ABD merkezli bir istismar istihbaratı uzmanı olan VulnCheck, son kullanıcılar arasında etkili ortak güvenlik açıklarını ve riskleri (CVE’ler) daha geniş çapta duyurmak amacıyla kendi Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğunu başlattı.
Kuruluş, VulnCheck topluluğuna katılanların ücretsiz olarak erişebileceği aracın, güvenlik ekiplerine ve diğer savunuculara açık alanda istismar edilen güvenlik açıkları hakkında bilgi sağlayacağını, tehditleri daha iyi yönetmelerine, ne yapılması gerektiğini anlamalarına yardımcı olacağını söylüyor. öncelikli olun ve sorunlu hataların önünde olun.
VulnCheck’in girişiminin ardındaki konsept, Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin (NCSC) Amerika’daki karşılığı olan ABD Siber Güvenlik Altyapısı ve Güvenlik Ajansı (CISA) tarafından yürütülen tanınmış KEV kataloğundan yararlanıyor.
CISA KEV kataloğu, kurumun ABD devlet kurumları için bir tehdit olarak değerlendirdiği güvenlik açıklarını izlemek üzere tasarlanmıştır ve belirli bir zaman çizelgesi içinde düzeltme veya yama yapılmasını zorunlu kılar; bu koşullar özel kuruluşlar veya kamu üyeleri için geçerli değildir.
Ancak CISA’nın sıkı odaklanması bazı şeyleri gözden kaçırdığı anlamına geliyor; VulnCheck şu anda CISA’dan daha fazla açık alanda istismar edilen 876 veya %81’lik güvenlik açığını takip ettiğini ve kataloğuna Arlington’dan 27 gün önce yeni hatalar eklediğini söylüyor. , İç Güvenlik Bakanlığı’nın (DHS) bir parçasını oluşturan Virginia merkezli kurum.
VulnCheck’in kurucusu ve CEO’su Anthony Bettini, “CISA KEV kataloğu sektörümüzde paha biçilmez bir araç ve itici güç olmaya devam ediyor, ancak daha geniş bir görünürlük ve genellikle bilinen istismara ilişkin daha erken göstergeler için bir fırsat var” dedi.
“Bu nedenle, tümü makine hızında sunulan, daha geniş çapta bilinen istismar edilen güvenlik açığı istihbaratı ve referans malzemeleri sağlayan bir topluluk kaynağı sunmaya karar verdik.”
Siber risk ve sigorta hizmetleri tedarikçisi Coalition tarafından yürütülen son araştırma, açıklanan toplam CVE sayısının 2024 yılında %25 artarak neredeyse 35.000 gibi yeni bir rekora ulaşacağını ortaya çıkardı. Bu hızlı büyümenin ve kötü niyetli aktörlerin aynı derecede hızlı istismarının ışığında VulnCheck, hızlı hareket etme ve geniş bir veri yelpazesine erişme yeteneğinin güvenlik ekipleri için son derece değerli varlıklar olduğunu ve bunu kendi hizmeti aracılığıyla sağlayabileceğini umduğunu söyledi.
Yeni hizmetin temel özelliklerinden bazıları arasında, CISA tarafından listelenenlerin tümü dahil olmak üzere kapsamlı CVE takibi; mümkünse halka açık kavram kanıtı (PoC) yararlanma kodu da dahil olmak üzere bağlamsal istismar istihbaratı; ve yararlanma referansları ile yeni KEV, savunuculara belirli bir CVE’nin neden kesinti yaptığına dair bir fikir vermek için listelenen tüm CVE’ler için alıntılar sağlar; örneğin, bir fidye yazılımı çetesi tarafından kullanılıyorsa, bunun kanıtı verilecektir.
Araç artık VulnCheck KEV kontrol paneli, makine tarafından okunabilen JSON ve VulnCheck KEV API uç noktası aracılığıyla topluluk üyelerinin kullanımına sunuldu.
Örnek olay: Atlassian’da üç günlük bir avantaj
VulnCheck, yeteneklerinin ileriye dönük olarak nasıl çalışacağının bir göstergesi olarak, Atlassian Confluence Server’da yakın zamanda açıklanan ve Atlassian tarafından 2013’te açıklanan bir uzaktan kod yürütme (RCE) kusuru olan CVE-2023-22527 olarak takip edilen bir CVE’nin yaşam döngüsüne ilişkin bazı bilgiler de paylaştı. 16 Ocak 2024 tarihli bir danışma belgesi.
21 Ocak itibarıyla, DFIR Raporu’nda bu güvenlik açığından yararlanıldığı gözlemlendi ve aynı gün VulnCheck KEV kataloğuna eklendi. 22 Ocak’ta ShadowServer Foundation ve SANS’ın izniyle kötüye kullanıma ilişkin ek onay geldi ve o gün GitHub’a üç açık PoC eklendi. Tenable’daki araştırmacılar 23 Ocak’ta iki kuruş eklediler ve daha fazla yararlanma kodu ortaya çıkmaya başladı, ardından hata nihayet 24 Ocak’ta CISA kataloğuna düzeltilme tarihi 14 Şubat olacak şekilde eklendi.