10 Ekim’de Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğunu bilinen beş yazılım hatasıyla güncelledi. Listenin en başında: Adobe’nin Acrobat ve Reader PDF görüntüleme uygulamalarında, kötü amaçlı bir dosyaya tıklayan herhangi bir kullanıcının ayrıcalıklarıyla kod yürütülmesine izin verebilecek bir serbest kullanım sonrası güvenlik açığı.
Tek sorun: Adobe bu güvenlik açığını 10 ay önce Ocak ayında açıkladı, bir istismar geliştiricisi bir hafta içinde GitHub’da kavram kanıtı (PoC) kodu yayınladı ve Haziran ayında ticari bir istismar çerçevesine çalışan bir istismar eklendi – yine neredeyse CISA’dan 10 ay önce bilgileri KEV’e ekledi.
Brian Martin, birçok güvenlik ekibinin PoC’nin yayınlanmasından sonra güvenlik açığının kapatılmasına öncelik vermesine rağmen, CISA’nın KEV kataloğuna dahil edilmeye yönelik katı yönergelerinin, listeye güvenen federal kurumlara ve kuruluşlara yönelik uyarılarını genellikle yavaşlattığını söylüyor. , bir tehdit istihbarat firması olan Flashpoint’te güvenlik açığı tarihçisi.
Martin, “Bu, raylardan size doğru hızla ilerleyen bir trenin ışığına bakmaya benziyor” diyor. “Aklı başında olan her insan [want to] bu noktada atla.”
Adobe’nin PDF görüntüleme ürünlerindeki kusur münferit bir durum değildir. 13 Kasım’da CISA yayınlandı KEV kataloğunda yeni bir güncellemeJuniper’in EX ve SRX serisi ağ cihazlarındaki, cihazları tehlikeye atacak şekilde birbirine zincirlenebilecek beş sorun da dahil. Güvenlik açıkları ilk olarak Ağustos ortasında kamuya açıklanmıştı ve Shadowserver’daki güvenlik araştırmacıları “birden fazla IP’den yararlanma girişimi” tespit ettiklerini belirtti 25 Ağustos gibi erken bir tarihte güvenlik açıklarından yararlanıldı.
Teslimat süresinin uzun olduğu bir diğer sorun da Veeam Backup & Replication kusurudur (CVE-2023-27532), Mart ayında açıklandı ve muhtemelen o ayın sonlarında istismar edildiama sadece Ağustos ayında KEV listesine eklendi.
Zaman çizelgeleri, KEV listesinin saldırganların aktif olarak yararlandığı güvenlik açıkları hakkında harika bir bilgi kaynağı olmasına rağmen kuruluşların bu listeye güvenemeyeceğini vurguluyor. sadece Rapid7’deki güvenlik açığı araştırması başkanı Caitlin Condon, güvenlik açığı yönetimi programları için diyor.
Condon, “CISA KEV genellikle vahşi doğada sömürünün takip eden bir göstergesi olacak” diyor. “Kesinlikle yüksek kaliteli bir bilgi kaynağıdır ve riske dayalı güvenlik açığı önceliklendirme stratejisinin bir bileşeni olarak çok faydalıdır, ancak KEV’i destek için tek kaynağınız, hatta birincil veri kaynağınız olarak kullanmanızı önermiyoruz. güvenlik açığı önceliklendirmesi.”
‘Vahşi Doğada’ Belirsiz Bir Oyundur
CISA’nın karşılaştığı en büyük sorunlardan biri, bir güvenlik açığının saldırganlar tarafından vahşi ortamda kullanılıp kullanılmadığının belirlenmesidir. Ajans, güvenlik açığının taranması, bir istismara ilişkin aktif araştırma ve PoC kodunun “vahşi ortamda” kriterlerini tetiklemediğini belirtti gereksinimler sayfasında.
CISA, “PoC’yi kamuya açık hale getirmek, bir saldırganın mevcut güvenlik açığından yararlanma olasılığını artırabilir.” dedi. “Ancak, bir PoC’nin kamuya açık olması, otomatik olarak güvenlik açığından yararlanıldığını veya yararlanılacağını göstermez. Kamuya açık bir PoC’ye sahip olmak, bir güvenlik açığının KEV kataloğuna dahil edilmesi için bir gereklilik değildir.”
Bir yazılım güvenliği firması olan Veracode’da kıdemli bir güvenlik araştırmacısı olan John Simpson, bir saldırının KEV kataloğuna dahil edilmesi için CISA’nın belirli düzeyde kanıta ihtiyaç duyduğunu söylüyor. Genellikle birisi PoC kodunu yayınladıktan sonra, araştırmacılar ve saldırganlar kodu kullanmaya veya güvenlik açığını taramaya çalıştıkça istismar trafiği hemen artacaktır. Trafikteki ani artışın riskte herhangi bir artışa işaret etmeyebileceğini çünkü PoC’nin aslında istismara yol açmayabileceğini söylüyor.
“Güvenlik açığının varlığını kontrol etmek için kavram kanıtına verilen yanıtları test eden toplu tarama etkinliği gibi şeyler görebilirsiniz. [and] Simpson, PoC’nin sınırlamalarını tam olarak anlamayan vasıfsız saldırganların sadece ne olacağını görmek için bir grup hedefe karşı bunu denediğini görebilirsiniz,” diyor Simpson. istismar aslında bunları kullanmak isteyen aktörler tarafından çözülüyor.”
Rehberlik Yok, KEV Yok
CISA’nın KEV kataloğundaki tavsiyesine göre, bir güvenlik açığı yaygın olarak kullanılıyor olsa bile, düzeltme için açık bir kılavuz yoksa CISA, bu güvenlik açığını KEV’ye eklemeyi geciktirebilir.
Bu gereklilik kısmen federal hükümetin KEV’i nasıl kullandığından kaynaklanmaktadır. Bağlayıcı Operasyonel Direktif 22-01 Her federal kurumun, herhangi bir güvenlik açığının saldırganlar tarafından istismar edilmiş veya istismar ediliyor olması durumunda iki hafta içinde düzeltilmesini zorunlu kılmaktadır. Bu nedenle her KEV girişi, sorunun çözülmesi gereken bir son tarihle birlikte gelir. Rapid7’den Condon, herhangi bir iyileştirme adımı veya hatta sağlam bir geçici çözüm yoksa CISA’nın KEV güncellemesi yayınlamaktan kaçınabileceğini söylüyor.
“KEV’e bir güvenlik açığı eklemek için CISA’nın açık kriterlerinden biri, bu güvenlik açığı için ‘açık bir düzeltme eyleminin’ mevcut olması gerektiğidir – [for example,] Satıcı tarafından sağlanan bir düzeltme” diyor ve bunun Juniper cihazlarındaki güvenlik açıklarına yönelik gecikmiş güncellemenin nedeninin bir parçası olabileceğini ekliyor. “Bugüne kadar, Juniper Networks’ün tavsiye belgesindeki beş CVE’den yalnızca biri bir soruna sahip görünüyor.” özel yama … geri kalan CVE’ler için önerilen eylem: [a] geçici çözüm, [which] daha önce CISA’nın satıcı tarafından sağlanan iyileştirme çıtasını karşılamaya yeterli olmayabilirdi.”
CISA makale hakkında yorum yapmayı reddetti ancak okuyucuları şu adrese yönlendirdi: onun rehberliği.
KEV’in Yama Önceliğindeki Yeri
Gecikmeler göz önüne alındığında, şirketlere, CISA tarafından bile, bir güvenlik açığından yararlanılıp yararlanılmadığına ilişkin birincil bilgi kaynağı olarak KEV kataloğuna güvenmemeleri tavsiye ediliyor. Flashpoint’ten Martin, herhangi bir yama önceliklendirme tekniğinin artıları ve eksileri olduğunu söylüyor. KEV, istismar verileri için iyi bir kaynaktır ancak şirketlerin FIRST’ün Exploit Tahmin Puanlama Sistemi, fidye yazılımı tahmin modelleri, Rapid7’nin AttackerKB’si ve Flashpoint’in VulnDB istismar sınıflandırması gibi diğer veritabanlarına bakması gerekir.
“KEV, önceliklendirme için sağlam bir referans noktasıdır, ancak bu bilgiye nasıl ulaştığı biraz belirsiz; bu nedenle burada bunun nasıl olduğunu anlamaya çalışıyoruz” diyor. “Bu bulanıklık tasarımdan kaynaklanıyor çünkü yetkili bir kaynak olarak ona güvenmemiz gerekiyor, ancak yine de KEV’de düzeltilmesi zor hatalar var.”
Rapid7’den Condon, diğer veritabanlarının bile kendi zorlukları olduğunu söylüyor. Şirket, istismar raporlarında kaynak materyal ve alıntı isteme konusunda nispeten katı olsa da, kaynakların doğrulanması genellikle çok zordur.
“Örneğin, daha önce güvenlik verileri sağlayıcıları tarafından rapor edilen istismarlara tanık olmuştuk, ancak daha sonra şirketlerin, örneğin onaylanmış yük teslimatı veya yürütülmesinden ziyade ‘kötü niyetli tarama faaliyeti’ hakkında konuştuğunu öğrendik. doğrudan devam eden saldırgan davranışına yol açar” diyor. “Bu nüansları, özellikle de genel olarak yüksek hacimli bir tehdit ortamında güvenlik uygulayıcıları için anlamak zor olabilir.”