Getty Images / IstockPhoto
默默修补的风险,以及必须结束修补的原因
TCP / IP软件中的默默修补漏洞是安全供应商之间的有害,但常见的习惯,阻碍了网络安全社区的安全姿势。
脆弱性研究的目标是通过帮助软件和设备供应商修复其产品中的漏洞,提高行业的安全性。
不幸的是,一些供应商阻碍了沉默修补的改进,这是避免的漏洞的公开披露和文档和他们的补丁。最终,他们的客户、合作伙伴和网络安全社区为无声补丁付出了代价。
在过去的两年里,我和我的Forescout Technologies同事一起工作项目备忘录这是一项广泛的研究TCP / IP.在许多关键行业中连接数百万运算技术设备的堆栈。我们的研究人员在3亿IOT,操作技术(OT)和IT设备中发现了97个TCP / IP堆栈中的97个漏洞。我们花了几个月与政府官员和受影响的供应商谈论如何减轻这些风险。
漏洞披露并不总是欣赏。一些供应商将为任何事情做任何事情来避免引起对这些风险的关注,即使它意味着继续将这些问题传递给他们的客户,合作伙伴甚至其他物联网设备。一些供应商拒绝承认他们的漏洞,这就是为什么与政府官员合作可以帮助的原因。其他人拒绝优先考虑响应,而是可能默默地修补漏洞。沉默的修补引起了令人担忧的问题。
当漏洞被发现并被私下修复,但从未分配公共文档可用的Common vulnerability and exposure (CVE) ID时,就会发生静默补丁。尽管那些为漏洞打补丁的供应商似乎对解决当前的问题负有责任,但缺乏公开披露和文档可能会导致各种各样的挑战。
项目Memoria的令人不安的洞察力揭示了数百万关键连接设备中存在修补的漏洞。在核:13我们发现了第二次悄悄修补漏洞的实例。这意味着,由于供应商对他们的补丁保持沉默,数百万易受攻击的设备可能仍在使用它们的公司不知情的情况下运行。
这IT与OT的融合系统,加上不断增加的连接设备和工业物联网数量,意味着TCP/IP软件漏洞有可能让攻击者在多个行业造成严重破坏。
供应链中的多米诺骨牌效应
如果你家里有水泄漏,你知道停止泄漏只是第一步。您不仅需要清理那间房间的所有水,而且还需要考虑房屋的其他房间是否受到影响,如果在地板和天花板,模具等地板上有看不见的话。同样的心态应适用于修补漏洞。
例如,在Forescout的2021报告中名称:沉船我们的研究人员发现了CVE-2016-20009的漏洞CVE-2016-20009,以前在2016年被埃及克斯智力揭示。脆弱性从未被分配了CVE ID,也没有被供应商公开报告的CVE ID。沉默的修补留下了与易受攻击攻击至少五年的相同脆弱性的其他关键设备。
就像漏水一样,制造商可能已经修补了漏洞保护物联网设备但是,具有相同问题的其他设备留下了成型安全性。在我们在2021年重新发现这一弱势堆栈之后,使用易受攻击软件的关键基础设施的其他供应商必须释放建议,例如西门子燃气轮机,BD Alaris输液泵和通用电力医疗设备。
一个麻烦的负担
除了负面影响客户和合作伙伴的安全姿势,沉默的补丁是对安全研究人员的主要烦恼。使用受影响的供应商识别和修复漏洞的过程已经复杂,足够困难,因为许多公司拒绝承认这种情况或做任何事情来优先考虑反应。沉默的修补使过程更具挑战性。
当安全研究人员独立地重新发现从未被颁发CVE ID或公开披露的漏洞时,这迫使他们重复本应已经完成的工作,并分散了其他本可以完成的有价值的工作。这也造成了与发现漏洞的原始研究人员协调的问题,进一步复杂化了披露过程,浪费了更多的时间。
最终,沉默的补丁延长了修复过程 - 从发出CVE ID以通过供应链提醒客户和合作伙伴。立即采取更高效率和公开披露的补丁可以优化每个人的时间研究和修补漏洞,以便我们恢复我们的目标,以确保该行业大。
关于作者
丹尼尔·多斯桑托斯(Daniel dos Santos)拥有意大利特伦托大学(University of Trento, Italy)的计算机科学博士学位,在网络安全方面发表了30多篇期刊和会议论文。他拥有软件开发、安全测试和研究方面的经验。他现在是Forescout Technologies的高级研究经理,领导一个漏洞和威胁研究团队,并在网络安全监控的创新特性的研究和开发上进行合作。
