Écarts découverts dans les évaluations de gravité des vulnérabilités

Une nouvelle étude cette semaine soulèvera certainement plus de questions pour les équipes de sécurité des entreprises sur la sagesse de s'appuyer uniquement sur les scores de vulnérabilité de la base de données nationale sur les vulnérabilités (NVD) pour prendre des décisions de hiérarchisation des correctifs.

Une analyse par VulnCheck de 120 CVE avec des scores CVSS v3 associés montre que près de 25,000 20 – soit environ XNUMX% – avaient deux scores de gravité. Un score provenait du NIST, qui gère le NVD, et l'autre du fournisseur du produit avec le bogue. Dans de nombreux cas, ces deux scores différaient, ce qui rendait difficile pour les équipes de sécurité de savoir à qui faire confiance.

Taux élevé de conflits

Environ 56 %, soit 14,000 XNUMX, des vulnérabilités avec deux scores de gravité avaient des scores contradictoires, ce qui signifie que celui attribué par le NIST et le score du fournisseur ne correspondaient pas. Lorsqu'un fournisseur peut avoir évalué une vulnérabilité particulière comme étant de gravité modérée, le NIST peut l'avoir évaluée comme étant grave.

À titre d'exemple, VulnCheck a souligné CVE-2023-21557, une vulnérabilité de déni de service dans le protocole LDAP (Lightweight Directory Access Protocol) de Windows. Microsoft a attribué à la vulnérabilité une cote de gravité «élevée» de 7.5 sur l'échelle CVSS à 10 points. Le NIST l'a donné un score de 9.1, ce qui en fait une vulnérabilité « critique ». Les informations sur la vulnérabilité dans le NVD n'ont fourni aucune idée de la raison pour laquelle les scores différaient, a déclaré VulnCheck. La base de données de vulnérabilités est parsemée de nombreuses autres instances similaires.

Ce taux élevé de conflits peut retarder les efforts de remédiation pour les organisations qui manquent de ressources dans les équipes de gestion des vulnérabilités, déclare Jacob Baines, chercheur sur les vulnérabilités chez VulnCheck. « Un système de gestion des vulnérabilités qui s'appuie fortement sur la notation CVSS donnera parfois la priorité aux vulnérabilités qui ne sont pas critiques », dit-il. « Donner la priorité aux mauvaises vulnérabilités gaspillera la ressource la plus critique des équipes de gestion des vulnérabilités : le temps.

Les chercheurs de VulnCheck ont trouvé d'autres différences dans la façon dont le NIST et les fournisseurs ont inclus des informations spécifiques sur les failles de la base de données. Ils ont décidé de regarder script inter-site (XSS) et les vulnérabilités de falsification de requête intersite (CSRF) dans le NVD.

L'analyse a montré que la source principale - généralement le NIST - a attribué 12,969 120,000 des 2,091 XNUMX CVE de la base de données comme une vulnérabilité XSS, tandis que les sources secondaires ont répertorié XNUMX XNUMX beaucoup plus petites comme XSS. VulnCheck a constaté que les sources secondaires étaient beaucoup moins susceptibles d'indiquer qu'une faille XSS nécessite une interaction de l'utilisateur pour être exploitée. Les scores de défaut CSRF ont montré des différences similaires.

"Les vulnérabilités XSS et CSRF nécessitent toujours une interaction de l'utilisateur", déclare Baines. "L'interaction de l'utilisateur est un élément de notation de CVSSv3 et est présente dans le vecteur CVSSv3." L'examen de la fréquence à laquelle les vulnérabilités XSS et CSRF dans NVD incluent ces informations donne un aperçu de l'ampleur des erreurs de notation dans la base de données, dit-il.

Les scores de gravité seuls ne sont pas la réponse

Les scores de gravité basés sur l'échelle CVSS (Common Vulnerability Severity Scale) sont destinés à donner aux équipes de gestion des correctifs et des vulnérabilités un moyen simple de comprendre la gravité d'une vulnérabilité logicielle. Il informe le professionnel de la sécurité si une faille présente un risque faible, moyen ou grave, et fournit souvent un contexte autour d'une vulnérabilité que le fournisseur de logiciels n'a peut-être pas fourni lors de l'attribution d'un CVE au bogue.

De nombreuses organisations utilisent la norme CVSS pour attribuer des scores de gravité aux vulnérabilités de leurs produits, et les équipes de sécurité utilisent généralement les scores pour décider de l'ordre dans lequel elles appliquent les correctifs aux logiciels vulnérables dans l'environnement.

Malgré sa popularité, beaucoup ont déjà mis en garde contre le fait de se fier uniquement aux scores de fiabilité CVSS pour la hiérarchisation des correctifs. Lors d'une session Black Hat USA 2022, Dustin Childs et Brian Gorenc, tous deux chercheurs de la Zero Day Initiative (ZDI) de Trend Micro, a souligné plusieurs problèmes comme le manque d'informations sur l'exploitabilité d'un bogue, son omniprésence et son accessibilité à l'attaque comme raisons pour lesquelles les scores CVSS seuls ne suffisent pas.

"Les entreprises sont limitées en ressources, elles doivent donc généralement hiérarchiser les correctifs qu'elles déploient", a déclaré Childs à Dark Reading. "Cependant, s'ils obtiennent des informations contradictoires, ils peuvent finir par dépenser des ressources sur des bogues qui ne seront probablement jamais exploités."

Les organisations s'appuient souvent sur des produits tiers pour les aider à hiérarchiser les vulnérabilités et à décider quoi corriger en premier, note Childs. Souvent, ils ont tendance à privilégier le CVSS du fournisseur plutôt qu'une autre source comme le NIST.

« Mais on ne peut pas toujours compter sur les fournisseurs pour être transparents sur le risque réel. Les fournisseurs ne comprennent pas toujours comment leurs produits sont déployés, ce qui peut entraîner des différences dans le risque opérationnel pour une cible », dit-il.

Childs et Bains préconisent que les organisations doivent tenir compte des informations provenant de plusieurs sources lorsqu'elles prennent des décisions concernant la correction des vulnérabilités. Ils doivent également tenir compte de facteurs tels que si un bogue a un exploit public pour lui dans la nature ou s'il est activement exploité.

« Pour hiérarchiser avec précision une vulnérabilité, les organisations doivent être en mesure de répondre aux questions suivantes », déclare Baines. « Cette vulnérabilité a-t-elle un exploit public ? Cette vulnérabilité a-t-elle été exploitée à l'état sauvage ? Cette vulnérabilité est-elle utilisée par un rançongiciel ou APT ? Cette vulnérabilité est-elle susceptible d'être exposée sur Internet ? »

Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
La source: https://www.darkreading.com/application-security/discrepancies-discovered-in-vulnerability-severity-ratings

Intelligence de données générative

Divergences découvertes dans les cotes de gravité des vulnérabilités

Taux élevé de conflits

Les scores de gravité seuls ne sont pas la réponse

Le DOJ conteste la caractérisation par Roman Storm des opérations Tornado Cash dans un nouveau dossier

Top 5 des préventes de crypto : BDAG est en tête du peloton avec un potentiel de retour sur investissement de 30,000 XNUMX fois

Dernières informations

Forbes dévoile 20 « zombies » cryptographiques et déclare Ripple et XRP parmi les morts-vivants

La Consob, l'organisme de surveillance italien, interdit les sites Web supplémentaires de trading de devises et de crypto-monnaies – CryptoInfoNet

L'indicateur d'inflation de la Fed se réchauffe et les baisses de taux sont suspendues alors que le Bitcoin et les actions glissent

Explorez les 6 meilleurs cryptos pour 2024 : BlockDAG est en tête avec un potentiel de retour sur investissement sans précédent

L'ETF spot Ethereum de Franklin Templeton coté à la DTCC

Bain de sang Bitcoin : un analyste de crypto-monnaie repère une « croix de la mort » après une baisse de prix de 8 %

Discutez avec nous