要,但大多數供應商并未提供有關可利用性的信息。”
因此,企業風險評估需要足夠動態以改變披露后的情況,安全團隊應監控威脅情報來源,以了解漏洞何時集成到漏洞利用工具包或勒索軟件中,或者漏洞何時在線發布。
除此之外,企業需要考慮的一個重要時間表是在整個組織中實際推出補丁需要多長時間,以及是否有必要時可以使用的緊急資源。
“當威脅形勢發生變化(補丁修訂、公開的概念驗證和漏洞利用發布)時,企業應該轉移資源以滿足需求并應對最新風險,”Gorenc解釋說。“不僅僅是最新公開和命名的漏洞。觀察威脅環境中正在發生的事情,定位你的資源,并決定何時采取行動。”
