Informacja, że liczba przypisanych identyfikatorów Common Vulnerabilities and Exposures (CVE), a także liczba organizacji posiadających uprawnienia do nadawania numerów CVE (CNA) w 2023 r. wzrosły w porównaniu z rokiem poprzednim, na pewno nie zdziwi uważnych czytelników Kapitana Hacka. O podatnościach piszemy często i z uporem przypominamy, dlaczego warto instalować patche.
Zagadnienie to może prezentować się ciekawiej, kiedy spojrzymy na luki pod kątem statystycznym. Dlatego dzisiejszy tekst przyniesie garść informacji, a także opis jednego ze sposobów na walkę z podatnościami realizowanego przez internetowego giganta, czyli Google.
Oddajmy głos autorytetowi. Według Jerry’ego Gamblina, głównego inżyniera w Cisco Threat Detection & Response, w 2023 r. opublikowano 28 902 CVE, w porównaniu z 25 081 w 2022 r. Oznacza to średnio prawie 80 nowych CVE dziennie. Od 2017 r. liczba publikowanych CVE stale rośnie.
Jeśli chodzi o wagę, średni wynik CVSS dla CVE w 2023 r. wyniósł 7,12, a 36 lukom przypisano ocenę 10.
Według danych Programu CVE, prowadzonego przez MITER i sponsorowanego przez rząd USA, liczba nowych CNA ogłoszonych w 2023 wyniosła 84 (w porównaniu do 56 w 2022). Obecnie jest ich prawie 350 z 38 krajów.
CNA to dostawcy, firmy zajmujące się cyberbezpieczeństwem i inne organizacje, które mogą przypisywać identyfikatory CVE lukom wykrytym w ich własnych produktach i/lub produktach innych firm.
Lista CNA obejmuje niezależne grupy hakerskie, takie jak np. Austin Hackers Anonymous, organizacje zajmujące się oprogramowaniem, takie jak ServiceNow i Open Design Alliance, producentów sprzętu, w tym Schweitzer Engineering Laboratories, AMI, Moxa, Phoenix Technologies i Arm, agencje rządowe, np. Narodowe Centrum Cyberbezpieczeństwa w Finlandii (NCSC-FI), firmy zajmujące się cyberbezpieczeństwem, jak Mandiant, Checkmarx, Otorio, VulnCheck, CrowdStrike, SEC Consult, Illumio i HiddenLayer, a nawet producentów sprzętu drukującego, m.in. Lexmark, Canon (EMEA) i Xerox.
Gamblin zauważył, że 250 organizacji zrzeszonych w CNA opublikowało co najmniej jedno CVE w 2023 r. Do czołowych klasyfikatorów podatności należały: Microsoft, VulDB, GitHub i WordPress, firmy zajmujące się bezpieczeństwem WPScan i PatchStack. VulDB, GitHub, WPScan i PatchStack przydzieliły w zeszłym roku łącznie ponad 6700 identyfikatorów CVE. Nie tylko działy bezpieczeństwa organizacji wyszukują luki w oprogramowaniu i sprzęcie. Praktycznie każda większa organizacja ma programy bug bounty i korzysta z pomocy zewnętrznych badaczy. Za przykład niech posłuży nam Google, które w maju 2023 roku zaktualizowało program nagród za luki w zabezpieczeniach urządzeń Android i urządzeń Google (VRP) o nowy system oceny jakości raportów o błędach.
Nowa metoda oceny jakości ma za zadanie zachęcić badaczy do podawania większej liczby szczegółów na temat zidentyfikowanych wad bezpieczeństwa. Powinna także pomóc w szybszym ich usuwaniu.
Zgodnie z nowym systemem oceny otrzymane raporty o podatnościach będą oceniane pod względem jakości. „Wysoka”, „średnia” lub „niska” ocena zostanie odpowiednio nagrodzona.
„Najwyższa jakość i najbardziej krytyczne luki w zabezpieczeniach kwalifikują się teraz do większych nagród, sięgających nawet 15 000 dolarów” – twierdzi internetowy gigant.
Google oczekuje, że badacze jasno i dokładnie opiszą zidentyfikowaną usterkę oraz uwzględnią w swoich raportach nazwę i wersję narażonego urządzenia, pełną analizę pierwotnej przyczyny błędu, wysokiej jakości dowód koncepcji (PoC) prezentujący problem oraz wyjaśnienie, jak go krok po kroku odtworzyć.
Ponadto spółka oczekuje, że badacze przedstawią dowody lub analizę pokazującą poziom dostępu lub wykonania, jaki można osiągnąć poprzez wykorzystanie luki.
Przy okazji może warto zauważyć, że Google nie przypisuje już kodów CVE dla większości luk w zabezpieczeniach Androida, którym przypisano „umiarkowaną” ocenę ważności. Na koniec wrócimy do statystyk. Warto wspomnieć2, jakie luki obserwujemy najczęściej w oprogramowaniu. Najczęściej przypisywanym typem identyfikatora Common Weakness Enumeration (CWE) był CWE-79, czyli niewłaściwa neutralizacja danych wejściowych podczas generowania strony internetowej, znana jako cross-site scripting (XSS). W zeszłym roku ponad 4100 CVE zostało przypisanych do luk XSS. Kolejna luka miała o przeszło połowę mniej przypisanych CVE. Na drugim miejscu uplasowało się wstrzykiwanie SQL, z około 2000 przypadkami.