इस सप्ताह एक नया अध्ययन निश्चित रूप से एंटरप्राइज़ सुरक्षा टीमों के लिए पैच प्राथमिकता निर्णय लेने के लिए अकेले राष्ट्रीय भेद्यता डेटाबेस (एनवीडी) में भेद्यता स्कोर पर भरोसा करने की बुद्धिमत्ता पर अधिक प्रश्न उठाएगा।
VulnCheck द्वारा 120 CVE के साथ जुड़े CVSS v3 स्कोर के विश्लेषण से पता चलता है कि लगभग 25,000 - या लगभग 20% - में दो गंभीरता स्कोर थे। एक स्कोर एनआईएसटी से था, जो एनवीडी को बनाए रखता है, और दूसरा बग वाले उत्पाद के विक्रेता से था। कई मामलों में, ये दोनों स्कोर अलग-अलग थे, जिससे सुरक्षा टीमों के लिए यह जानना कठिन हो गया कि किस पर भरोसा किया जाए।
संघर्ष की उच्च दर
दो गंभीरता स्कोर वाली कमजोरियों में से लगभग 56% या 14,000 में परस्पर विरोधी स्कोर थे, जिसका अर्थ है कि एनआईएसटी द्वारा निर्दिष्ट स्कोर और विक्रेता से प्राप्त स्कोर मेल नहीं खाते थे। जहां एक विक्रेता ने किसी विशेष भेद्यता का मूल्यांकन मध्यम गंभीरता के रूप में किया होगा, वहीं एनआईएसटी ने इसे गंभीर के रूप में मूल्यांकन किया होगा।
एक उदाहरण के रूप में, VulnCheck ने बताया CVE-2023-21557, विंडोज़ लाइटवेट डायरेक्ट्री एक्सेस प्रोटोकॉल (एलडीएपी) में सेवा से इनकार की भेद्यता। Microsoft ने भेद्यता को 7.5-बिंदु CVSS पैमाने पर 10 की "उच्च" गंभीरता रेटिंग दी है। एनआईएसटी ने इसे दिया 9.1 का स्कोर, जो इसे "गंभीर" भेद्यता बनाता है। VulnCheck ने कहा कि NVD में भेद्यता की जानकारी से इस बात की कोई जानकारी नहीं मिली कि स्कोर अलग-अलग क्यों हैं। भेद्यता डेटाबेस कई अन्य समान उदाहरणों से भरा हुआ है।
वह उच्च संघर्ष दर VulnCheck के भेद्यता शोधकर्ता जैकब बेन्स का कहना है कि यह उन संगठनों के लिए सुधार के प्रयासों को झटका दे सकता है जो भेद्यता प्रबंधन टीमों में संसाधनों की कमी से जूझ रहे हैं। "एक भेद्यता प्रबंधन प्रणाली जो सीवीएसएस स्कोरिंग पर बहुत अधिक निर्भर करती है, कभी-कभी उन कमजोरियों को प्राथमिकता देगी जो महत्वपूर्ण नहीं हैं," वे कहते हैं। "गलत कमजोरियों को प्राथमिकता देने से भेद्यता प्रबंधन टीमों का सबसे महत्वपूर्ण संसाधन: समय बर्बाद हो जाएगा।"
VulnCheck शोधकर्ताओं ने NIST और विक्रेताओं द्वारा डेटाबेस में खामियों के बारे में विशिष्ट जानकारी शामिल करने के तरीके में अन्य अंतर पाया। उन्होंने देखने का फैसला किया क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस) और एनवीडी में क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ) कमजोरियां।
विश्लेषण से पता चला कि प्राथमिक स्रोत - आमतौर पर एनआईएसटी - ने डेटाबेस में 12,969 सीवीई में से 120,000 को एक्सएसएस भेद्यता के रूप में निर्दिष्ट किया, जबकि द्वितीयक स्रोतों ने बहुत छोटे 2,091 को एक्सएसएस के रूप में सूचीबद्ध किया। VulnCheck ने पाया कि द्वितीयक स्रोतों से यह संकेत मिलने की संभावना बहुत कम थी कि XSS दोष का फायदा उठाने के लिए उपयोगकर्ता की सहभागिता की आवश्यकता होती है। सीएसआरएफ दोष स्कोर ने समान अंतर दिखाया।
बैन्स कहते हैं, "XSS और CSRF कमजोरियों के लिए हमेशा उपयोगकर्ता सहभागिता की आवश्यकता होती है।" "उपयोगकर्ता इंटरैक्शन CVSSv3 का एक स्कोरिंग तत्व है और CVSSv3 वेक्टर में मौजूद है।" उनका कहना है कि एनवीडी में एक्सएसएस और सीएसआरएफ की कमजोरियां कितनी बार शामिल हैं, इसकी जांच करते हुए जानकारी डेटाबेस में स्कोरिंग गलतियों के पैमाने की जानकारी प्रदान करती है।
केवल गंभीरता स्कोर ही उत्तर नहीं है
सामान्य भेद्यता गंभीरता स्केल (सीवीएसएस) पर आधारित गंभीरता स्कोर का उद्देश्य पैचिंग और भेद्यता प्रबंधन टीमों को सॉफ़्टवेयर भेद्यता की गंभीरता को समझने का एक सीधा तरीका देना है। यह सुरक्षा पेशेवर को सूचित करता है कि क्या कोई दोष कम, मध्यम या गंभीर जोखिम प्रस्तुत करता है, और अक्सर उस भेद्यता के बारे में संदर्भ प्रदान करता है जो सॉफ़्टवेयर विक्रेता ने बग को सीवीई निर्दिष्ट करते समय प्रदान नहीं किया होगा।
कई संगठन अपने उत्पादों में कमजोरियों के लिए गंभीरता स्कोर निर्दिष्ट करते समय सीवीएसएस मानक का उपयोग करते हैं, और सुरक्षा दल आमतौर पर उस क्रम को तय करने के लिए स्कोर का उपयोग करते हैं जिसमें वे पर्यावरण में कमजोर सॉफ़्टवेयर पर पैच लागू करते हैं।
इसकी लोकप्रियता के बावजूद, कई लोगों ने पहले ही पैच प्राथमिकता के लिए केवल सीवीएसएस विश्वसनीयता स्कोर पर निर्भर रहने के प्रति आगाह किया है। ब्लैक हैट यूएसए 2022 सत्र में, डस्टिन चिल्ड्स और ब्रायन गोरेंक, दोनों ट्रेंड माइक्रो के जीरो डे इनिशिएटिव (जेडडीआई) के शोधकर्ता हैं। कई मुद्दों की ओर इशारा किया जैसे किसी बग की उपयोगिता, उसकी व्यापकता और उस पर हमला करना कितना सुलभ है, इसके बारे में जानकारी का अभाव, यही वजह है कि अकेले सीवीएसएस स्कोर ही पर्याप्त नहीं हैं।
चिल्ड्स ने डार्क रीडिंग को बताया, "उद्यमों के पास संसाधन की कमी होती है, इसलिए उन्हें आम तौर पर प्राथमिकता देनी होती है कि वे कौन से पैच लागू करते हैं।" "हालांकि, अगर उन्हें विरोधाभासी जानकारी मिलती है, तो वे उन बगों पर संसाधन खर्च कर सकते हैं जिनका कभी भी शोषण होने की संभावना नहीं है।"
चाइल्ड्स नोट करता है कि संगठन अक्सर कमजोरियों को प्राथमिकता देने और पहले क्या ठीक करना है यह तय करने में मदद के लिए तीसरे पक्ष के उत्पादों पर भरोसा करते हैं। अक्सर, वे एनआईएसटी जैसे किसी अन्य स्रोत के बजाय विक्रेता से सीवीएसएस को प्राथमिकता देते हैं।
“लेकिन वास्तविक जोखिम पर पारदर्शी होने के लिए विक्रेताओं पर हमेशा भरोसा नहीं किया जा सकता है। विक्रेता हमेशा यह नहीं समझते हैं कि उनके उत्पादों को कैसे तैनात किया जाता है, जिससे लक्ष्य के लिए परिचालन जोखिम में अंतर हो सकता है, ”वे कहते हैं।
चिल्ड्स और बेन्स इस बात की वकालत करते हैं कि संगठनों को भेद्यता निवारण के बारे में निर्णय लेते समय कई स्रोतों से मिली जानकारी पर विचार करना चाहिए। उन्हें ऐसे कारकों पर भी विचार करना चाहिए जैसे कि क्या किसी बग का जंगल में सार्वजनिक शोषण है, या क्या इसका सक्रिय रूप से शोषण किया जा रहा है।
बैन्स कहते हैं, "किसी भेद्यता को सटीक रूप से प्राथमिकता देने के लिए, संगठनों को निम्नलिखित प्रश्नों का उत्तर देने में सक्षम होने की आवश्यकता है।" “क्या इस भेद्यता का कोई सार्वजनिक शोषण है? क्या इस भेद्यता का जंगल में शोषण किया गया है? क्या इस भेद्यता का उपयोग रैंसमवेयर या एपीटी द्वारा किया जा रहा है? क्या यह भेद्यता इंटरनेट-उजागर होने की संभावना है?"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/discrepancies-discovered-in-vulnerability-severity-ratings
