Soru: CVSS önem derecesinin gerçek dünya bağlamından yoksun olduğu görülüyor. Böyle bir durumda bir şirket düzeltmelere nasıl öncelik verebilir?
JFrog Güvenlik Araştırması Kıdemli Direktörü Shachar Menashe: Güvenlik ekipleri ve geliştiriciler, bir güvenlik açığından yararlanılabilir olup olmadığını belirlemek için eksik bir yönteme güvenerek değerli iyileştirme kaynaklarını boşa harcıyorlar.
Günümüzde kuruluşların kullandığı en popüler kaynaklardan biri, güvenlik açıklarının ciddiyetini değerlendirmek için standart bir çerçeve olan Ortak Güvenlik Açığı Puanlama Sistemi’dir (CVSS). Her CVE’ye, 0 (önem derecesi yok) ile 10 (en kritik) arasında değişen bir güvenlik açığı önem puanı atar; bu, güvenlik açığından yararlanmanın ne kadar zor olduğunu ve kullanılması halinde ne kadar hasara yol açabileceğini yansıtır. Çoğu geliştirici ve güvenlik ekibi, CVSS puanını güvenlik açığı giderme programları için bir kılavuz olarak kullanır.
Sorun şu ki, günümüzde çoğu CVE’nin CVSS ciddiyet derecesi aşırı şişirilmiş ve yalnızca bu derecelendirme ölçeğine güvenmeye devam etmek yanlış yönlendirilmiş.
Bunun nedeni, mevcut CVSS puanlama sisteminin, her bir güvenlik açığının gerçek dünyadaki etkisini yeterince kapsamayan karmaşık bir dizi faktöre dayanmasıdır. Bu yılın başlarında JFrog, 2022’deki en yaygın 10 açık kaynak yazılım güvenlik açığının analizini gerçekleştirdi ve gerçek dünya etkisine bakıldığında çoğu kusurdan yararlanmanın bildirilenden daha zor olduğunu ve bunların yüksek önem derecelerinin aldatıcı olduğunu buldu. Spesifik olarak, ilk 50 CVE’nin %64’ü, CVSS’ye kıyasla daha düşük bir JFrog Güvenlik Araştırması önem derecesi aldı.
Bu çalışmada, daha kritik CVE’lerin birçoğu, bir saldırının başarılı olması için karmaşık yapılandırma senaryoları veya çok özel koşullar gerektiriyordu ve bu, CVSS puanına yansıtılmadı. Uygun bağlam olmadan kuruluşlar, sistemleri üzerinde herhangi bir etki yaratması muhtemel olmayan yazılım kusurlarını hafifletmek için değerli kaynakları israf ederler.
Gerçek Ölçü: İstismar Edilebilirlik
Bir CVE’nin bağlamını analiz etmek, aşağıdaki gibi gerçek dünya faktörlerinin dikkate alınmasını gerektirir:
- Güvenlik açığından bir hizmetin varsayılan yapılandırmasında mı yoksa yalnızca çok karmaşık yapılandırmalarda mı yararlanılabilir olduğu
- Güvenlik açığı bulunan koda ulaşılabilir bir yol olup olmadığı
- Yazılım kitaplığı güvenlik açığının bir kod önkoşulunun olup olmadığı (birinin kitaplığı savunmasız bir şekilde kullanması gerektiği anlamına gelir)
- Savunmasız bir API’nin güvenilmeyen verileri ayrıştırma olasılığı
- Potansiyel olarak savunmasız yazılımların nasıl dağıtıldığı
- Güvenlik açığı bulunan yazılıma uygulanan ağ ortamı ve genel güvenlik mekanizmaları
CVSS puanlaması, etki ölçümleri (Gizlilik, Bütünlük ve Kullanılabilirlik) aracılığıyla bir miktar bağlam sağlarken, bu ölçümler, saldırının gerçek dünya sistemleri üzerindeki gerçek etkisi dikkate alınmaksızın teorik bir “görüntü değerine” göre derecelendirilir. Örneğin:
- Çatallanmış bir istemci sürecini çökerten bir DoS saldırısı, önemli bir arka plan programını çökerten bir DoS saldırısına göre çok daha az şiddetlidir, ancak her ikisi de “Yüksek” kullanılabilirlik etkisi CVSS derecelendirmesi alacaktır.
- Herhangi bir anlamlı değişkenin üzerine yazmayan bir arabellek taşmasının güvenlik etkisi yoktur ancak yine de “Yüksek” bütünlük etkisi CVSS derecelendirmesi alacaktır.
İkincisine iyi bir örnek, Kasım 2022’de tanımlanan OpenSSL CVE-2022-3602’dir. Bu güvenlik açığından ilk başta büyük korku duyuldu ancak teknik ayrıntılar, güvenlik açığının gerçek dünyaya hiçbir etkisinin olmadığını ortaya çıkardı. Bununla birlikte, CVE-2022-3602 hala “Yüksek” etki derecesi ile derecelendirilmiştir.
CVSS 4.0 Bunu Çözmüyor
CVSS 4.0, bir saldırının başarılı olması için gereken koşulları yansıtacak bir “Saldırı Gereksinimi” metriği içerecek olsa da, yine de yeterince ayrıntılı değildir (yalnızca “Yok” veya “Mevcut” olarak ayarlanabilir, bu da nadirliği hesaba katmaz) saldırı gereksinimleri). Örneğin, yalnızca son derece nadir yapılandırmalar veya koşullar altında yararlanılabilen ve herhangi bir gerçek dünya senaryosunda tamamen yararlanılamayabilen bir uzaktan kod yürütme güvenlik açığı, “Saldırı Gereksinimleri”nin “Mevcut” olarak işaretlenmesine neden olur ve bu da puanı biraz değiştirir. 9,3’ten 9,2’ye. Kuruluşlar, gerçekleşmesi son derece muhtemel olmayan teorik RCE uzaktan güvenlik açıkları için 9,2 (kritik) puan almaya devam edecek. Bunun değişmesi gerekiyor.
Tavsiye: Bağlam Ekle
CVSS sistemi gelişirken diğer kaynakların birlikte kullanılması CVE kritikliğinin daha doğru bir şekilde değerlendirilmesine yardımcı olabilir. nvd.nist.gov’a bakarken yalnızca NVD’nin CVSS derecelendirmesine değil, CNA’nın CVSS derecelendirmesine de özellikle dikkat edin. Ubuntu ve Red Hat Linux dağıtımları gibi dağıtıma özgü önem dereceleri ve Apache Web Sunucusu, Curl ve OpenSSL gibi projeye özgü önem dereceleri genellikle daha doğru bir önem derecesine sahip olacaktır.
Ayrıca bağlamı iyileştirme sürecinize entegre etmenin yollarını da düşünün. Araştırmalar, son derece spesifik ön koşullar olmadan çok az sayıda güvenlik açığının sömürülebileceğini gösteriyor. Önceliklendirme ve iyileştirme çabalarınıza rehberlik etmek için gerçek dünyadan yararlanılabilirliği, CVE uygulanabilirliğini ve bağlamsal analizi birleştirin. Geliştiricilerden “her şeyi düzeltmelerini” istemek yerine, onları en önemli güvenlik açıklarını gidermek için ihtiyaç duydukları bilgilerle donatın.