Bu hafta yapılacak yeni bir çalışma, yama önceliklendirme kararları verirken yalnızca Ulusal Güvenlik Açığı Veritabanındaki (NVD) güvenlik açığı puanlarına güvenmenin bilgeliği konusunda kurumsal güvenlik ekiplerine daha fazla soru soracağı kesin.
VulnCheck tarafından CVSS v3 puanları ile ilişkili 120 CVE’nin analizi, yaklaşık 25.000’inin – veya yaklaşık %20’sinin – iki şiddet puanına sahip olduğunu gösteriyor. Bir puan, NVD’nin bakımını yapan NIST’ten, diğeri ise hatayı içeren ürünün satıcısından alınmıştır. Çoğu durumda, bu iki puan farklıydı ve güvenlik ekiplerinin hangisine güveneceğini bilmesini zorlaştırıyordu.
Yüksek Çatışma Oranı
İki önem puanına sahip güvenlik açıklarının yaklaşık %56’sı veya 14.000’i çelişkili puanlara sahipti; bu, NIST tarafından atanan puanla satıcının puanının eşleşmediği anlamına gelir. Bir satıcının belirli bir güvenlik açığını orta önemde olarak değerlendirdiği durumlarda, NIST bunu ciddi olarak değerlendirmiş olabilir.
Bir örnek olarak VulnCheck, Windows Basit Dizin Erişim Protokolü’ndeki (LDAP) bir hizmet reddi güvenlik açığı olan CVE-2023-21557’ye işaret etti. Microsoft, güvenlik açığına 10 puanlık CVSS ölçeğinde “yüksek” önem derecesini 7,5 olarak atadı. NIST ona 9.1 puan vererek onu “kritik” bir güvenlik açığı haline getirdi. VulnCheck, NVD’deki güvenlik açığıyla ilgili bilgilerin puanların neden farklı olduğuna dair bir fikir vermediğini söyledi. Güvenlik açığı veritabanı, çok sayıda başka benzer durumla doludur.
VulnCheck’te güvenlik açığı araştırmacısı olan Jacob Baines, bu yüksek çakışma oranının, güvenlik açığı yönetimi ekiplerinde kaynakları kısıtlı olan kuruluşlar için iyileştirme çabalarını geciktirebileceğini söylüyor. “CVSS puanlamasına büyük ölçüde dayanan bir güvenlik açığı yönetim sistemi, bazen kritik olmayan güvenlik açıklarına öncelik verir” diyor. “Yanlış güvenlik açıklarına öncelik vermek, güvenlik açığı yönetimi ekiplerinin en kritik kaynağı olan zamanı israf edecektir.”
VulnCheck araştırmacıları, NIST ve satıcıların veritabanındaki kusurlar hakkında belirli bilgileri dahil etme biçiminde başka farklılıklar buldu. NVD’deki siteler arası betik çalıştırma (XSS) ve siteler arası istek sahteciliği (CSRF) güvenlik açıklarına bakmaya karar verdiler.
Analiz, birincil kaynağın – tipik olarak NIST – veritabanındaki 120.000 CVE’den 12.969’unu bir XSS güvenlik açığı olarak atadığını, ikincil kaynakların ise çok daha küçük bir 2.091’i XSS olarak listelediğini gösterdi. VulnCheck, ikincil kaynakların bir XSS kusurundan yararlanmak için kullanıcı etkileşimi gerektirdiğini belirtme olasılığının çok daha düşük olduğunu buldu. CSRF kusur puanları benzer farklılıklar gösterdi.
Baines, “XSS ve CSRF güvenlik açıkları her zaman kullanıcı etkileşimi gerektirir” diyor. “Kullanıcı etkileşimi, CVSSv3’ün puanlama unsurudur ve CVSSv3 vektöründe bulunur.” NVD’deki XSS ve CSRF güvenlik açıklarının ne sıklıkta bu bilgileri içerdiğini incelemek, veritabanındaki puanlama hatalarının ölçeği hakkında bilgi sağlıyor, diyor.
Önem Derecesi Tek Başına Cevap Değildir
Ortak Güvenlik Açığı Önem Ölçeğine (CVSS) dayalı önem puanları, yama uygulama ve güvenlik açığı yönetimi ekiplerine bir yazılım güvenlik açığının önem derecesini anlamaları için basit bir yol sağlamayı amaçlamaktadır. Bir kusurun düşük, orta veya ciddi bir risk teşkil edip etmediğini güvenlik uzmanına bildirir ve genellikle yazılım satıcısının hataya bir CVE atarken sağlamamış olabileceği bir güvenlik açığı etrafında bağlam sağlar.
Çok sayıda kuruluş, ürünlerindeki güvenlik açıklarına önem dereceleri atarken CVSS standardını kullanır ve güvenlik ekipleri, ortamdaki savunmasız yazılımlara yamaları uygulama sırasına karar vermek için genellikle puanları kullanır.
Popülaritesine rağmen, birçoğu daha önce yama önceliklendirme için yalnızca CVSS güvenilirlik puanlarına güvenmeme konusunda uyarıda bulundu. Bir Black Hat USA 2022 oturumunda, her ikisi de Trend Micro’nun Zero Day Initiative (ZDI) araştırmacısı Dustin Childs ve Brian Gorenc, bir hatanın istismar edilebilirliği, yaygınlığı ve ne kadar erişilebilir olabileceği hakkında bilgi eksikliği gibi birçok konuya işaret ettiler. saldırı, CVSS puanlarının tek başına neden yeterli olmadığının nedenleri olarak gösteriliyor.
Childs, Dark Reading’e “Kuruluşların kaynakları kısıtlıdır, bu nedenle genellikle hangi yamaları yayınlayacaklarına öncelik vermeleri gerekir,” dedi. “Ancak, çelişkili bilgiler alırlarsa, kötüye kullanılması pek mümkün olmayan hatalara kaynak harcamak zorunda kalabilirler.”
Childs, kuruluşların güvenlik açıklarına öncelik vermelerine ve önce neyi yamalayacaklarına karar vermelerine yardımcı olması için genellikle üçüncü taraf ürünlerine güvendiğini belirtiyor. Çoğu zaman, NIST gibi başka bir kaynak yerine tedarikçiden gelen CVSS’yi tercih etme eğilimindedirler.
“Ancak satıcıların gerçek risk konusunda şeffaf olduklarına her zaman güvenilemez. Satıcılar ürünlerinin nasıl konuşlandırıldığını her zaman anlamazlar, bu da bir hedefin operasyonel riskinde farklılıklara yol açabilir” diyor.
Childs ve Bains, kuruluşların güvenlik açığı giderme konusunda kararlar alırken birden çok kaynaktan gelen bilgileri dikkate alması gerektiğini savunuyor. Ayrıca, bir hatanın vahşi ortamda kamuya açık bir istismara sahip olup olmadığı veya aktif olarak istismar edilip edilmediği gibi faktörleri de dikkate almaları gerekir.
Baines, “Bir güvenlik açığını doğru bir şekilde önceliklendirmek için kuruluşların aşağıdaki soruları yanıtlayabilmesi gerekir” diyor. “Bu güvenlik açığından genel bir yararlanma var mı? Bu güvenlik açığından vahşi ortamda yararlanıldı mı? Bu güvenlik açığı fidye yazılımı veya APT tarafından mı kullanılıyor? Bu güvenlik açığının İnternet’e açık olması muhtemel mi?”