9 Aralık 2021 günü öğleden sonra 2:25’te, GitHub’da Log4Shell olarak bilinen (şimdi silinmiş) güvenlik açığı için sıfır gün kavram kanıtı istismarını bağlayan kötü şöhretli bir tweet (artık silindi) İnternet’i kurdu Log4j’yi kullanan hemen hemen her şeyde mevcut olan bu güvenlik açığının farklı yinelemelerinde daha fazla ve daha fazla kavram kanıtı (PoC’ler) ortaya çıktıkça, şirketleri azaltmak, yamalamak ve ardından biraz daha yama yapmak için çabaladılar.
Kamuya açıklama olarak bilinen, dünyaya bir şeylerin PoC ile birlikte savunmasız olduğunu söyleme eylemi yeni değil ve her türden yazılım için oldukça sık oluyor. sıradan için en ezoterik. Bununla birlikte, zaman içinde araştırmalar ve deneyimler bize sürekli olarak sıfır günlük PoC’lerin serbest bırakılmasının tek yararının tehdit aktörleri için olduğunu göstermiştir, çünkü ifşaatlar aniden şirketleri azaltmak için herhangi bir şeye sahip olmadan azaltmak zorunda kalmak gibi garip bir duruma sokmuştur. (yani, bir satıcı yaması).
Açıklama Genellikle Nasıl Çalışır?
Şirketlerin resmi olarak onaylanmış bir güvenlik açığı açıklama programı (Google ve Microsoft’u düşünün) veya genellikle hata ödülleri olarak adlandırılan kitle kaynaklı platformlar aracılığıyla yürütülenler olsun, bugün var olan her türlü açıklama mekanizması vardır. Bu senaryolardaki açıklamalar genellikle belirli bir süreçten geçer ve satıcı yamasının yayınlandığı ve söz konusu yazılımın kullanıcıları tarafından alınması için yeterli zamanın verildiği (burada kabul edilen standart 90 gündür) yeterli zaman çizelgelerine sahiptir. PoC, yalnızca satıcı onayı ile kamuya açıklanır (koordineli açıklama olarak da bilinir). Hata ödül platformları ayrıca güvenlik araştırmacılarına bunun üzerine gizlilik anlaşmaları uygular, böylece güvenlik açığı uzun süredir düzeltilmiş olsa bile PoC’ler genellikle kapalı kalır.
Hem genel güvenlik açıkları ve riskler (CVE) formatı aracılığıyla hem de doğrudan güvenlik açığı ifşa süreçleri aracılığıyla birçok ifşaattan kendim geçtim, sorunsuz giderse genellikle şu şekilde çalışır:
Log4j güvenlik açığına geri dönersek, aslında şu şekilde gösterildiği gibi halihazırda devam eden bir ifşa süreci vardı: GitHub’da istek çekme 30 Kasım’da ortaya çıktı. AramaGüvenliği:
İleti dizisindeki yorumlar, düzeltme hızıyla ilgili hayal kırıklığını gösterse de, bu, güvenlik açıklarını düzeltme söz konusu olduğunda, kurs için eşittir. Herkesin belirttiği gibi, yama gönüllüler tarafından yapıldı.
Zero-Day PoC’leri Serbest Bırakmanın Nedenleri ve Aleyhindeki Kanıtlar
Yüzeyde, sıfır günlük bir kavram kanıtı yayınlamak için meşru nedenler var gibi görünebilir. En yaygın olanlardan biri, satıcıyla yapılan güvenlik açığı açıklama sürecinin başarısız olmasıdır. Bu, yanıt vermeyen bir satıcı, güvenlik açığını düzeltilecek kadar ciddi görmemesi, düzeltilmesinin çok uzun sürmesi veya bazı kombinasyonlar dahil olmak üzere birçok nedenden dolayı olabilir. O zaman duruş, onu ortak yarar için yayınlamaktır, kanıtların gösterdiği gibi, nadiren yazılım kullanıcılarının iyiliği için.
Ayrıca, özellikle bir güvenlik sağlayıcısına bağlıysanız, bir PoC yayınlamak için daha az ikna edici olan çevresel nedenler de vardır, yani tanıtım. Hiçbir şey, herkesin kullandığı, ancak henüz yaması olmayan ortak bir yazılım parçası için bir PoC’den daha hızlı basın kapsamına sahip olamaz ve bu, ne yazık ki bugün birçok güvenlik araştırmasının temel dayanağıdır.
Bir PoC yayınlamaya karşı kanıtlar artık sağlam ve ezici. Kenna Security tarafından tamamlanan bir çalışma, PoC açıklarından yararlanmanın tek faydasının onları kullanan saldırganlara. Hatta birkaç yıl önce Black Hat’te bir sunum, “Sıfır Gün ve Binlerce Gece,” sıfır günlük yaşam döngüsünü ve nasıl serbest bırakıldıklarını ve istismar edildiklerini anlattı. Ayrıca, PoC açıkları kamuya açıklanmadıysa, tehdit aktörleri de dahil olmak üzere ortalama yedi yıl boyunca hiç kimse tarafından keşfedilmediklerini de gösterdi. Ne yazık ki , bu Log4j karıştırması sırasında biraz geç fark edildi.Tüm ilk açıklamalar hemen geri çekilip silinirken, en son 2.17.1 açıklaması bile aynı sorunla karşılaştı ve araştırmacının çok fazla tepki aldığı noktaya geldi. bir ….. yayınlandı genel özür açıklamanın kötü zamanlaması için.
PoC açıklarının kamuya açıklanmasına yönelik tutumların değiştiğini ve silahı atlamaya karar veren araştırmacıların eleştirilerinin hak edildiğini görmek güzel. Ancak toplu olarak, bir dahaki sefere böyle bir güvenlik açığı ortaya çıktığında bu senaryoyu tekrarlama tuzağına düşmememiz için çalışmanın herkes için daha sağlam ifşa süreçleri oluşturmaya odaklanması gerekiyor gibi görünüyor.