Uusi tutkimus tällä viikolla herättää varmasti lisää kysymyksiä yritysten tietoturvatiimeille siitä, onko viisautta luottaa pelkästään National Vulnerability Database (NVD) -tietokannan haavoittuvuuspisteisiin tehtäessä korjaustiedostojen priorisointipäätöksiä.
VulnCheckin analyysi 120 CVE:stä, joihin liittyy CVSS v3 -pisteitä, osoittaa, että lähes 25,000 20:lla – tai noin XNUMX prosentilla – oli kaksi vakavuuspistettä. Yksi tulos oli NIST:ltä, joka ylläpitää NVD:tä, ja toinen virheen sisältävän tuotteen myyjältä. Monissa tapauksissa nämä kaksi pistettä poikkesivat toisistaan, joten turvatiimien oli vaikea tietää, mihin luottaa.
Korkea konfliktiaste
Noin 56 %:lla eli 14,000 XNUMX:lla haavoittuvuuksista, joilla on kaksi vakavuuspistettä, oli ristiriitaiset pisteet, mikä tarkoittaa, että NIST:n ja toimittajan antama pistemäärä eivät täsmänneet. Jos myyjä on saattanut arvioida tietyn haavoittuvuuden olevan kohtalaisen vakava, NIST on saattanut arvioida sen vakavaksi.
Yhtenä esimerkkinä VulnCheck viittasi CVE-2023-21557, Windows Lightweight Directory Access Protocol (LDAP) -protokollan palvelunestohaavoittuvuus. Microsoft antoi haavoittuvuuden vakavuusluokituksen "korkeaksi" 7.5 10 pisteen CVSS-asteikolla. NIST antoi sen pistemäärä 9.1, mikä tekee siitä "kriittisen" haavoittuvuuden. Tiedot NVD:n haavoittuvuudesta eivät antaneet tietoa siitä, miksi pisteet erosivat, VulnCheck sanoi. Haavoittuvuustietokanta on täynnä lukuisia muita vastaavia tapauksia.
Se korkea konfliktiaste voi hidastaa korjauspyrkimyksiä organisaatioille, joilla on resursseja haavoittuvuuden hallintaryhmissä, sanoo Jacob Baines, VulnCheckin haavoittuvuustutkija. "Haavoittuvuuksien hallintajärjestelmä, joka luottaa vahvasti CVSS-pisteytykseen, asettaa joskus etusijalle haavoittuvuudet, jotka eivät ole kriittisiä", hän sanoo. "Väärien haavoittuvuuksien priorisointi tuhlaa haavoittuvuuksien hallintatiimien kriittisintä resurssia: aikaa."
VulnCheck-tutkijat löysivät muita eroja tavassa, jolla NIST ja myyjät sisällyttivät erityisiä tietoja tietokannan puutteista. He päättivät katsoa sivustojenvälinen komentosarja (XSS) ja cross-site request forgery (CSRF) -haavoittuvuudet NVD:ssä.
Analyysi osoitti, että ensisijainen lähde - tyypillisesti NIST - määritti 12,969 120,000 tietokannan 2,091 XNUMX CVE:stä XSS-haavoittuvuudeksi, kun taas toissijaiset lähteet listasivat paljon pienemmän XNUMX XNUMX XSS:ksi. VulnCheck havaitsi, että toissijaiset lähteet osoittavat paljon epätodennäköisemmin, että XSS-virhe vaatii käyttäjän toimia hyödyntääkseen. CSRF-virhepisteet osoittivat samanlaisia eroja.
"XSS- ja CSRF-haavoittuvuudet vaativat aina käyttäjän vuorovaikutusta", Baines sanoo. "Käyttäjän vuorovaikutus on CVSSv3:n pisteytyselementti ja se on läsnä CVSSv3-vektorissa." Hän sanoo, että tarkasteltaessa, kuinka usein NVD:n XSS- ja CSRF-haavoittuvuudet sisältävät, että tiedot antavat käsityksen tietokannan pisteytysvirheiden laajuudesta.
Vakavuuspisteet yksin eivät ole vastaus
CVSS:n (Common Vulnerability Severity Scale) -järjestelmään perustuvat vakavuuspisteet on tarkoitettu antamaan korjaus- ja haavoittuvuuksien hallintatiimille suoraviivainen tapa ymmärtää ohjelmiston haavoittuvuuden vakavuus. Se ilmoittaa tietoturva-ammattilaiselle, onko virhe pieni, keskitaso tai vakava riski, ja usein tarjoaa kontekstin haavoittuvuuden ympärille, jota ohjelmistotoimittaja ei ehkä ole tarjonnut määrittäessään CVE:tä virheelle.
Useat organisaatiot käyttävät CVSS-standardia määrittäessään vakavuuspisteitä tuotteidensa haavoittuvuuksille, ja tietoturvatiimit käyttävät yleensä pisteitä päättääkseen järjestyksen, jossa ne asentavat korjaustiedostoja ympäristön haavoittuville ohjelmistoille.
Sen suosiosta huolimatta monet ovat aiemmin varoittaneet luottamasta pelkästään CVSS-luotettavuuspisteisiin korjaustiedoston priorisoinnissa. Black Hat USA 2022 -istunnossa Dustin Childs ja Brian Gorenc, molemmat Trend Micron Zero Day Initiativen (ZDI) tutkijat, viittasi useisiin ongelmiin Kuten virheen hyödynnettävyydestä, sen leviävyydestä ja siitä, kuinka helposti se voi olla hyökkäävä, syynä siihen, miksi CVSS-pisteet eivät yksin riitä.
"Yrityksillä on rajallisia resursseja, joten niiden on yleensä priorisoitava, mitkä korjaustiedostot ne julkaisevat", Childs kertoi Dark Readingille. "Jos he kuitenkin saavat ristiriitaista tietoa, he voivat päätyä käyttämään resursseja bugeihin, joita ei todennäköisesti koskaan hyödynnetä."
Organisaatiot luottavat usein kolmansien osapuolien tuotteisiin auttaakseen niitä priorisoimaan haavoittuvuudet ja päättämään, mitä korjata ensin, Childs huomauttaa. Usein he suosivat toimittajan CVSS:ää mieluummin kuin toisesta lähteestä, kuten NIST:stä.
"Mutta myyjät eivät aina voi luottaa siihen, että he ovat läpinäkyviä todellisen riskin suhteen. Myyjät eivät aina ymmärrä, miten heidän tuotteitaan käytetään, mikä voi johtaa eroihin kohteen operatiivisessa riskissä”, hän sanoo.
Childs ja Bains puoltavat, että organisaatioiden tulisi ottaa huomioon useista lähteistä saatuja tietoja tehdessään päätöksiä haavoittuvuuden korjaamisesta. Heidän tulee myös harkita tekijöitä, kuten sitä, onko bugilla julkinen hyväksikäyttö luonnossa vai käytetäänkö sitä aktiivisesti.
"Jotta haavoittuvuus priorisoidaan tarkasti, organisaatioiden on pystyttävä vastaamaan seuraaviin kysymyksiin", Baines sanoo. "Onko tällä haavoittuvuudella julkinen hyväksikäyttö? Onko tätä haavoittuvuutta hyödynnetty luonnossa? Käyttääkö kiristysohjelma tai APT tätä haavoittuvuutta? Onko tämä haavoittuvuus todennäköisesti Internetin alttiina?"
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/discrepancies-discovered-in-vulnerability-severity-ratings
