En ny undersøgelse i denne uge vil helt sikkert rejse flere spørgsmål til virksomhedssikkerhedsteams om visdommen i at stole på sårbarhedsscore i National Vulnerability Database (NVD) alene for at træffe beslutninger om patch-prioritering.
En analyse foretaget af VulnCheck af 120 CVE'er med CVSS v3-scorer forbundet med dem viser, at næsten 25,000 - eller omkring 20% - havde to sværhedsgrader. Den ene score var fra NIST, som vedligeholder NVD, og den anden fra leverandøren af produktet med fejlen. I mange tilfælde var disse to scoringer forskellige, hvilket gjorde det svært for sikkerhedsteams at vide, hvilke de skulle stole på.
Høj forekomst af konflikter
Cirka 56 %, eller 14,000, af sårbarhederne med to sværhedsgrader havde modstridende score, hvilket betyder, at den, der blev tildelt af NIST, og scoren fra leverandøren ikke stemte overens. Hvor en leverandør kunne have vurderet en bestemt sårbarhed til at være af moderat sværhedsgrad, kunne NIST have vurderet den som alvorlig.
Som et eksempel pegede VulnCheck på CVE-2023-21557, en denial-of-service-sårbarhed i Windows Lightweight Directory Access Protocol (LDAP). Microsoft tildelte sårbarheden en "høj" alvorlighedsgrad på 7.5 på 10-punkts CVSS-skalaen. NIST gav det en score på 9.1, hvilket gør det til en "kritisk" sårbarhed. Oplysninger om sårbarheden i NVD gav ingen indsigt i, hvorfor resultaterne var forskellige, sagde VulnCheck. Sårbarhedsdatabasen er spækket med adskillige andre lignende tilfælde.
Den høje konfliktrate kan sætte afhjælpningsindsatsen tilbage for organisationer, der er ressource-stroppet i sårbarhedsledelsesteams, siger Jacob Baines, sårbarhedsforsker hos VulnCheck. "Et sårbarhedsstyringssystem, der er stærkt afhængig af CVSS-scoring, vil nogle gange prioritere sårbarheder, der ikke er kritiske," siger han. "Prioritering af de forkerte sårbarheder vil spilde sårbarhedsstyringsteams mest kritiske ressource: tid."
VulnCheck-forskere fandt andre forskelle i den måde, NIST og leverandører inkluderede specifikke oplysninger om fejl i databasen. De besluttede at se på scripting på tværs af websteder (XSS) og cross-site request forgery (CSRF) sårbarheder i NVD.
Analysen viste, at den primære kilde - typisk NIST - tildelte 12,969 af de 120,000 CVE'er i databasen som en XSS-sårbarhed, mens sekundære kilder angav en meget mindre 2,091 som XSS. VulnCheck fandt ud af, at sekundære kilder var meget mindre tilbøjelige til at indikere, at en XSS-fejl kræver brugerinteraktion for at udnytte. CSRF-fejlscore viste lignende forskelle.
"XSS- og CSRF-sårbarheder kræver altid brugerinteraktion," siger Baines. "Brugerinteraktion er et pointelement i CVSSv3 og er til stede i CVSSv3-vektoren." Ved at undersøge, hvor ofte XSS- og CSRF-sårbarheder i NVD inkluderer den information, giver han indsigt i omfanget af scoringsfejl i databasen, siger han.
Alene Alvorlighedsscore Ikke svaret
Alvorlighedsscore baseret på Common Vulnerability Severity Scale (CVSS) er beregnet til at give patch- og sårbarhedshåndteringsteams en ligetil måde at forstå alvoren af en softwaresårbarhed. Det informerer den sikkerhedsprofessionelle om, hvorvidt en fejl udgør en lav, middel eller alvorlig risiko, og giver ofte kontekst omkring en sårbarhed, som softwareleverandøren måske ikke har givet, da den tildelte en CVE til fejlen.
Adskillige organisationer bruger CVSS-standarden, når de tildeler alvorlighedsscore til sårbarheder i deres produkter, og sikkerhedsteams bruger almindeligvis scorerne til at bestemme, i hvilken rækkefølge de anvender patches til sårbar software i miljøet.
På trods af dens popularitet har mange tidligere advaret mod udelukkende at stole på CVSS-pålidelighedsscore til patch-prioritering. I en Black Hat USA 2022-session, Dustin Childs og Brian Gorenc, begge forskere med Trend Micros Zero Day Initiative (ZDI), pegede på flere problemer som manglen på information omkring en fejls udnyttelighed, dens udbredelse, og hvor tilgængelig den kan være at angribe som årsager til, at CVSS-score alene ikke er nok.
"Virksomheder er ressourcebegrænsede, så de er typisk nødt til at prioritere, hvilke patches de ruller ud," fortalte Childs til Dark Reading. "Men hvis de får modstridende oplysninger, kan de ende med at bruge ressourcer på fejl, som det er usandsynligt, at de nogensinde vil blive udnyttet."
Organisationer er ofte afhængige af tredjepartsprodukter for at hjælpe dem med at prioritere sårbarheder og beslutte, hvad de skal reparere først, bemærker Childs. Ofte har de en tendens til at foretrække CVSS fra leverandøren frem for en anden kilde som NIST.
"Men leverandører kan ikke altid stole på, at de er gennemsigtige med hensyn til den reelle risiko. Leverandører forstår ikke altid, hvordan deres produkter implementeres, hvilket kan føre til forskelle i den operationelle risiko for et mål,” siger han.
Childs and Bains slår til lyd for, at organisationer bør overveje information fra flere kilder, når de træffer beslutninger om udbedring af sårbarhed. De bør også overveje faktorer, såsom om en insekt har en offentlig udnyttelse af den i naturen, eller om den bliver aktivt udnyttet.
"For præcist at prioritere en sårbarhed skal organisationer være i stand til at besvare følgende spørgsmål," siger Baines. "Har denne sårbarhed en offentlig udnyttelse? Er denne sårbarhed blevet udnyttet i naturen? Bruges denne sårbarhed af ransomware eller APT? Er denne sårbarhed sandsynligvis interneteksponeret?"
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/application-security/discrepancies-discovered-in-vulnerability-severity-ratings
