Güvenlik açığı olmayan CVE’lerin gizemi


Araştırmacılar, hiçbir zaman güvenlik açığı olmayan daha eski hatalar için geniş bir CVE seti hakkında alarma geçti.

Yazılım Tedarik Zinciri güvenliği konusunda uzmanlaşmış Dan Lorenc adlı bir araştırmacı yakın zamanda LinkedIn’de ilginç bir konuyu gündeme getirdi. Açık kaynak projelerdeki 138 yeni güvenlik açığının tamamı aynı gün CVE veritabanına girildi.

Sorunun ne olduğunu anlamak için bilmeniz gereken birkaç şey var.

  • CVSS – Ortak Güvenlik Açığı Puanlama Sistemi (CVSS), güvenlik açığı yönetimi programlarında yaygın olarak kullanılan bir sistemdir. CVSS, bilgi güvenliği açığının ciddiyetini gösterir ve birçok güvenlik açığı tarama aracının ayrılmaz bir bileşenidir.
  • CVE – Ortak Güvenlik Açıkları ve Etkilenmeler (CVE), MITRE tarafından tutulan, kamuya açıklanan güvenlik açıklarının ve risklerin bir listesidir.
  • NVD – Ulusal Güvenlik Açığı Veritabanı (NVD), Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından tutulan ve MITRE CVE listesiyle tamamen senkronize olan bir veritabanıdır.

Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listelemek için kullanılır. Amacı, ayrı güvenlik açığı yetenekleri (araçlar, veritabanları ve hizmetler) arasında veri paylaşımını kolaylaştırmaktır.

NVD, yama kullanılabilirliği ve önem dereceleri de dahil olmak üzere CVE listesindekilerin ötesinde gelişmiş bilgiler sağlar. NVD ayrıca çok çeşitli değişkenler üzerinde arama yapmak için daha kolay bir mekanizma sağlar.

Çalışması gereken yol, güvenlik açıklarının önce keşfedilmesi, ardından CVE Programına bildirilmesidir. Bildiren kişi, daha sonra bildirilen güvenlik açığı için ayrılan bir CVE kimliği ister. Bildirilen güvenlik açığı, bir CVE kaydı için gereken minimum veri öğelerinin tanımlanmasıyla doğrulandıktan sonra kayıt, CVE Listesinde yayınlanır.

Ayrıntılar, etkilenen ürün(ler)i içerir ancak bunlarla sınırlı değildir; etkilenen veya düzeltilen ürün sürümleri; güvenlik açığı türü, temel nedeni veya etkisi; ve en az bir kamuya açık referans.

Bir CVE’yi kaydettiğinizde genellikle bunu talep ettiğiniz yılla birlikte alırsınız ve böylece yeni CVE kimlikleri CVE-2023 ile başlar. Ancak Lorenc, bilinmeyen bir tarafın geçmiş tarihli ve yüksek CVSS puanına sahip bir dizi CVE gönderdiğini söylüyor.

Örneğin, CVE-2020-19909, tamsayı taşması güvenlik açığı olarak listelendi. tool_operate.c curl 7.65.2’de yeniden deneme gecikmesi olarak büyük bir değer aracılığıyla.

tartışmalı bir CVE'nin listesi

tartışmalı CVE'lerden birinin listesi

Ekran görüntüsünde girişin “TARTIŞILDI” olduğunu görebilirsiniz

İsveçli açık kaynak geliştiricisi ve curl bakımcısı Daniel Haxx, blogunda bunun bir güvenlik açığı olmadığını açıklıyor. Aslında bu, 2019’da bildirilen ve düzeltilen bir hataydı. Haxx, NVD’yi, derecelendirdikleri sorunu gerçekten anlamak veya çözmek için çok fazla çaba göstermediği için eleştiriyor.

Lorenc’in işaret ettiği gibi, sanki bir bot veya yapay zeka eski sorunları kazıyıp taahhüt ediyor ve bakım görevlilerini dahil etmeden bunları otomatik bir şekilde dosyalıyormuş gibi görünüyor.

Sorun, birçoğunun güvenlik açıkları için otomatik tarama yapması veya özel güvenlik açığı önceliklendirmesi veya yönetim platformları kullanmasıdır. Hiçbir bakımcı dahil olmadığında ve hatta bu sorun olmayan konular hakkında bilgilendirildiğinde, yaşamaya devam edebilirler. Bu tarayıcıların birçoğu “TARTIŞILDI” durumunu görmeyecek veya göz ardı etmeyecek ve gerçek güvenlik açıklarına harcanabilecek çok sayıda değerli zamanı boşa harcayacaktır.

Geriye kalan soru şu: CVE raporlama sürecinde, sahte güvenlik açıklarının otomatik olarak sunulmasına izin veren temel bir sorun var mı?

Diyelim ki uzmanlar, listenin geliştiricileri/bakıcıları ile önceden herhangi bir temas olmaksızın CVE’lerin herhangi bir şekilde otomatik olarak dosyalanmasının, güvenlik açıklarının kamuya açıklanmadan önce düzeltilmesinin asıl amacını tamamen gözden kaçırdığı konusunda hemfikir olduklarını varsayalım. Ve aslında uzun zaman önce çözülmüş hatalar olan güvenlik açıklarının dosyalanması, korku tacirliğinin tuhaf bir biçimidir.

Bunun kazara veya kasıtlı olarak olabileceğini bilmek, bir CVE kaydı için gereken minimum veri öğelerini aramaktan daha sağlam bir kontrolü garanti eder.


Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.

Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.



Source link