Menu dostępności

Jak wyglądał rok 2023 w kontekście podatności

Jak wyglądał rok 2023 w kontekście podatności? Ujęcie statystyczne

Informacja, że liczba przypisanych identyfikatorów Common Vulnerabilities and Exposures (CVE), a także liczba organizacji posiadających uprawnienia do nadawania numerów CVE (CNA) w 2023 r. wzrosły w porównaniu z rokiem poprzednim, na pewno nie zdziwi uważnych czytelników Kapitana Hacka. O podatnościach piszemy często i z uporem przypominamy, dlaczego warto instalować patche.

Zagadnienie to może prezentować się ciekawiej, kiedy spojrzymy na luki pod kątem statystycznym. Dlatego dzisiejszy tekst przyniesie garść informacji, a także opis jednego ze sposobów na walkę z podatnościami realizowanego przez internetowego giganta, czyli Google.

Oddajmy głos autorytetowi. Według Jerry’ego Gamblina, głównego inżyniera w Cisco Threat Detection & Response, w 2023 r. opublikowano 28 902 CVE, w porównaniu z 25 081 w 2022 r. Oznacza to średnio prawie 80 nowych CVE dziennie. Od 2017 r. liczba publikowanych CVE stale rośnie.

Jeśli chodzi o wagę, średni wynik CVSS dla CVE w 2023 r. wyniósł 7,12, a 36 lukom przypisano ocenę 10.

Według danych Programu CVE, prowadzonego przez MITER i sponsorowanego przez rząd USA, liczba nowych CNA ogłoszonych w 2023 wyniosła 84 (w porównaniu do 56 w 2022). Obecnie jest ich prawie 350 z 38 krajów.

CNA to dostawcy, firmy zajmujące się cyberbezpieczeństwem i inne organizacje, które mogą przypisywać identyfikatory CVE lukom wykrytym w ich własnych produktach i/lub produktach innych firm.

Lista CNA obejmuje niezależne grupy hakerskie, takie jak np. Austin Hackers Anonymous, organizacje zajmujące się oprogramowaniem, takie jak ServiceNow i Open Design Alliance, producentów sprzętu, w tym Schweitzer Engineering Laboratories, AMI, Moxa, Phoenix Technologies i Arm, agencje rządowe, np. Narodowe Centrum Cyberbezpieczeństwa w Finlandii (NCSC-FI), firmy zajmujące się cyberbezpieczeństwem, jak Mandiant, Checkmarx, Otorio, VulnCheck, CrowdStrike, SEC Consult, Illumio i HiddenLayer, a nawet producentów sprzętu drukującego, m.in. Lexmark, Canon (EMEA) i Xerox.

Gamblin zauważył, że 250 organizacji zrzeszonych w CNA opublikowało co najmniej jedno CVE w 2023 r. Do czołowych klasyfikatorów podatności należały: Microsoft, VulDB, GitHub i WordPress, firmy zajmujące się bezpieczeństwem WPScan i PatchStack. VulDB, GitHub, WPScan i PatchStack przydzieliły w zeszłym roku łącznie ponad 6700 identyfikatorów CVE. Nie tylko działy bezpieczeństwa organizacji wyszukują luki w oprogramowaniu i sprzęcie. Praktycznie każda większa organizacja ma programy bug bounty i korzysta z pomocy zewnętrznych badaczy. Za przykład niech posłuży nam Google, które w maju 2023 roku zaktualizowało program nagród za luki w zabezpieczeniach urządzeń Android i urządzeń Google (VRP) o nowy system oceny jakości raportów o błędach.

Nowa metoda oceny jakości ma za zadanie zachęcić badaczy do podawania większej liczby szczegółów na temat zidentyfikowanych wad bezpieczeństwa. Powinna także pomóc w szybszym ich usuwaniu.

Zgodnie z nowym systemem oceny otrzymane raporty o podatnościach będą oceniane pod względem jakości. „Wysoka”, „średnia” lub „niska” ocena zostanie odpowiednio nagrodzona.

„Najwyższa jakość i najbardziej krytyczne luki w zabezpieczeniach kwalifikują się teraz do większych nagród, sięgających nawet 15 000 dolarów” – twierdzi internetowy gigant.

Google oczekuje, że badacze jasno i dokładnie opiszą zidentyfikowaną usterkę oraz uwzględnią w swoich raportach nazwę i wersję narażonego urządzenia, pełną analizę pierwotnej przyczyny błędu, wysokiej jakości dowód koncepcji (PoC) prezentujący problem oraz wyjaśnienie, jak go krok po kroku odtworzyć.

Ponadto spółka oczekuje, że badacze przedstawią dowody lub analizę pokazującą poziom dostępu lub wykonania, jaki można osiągnąć poprzez wykorzystanie luki.

Przy okazji może warto zauważyć, że Google nie przypisuje już kodów CVE dla większości luk w zabezpieczeniach Androida, którym przypisano „umiarkowaną” ocenę ważności. Na koniec wrócimy do statystyk. Warto wspomnieć2, jakie luki obserwujemy najczęściej w oprogramowaniu. Najczęściej przypisywanym typem identyfikatora Common Weakness Enumeration (CWE) był CWE-79, czyli niewłaściwa neutralizacja danych wejściowych podczas generowania strony internetowej, znana jako cross-site scripting (XSS). W zeszłym roku ponad 4100 CVE zostało przypisanych do luk XSS. Kolejna luka miała o przeszło połowę mniej przypisanych CVE. Na drugim miejscu uplasowało się wstrzykiwanie SQL, z około 2000 przypadkami.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...