10 Ekim’de Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğunu bilinen beş yazılım hatasıyla güncelledi. Listenin başında: Adobe’nin Acrobat ve Reader PDF görüntüleme uygulamalarında, kötü amaçlı bir dosyaya tıklayan herhangi bir kullanıcının ayrıcalıklarıyla kod yürütülmesine olanak tanıyan, serbest kullanımdan sonra kullanım güvenlik açığı.
Tek sorun: Adobe, güvenlik açığını on ay önce Ocak ayında açıkladı, bir istismar geliştiricisi bir hafta içinde GitHub’da kavram kanıtı (PoC) kodu yayınladı ve Haziran ayında ticari bir istismar çerçevesine çalışan bir istismar eklendi (neredeyse 10 ay). CISA bilgileri KEV’e eklemeden önce.
Brian Martin, birçok güvenlik ekibinin PoC’nin yayınlanmasından sonra güvenlik açığının kapatılmasına öncelik vermesine rağmen, CISA’nın KEV kataloğuna dahil edilmeye yönelik katı yönergelerinin, listeye güvenen federal kurumlara ve kuruluşlara yönelik uyarılarını genellikle yavaşlattığını söylüyor. , bir tehdit istihbarat firması olan Flashpoint’te güvenlik açığı tarihçisi.
Martin, “Bu, raylardan size doğru hızla ilerleyen bir trenin lambasına bakmaya benziyor” diyor. “Aklı başında olan her insan [want to] bu noktada atla.”
Adobe’nin PDF görüntüleme ürünlerindeki kusur münferit bir durum değildir. 13 Kasım’da CISA, KEV kataloğunda Juniper’in EX ve SRX serisi ağ cihazlarındaki beş sorunu da içeren başka bir güncelleme yayınladı; bu sorunlar, güvenliği ihlal eden cihazları ele geçirmek için birbirine zincirlenebilecek sorunlardı. Güvenlik açıkları ilk olarak Ağustos ortasında kamuya açıklanmıştı ve Shadowserver’daki güvenlik araştırmacıları “birden fazla IP’den yararlanma girişimi” tespit ettiklerini belirtti 25 Ağustos gibi erken bir tarihte güvenlik açıklarından yararlanıldı.
Teslimat süresi uzun olan bir diğer kusur ise Mart ayında açıklanan ve muhtemelen o ayın sonlarında yararlanılan ancak KEV listesine yalnızca Ağustos ayında eklenen Veeam Backup & Replication kusurudur (CVE-2023-27532).
Rapid7 güvenlik açığı araştırması başkanı Caitlin Condon, zaman çizelgelerinin, KEV listesinin saldırganların aktif olarak istismar ettiği güvenlik açıkları hakkında harika bir bilgi kaynağı olmasına rağmen kuruluşların güvenlik açığı yönetimi programları için yalnızca listeye güvenemeyeceğinin altını çizdiğini söylüyor.
Condon, “CISA KEV genellikle vahşi doğada sömürünün takip eden bir göstergesi olacak” diyor. “Kesinlikle yüksek kaliteli bir bilgi kaynağıdır ve riske dayalı güvenlik açığı önceliklendirme stratejisinin bir bileşeni olarak çok faydalıdır, ancak KEV’i destek için tek kaynağınız, hatta birincil veri kaynağınız olarak kullanmanızı önermiyoruz. güvenlik açığı önceliklendirmesi.”
“Vahşi Doğada” Belirsiz Bir Oyundur
CISA’nın karşılaştığı en büyük sorunlardan biri, bir güvenlik açığının saldırganlar tarafından vahşi ortamda kullanılıp kullanılmadığının belirlenmesidir. Ajans, gereksinimler sayfasında güvenlik açığını taramanın, bir istismara ilişkin aktif araştırmanın ve kavram kanıtlama (PoC) kodunun “vahşi” kriterlerini tetiklemediğini belirtti.
CISA, “PoC’yi kamuya açık hale getirmek, bir saldırganın mevcut güvenlik açığından yararlanma olasılığını artırabilir.” dedi. “Ancak, bir PoC’nin kamuya açık olması, otomatik olarak güvenlik açığından yararlanıldığını veya yararlanılacağını göstermez. Kamuya açık bir PoC’ye sahip olmak, bir güvenlik açığının KEV kataloğuna dahil edilmesi için bir gereklilik değildir.”
Bir yazılım güvenliği firması olan Veracode’da kıdemli bir güvenlik araştırmacısı olan John Simpson, bir saldırının KEV kataloğuna dahil edilmesi için CISA’nın belirli düzeyde kanıta ihtiyaç duyduğunu söylüyor. Genellikle birisi kavram kanıtı (PoC) kodunu yayınladıktan sonra, araştırmacılar ve saldırganlar kodu kullanmaya veya güvenlik açığını taramaya çalıştıkça istismar trafiği hemen artacaktır. Trafikteki ani artışın riskte herhangi bir artışa işaret etmeyebileceğini, çünkü PoC’nin aslında istismara yol açmayabileceğini söylüyor.
“Güvenlik açığının varlığını kontrol etmek için kavram kanıtına verilen yanıtları test eden toplu tarama etkinliği gibi şeyler görebilirsiniz. [and] PoC’nin sınırlamalarını tam olarak anlamayan ve sadece ne olacağını görmek için bunu bir grup hedefe karşı deneyen vasıfsız saldırganlar görebilirsiniz” diyor Simpson ve şunu ekliyor: “Kalan bölümlerin tamamlanması için hala önemli bir zaman dilimi gerekebilir.” istismarın tamamı aslında bunları kullanmak isteyen aktörler tarafından çözülüyor.”
Rehberlik Yok, KEV Yok
CISA’nın KEV kataloğundaki tavsiyesine göre, bir güvenlik açığı yaygın olarak kullanılıyor olsa bile, düzeltme için net bir kılavuz yoksa CISA, bu güvenlik açığını KEV’e eklemeyi geciktirebilir.
Bu gereklilik kısmen federal hükümetin KEV’i nasıl kullandığından kaynaklanmaktadır. Bağlayıcı Operasyonel Yönerge 22-01, her federal kurumun, herhangi bir güvenlik açığının saldırganlar tarafından istismar edilmiş veya istismar ediliyor olması durumunda iki hafta içinde düzeltilmesini gerektirmektedir. Bu nedenle her KEV girişi, sorunun çözülmesi gereken bir son tarihle birlikte gelir. Ancak Rapid7’den Condon, herhangi bir iyileştirme adımı veya hatta sağlam bir geçici çözüm yoksa CISA’nın KEV güncellemesi yayınlamaktan kaçınabileceğini söylüyor.
“KEV’e bir güvenlik açığı eklemek için CISA’nın açık kriterlerinden biri, bu güvenlik açığı için ‘açık bir düzeltme eyleminin’ mevcut olması gerektiğidir – [for example,] Satıcı tarafından sağlanan bir düzeltme” diyor ve bunun Juniper cihazlarındaki güvenlik açıklarına yönelik gecikmiş güncellemenin nedeninin bir parçası olabileceğini ekliyor. “Bugüne kadar Juniper Networks’ün tavsiye belgesindeki beş CVE’den yalnızca birinin özel bir çözümü var gibi görünüyor yama … geri kalan CVE’ler için önerilen eylem şudur: [a] geçici çözüm, [which] daha önce CISA’nın satıcı tarafından sağlanan iyileştirme çıtasını karşılamaya yeterli olmayabilirdi.”
CISA makale hakkında yorum yapmayı reddetti ancak okuyucuları makalenin rehberliğine yönlendirdi.
KEV’in Yama Önceliğindeki Yeri
Gecikmeler göz önüne alındığında, şirketlere, CISA tarafından bile, bir güvenlik açığından yararlanılıp yararlanılmadığına ilişkin birincil bilgi kaynağı olarak KEV kataloğuna güvenmemeleri tavsiye ediliyor. Flashpoint’ten Martin, herhangi bir yama önceliklendirme tekniğinin artıları ve eksileri olduğunu söylüyor. KEV, istismar verileri için iyi bir kaynaktır ancak şirketlerin FIRST’ün Exploit Tahmin Puanlama Sistemi, fidye yazılımı tahmin modelleri, Rapid7’nin AttackerKB’si ve Flashpoint’in VulnDB istismar sınıflandırması gibi diğer veritabanlarına bakması gerekir.
“KEV, önceliklendirme için sağlam bir referans noktasıdır, ancak bu bilgiye nasıl ulaştığı biraz belirsiz; bu nedenle burada bunun nasıl olduğunu anlamaya çalışıyoruz” diyor. “Bu bulanıklık tasarımdan kaynaklanıyor, çünkü yetkili bir kaynak olarak ona güvenmemiz gerekiyor ama yine de KEV’de düzeltilmesi zor hatalar var.”
Rapid7’den Condon, diğer veritabanlarının bile kendi zorlukları olduğunu söylüyor. Şirket, istismar raporlarında kaynak materyal ve alıntı isteme konusunda nispeten katı olsa da, kaynakların doğrulanması genellikle çok zordur.
“Örneğin, daha önce güvenlik verileri sağlayıcıları tarafından rapor edilen istismarlara tanık olmuştuk; ancak daha sonra şirketlerin, örneğin onaylanmış yük teslimi veya yürütülmesinden ziyade ‘kötü amaçlı tarama faaliyeti’ hakkında konuştuğunu öğrendik. doğrudan devam eden saldırgan davranışına yol açar” diyor. “Bu nüansları, özellikle de genel olarak yüksek hacimli bir tehdit ortamında, güvenlik uygulayıcılarının anlaması zor olabilir.”