یک مطالعه جدید در این هفته مطمئناً سؤالات بیشتری را برای تیمهای امنیتی سازمانی در مورد خردمندی تکیه بر امتیازات آسیبپذیری در پایگاه داده ملی آسیبپذیری (NVD) برای تصمیمگیری اولویتبندی وصله ایجاد میکند.
تجزیه و تحلیل توسط VulnCheck از 120 CVE با نمرات CVSS v3 مرتبط با آنها نشان می دهد که تقریباً 25,000 - یا حدود 20٪ - دو نمره شدت داشتند. یک امتیاز از NIST بود که NVD را حفظ می کند و دیگری از فروشنده محصول دارای باگ. در بسیاری از موارد، این دو امتیاز با هم تفاوت داشتند و تشخیص اینکه به کدام یک از آنها اعتماد کنند، برای تیم های امنیتی دشوار بود.
نرخ بالای درگیری
تقریباً 56 درصد یا 14,000 آسیبپذیری با دو نمره شدت دارای نمرات متناقضی بودند، به این معنی که امتیازی که توسط NIST اختصاص داده شده و امتیاز فروشنده مطابقت نداشت. در جایی که یک فروشنده ممکن است آسیب پذیری خاصی را با شدت متوسط ارزیابی کرده باشد، NIST ممکن است آن را شدید ارزیابی کرده باشد.
به عنوان یک مثال، VulnCheck به آن اشاره کرد CVE-2023-21557یک آسیب پذیری انکار سرویس در پروتکل دسترسی دایرکتوری سبک ویندوز (LDAP). مایکروسافت به این آسیبپذیری امتیاز «بالا» 7.5 در مقیاس 10 درجهای CVSS داده است. NIST آن را داد امتیاز 9.1 که آن را به یک آسیب پذیری "بحرانی" تبدیل می کند. VulnCheck گفت، اطلاعات مربوط به آسیبپذیری در NVD هیچ بینشی در مورد اینکه چرا امتیازها متفاوت است، ارائه نمیکند. پایگاه داده آسیب پذیری با نمونه های مشابه دیگر پر شده است.
آن نرخ درگیری بالا Jacob Baines، محقق آسیبپذیری در VulnCheck، میگوید که میتواند تلاشهای اصلاحی را برای سازمانهایی که در تیمهای مدیریت آسیبپذیری با منابع محدود هستند، به عقب براند. او میگوید: «یک سیستم مدیریت آسیبپذیری که به شدت به امتیازدهی CVSS متکی است، گاهی اوقات آسیبپذیریهایی را که حیاتی نیستند، اولویتبندی میکند». اولویتبندی آسیبپذیریهای اشتباه، حیاتیترین منبع تیمهای مدیریت آسیبپذیری یعنی زمان را هدر میدهد.»
محققان VulnCheck تفاوتهای دیگری را در نحوه ارائه اطلاعات خاص NIST و فروشندگان در مورد نقصهای پایگاه داده پیدا کردند. تصمیم گرفتند نگاه کنند برنامه نویسی متقاطع آسیبپذیریهای (XSS) و جعل درخواست متقابل (CSRF) در NVD.
تجزیه و تحلیل نشان داد که منبع اولیه - معمولاً NIST - 12,969 مورد از 120,000 CVE موجود در پایگاه داده را به عنوان یک آسیب پذیری XSS اختصاص داده است، در حالی که منابع ثانویه 2,091 بسیار کوچکتر را به عنوان XSS فهرست کرده اند. VulnCheck دریافت که منابع ثانویه احتمال کمتری دارند که نشان دهند یک نقص XSS برای بهره برداری به تعامل کاربر نیاز دارد. نمرات نقص CSRF تفاوت های مشابهی را نشان داد.
Baines می گوید: «آسیب پذیری های XSS و CSRF همیشه نیاز به تعامل کاربر دارند. "تعامل کاربر یک عنصر امتیازدهی CVSSv3 است و در بردار CVSSv3 وجود دارد." او میگوید که بررسی این که چقدر آسیبپذیریهای XSS و CSRF در NVD شامل این اطلاعات میشود، بینشی در مورد مقیاس اشتباهات امتیازدهی در پایگاه داده ارائه میدهد.
نمرات شدت به تنهایی جواب نمی دهد
نمرات شدت بر اساس مقیاس شدت آسیب پذیری مشترک (CVSS) به این منظور است که به تیم های وصله و مدیریت آسیب پذیری راهی ساده برای درک شدت آسیب پذیری نرم افزار بدهد. این به متخصص امنیت اطلاع می دهد که آیا یک نقص دارای خطر کم، متوسط یا شدید است، و اغلب زمینه ای را در مورد آسیب پذیری فراهم می کند که ممکن است فروشنده نرم افزار هنگام اختصاص CVE به باگ ارائه نکرده باشد.
سازمانهای متعددی از استاندارد CVSS هنگام تخصیص امتیازات شدت به آسیبپذیریهای محصولات خود استفاده میکنند و تیمهای امنیتی معمولاً از این امتیازها برای تصمیمگیری در مورد ترتیب اعمال وصلهها برای نرمافزارهای آسیبپذیر در محیط استفاده میکنند.
علیرغم محبوبیت آن، بسیاری قبلاً نسبت به تکیه بر امتیازات قابلیت اطمینان CVSS برای اولویت بندی پچ هشدار داده بودند. در یک جلسه Black Hat USA 2022، داستین چایلدز و برایان گورنک، هر دو از محققین Trend Micro's Zero Day Initiative (ZDI)، به مسائل متعددی اشاره کرد مانند فقدان اطلاعات در مورد قابلیت بهره برداری یک باگ، فراگیر بودن آن، و میزان دسترسی به آن برای حمله به عنوان دلایلی که نشان می دهد امتیازات CVSS به تنهایی کافی نیستند.
چایلدز به دارک ریدینگ گفت: «شرکتها منابع محدودی دارند، بنابراین معمولاً باید اولویتبندی کنند که کدام وصلهها را منتشر میکنند. با این حال، اگر آنها اطلاعات متناقضی دریافت کنند، می توانند منابعی را برای باگ هایی خرج کنند که بعید است هرگز مورد سوء استفاده قرار گیرند.
Childs خاطرنشان میکند که سازمانها اغلب به محصولات شخص ثالث تکیه میکنند تا به آنها کمک کنند آسیبپذیریها را اولویتبندی کنند و تصمیم بگیرند چه چیزی را ابتدا اصلاح کنند. اغلب، آنها تمایل دارند CVSS را از طرف فروشنده به جای منبع دیگری مانند NIST ترجیح دهند.
اما همیشه نمی توان به فروشندگان برای شفافیت در مورد ریسک واقعی اعتماد کرد. فروشندگان همیشه نمی دانند که محصولاتشان چگونه استقرار می یابد، که می تواند منجر به تفاوت در ریسک عملیاتی برای یک هدف شود.
Childs and Bains مدافع این هستند که سازمان ها باید اطلاعات منابع متعدد را هنگام تصمیم گیری در مورد اصلاح آسیب پذیری در نظر بگیرند. آنها همچنین باید عواملی را در نظر بگیرند، مانند اینکه آیا یک باگ دارای بهره برداری عمومی برای آن در طبیعت است یا اینکه آیا به طور فعال مورد سوء استفاده قرار می گیرد.
بینز می گوید: «برای اولویت بندی دقیق یک آسیب پذیری، سازمان ها باید بتوانند به سؤالات زیر پاسخ دهند. «آیا این آسیبپذیری بهرهبرداری عمومی دارد؟ آیا این آسیب پذیری در طبیعت مورد سوء استفاده قرار گرفته است؟ آیا این آسیب پذیری توسط باج افزار یا APT استفاده می شود؟ آیا این آسیبپذیری احتمالاً در معرض اینترنت است؟»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/discrepancies-discovered-in-vulnerability-severity-ratings