Mer ofta än inte, publicering av proof-of-concept (PoC) för kod för en säkerhetsbrist, särskilt en zero-day, har lett till snabbt antagande av en sårbarhet genom hot av aktörer som brukar börja attacker inom några timmar eller dagar, och inte ge slutanvändarna tillräckligt med tid för att lappa påverkade system.
Det har varit en debatt om denna fråga, särskilt när PoC kod inte kommer från dåliga killar eller andra oberoende källor, men från white-hat säkerhet forskare, som i teorin borde vara inriktad på att skydda användarna.
Debatten kring det kontroversiella praktiken har pågått i flera år, med människor i informationssäkerheten (infosec) fält med båda sidor om gången.
Den ena sidan hävdar att säkerhet forskare aldrig ska publicera PoC kod för angripare kan ta koden och automatisera attacker, medan den andra sidan hävdar att PoC kod behövs också för att testa stora nätverk och identifiera sårbara datorer, varför det bör ingå om sådana finns tillgängliga, eftersom det gör det möjligt för IT-avdelningen att simulera framtida attacker.
I “It-säkerhet threatscape Q4 2018” en rapport som publicerades förra månaden, säkerhetsexperter från Positiva Teknik berört denna långvariga debatt igen.
Medan Positiva Teknik experter inte har problem med publiceringen av proof-of-concept kod i allmänhet, de hade problem med lanseringen av PoC-kod för snabbt efter nyheten om en sårbarhet bröt, eller utgivningen av PoC-kod för noll-dagar-både fall som inte lämnar användarna tillräckligt med tid för att lappa, om ingen tid alls.
Det företag som nämns i denna fråga i sin kvartals-threat report eftersom sådana incidenter har varit som händer mer och mer ofta.
Till exempel, listan nedan innehåller en rad incidenter där angrepp har ägt rum omedelbart efter offentliggörandet av PoC-kod, eller om forskare publicerade zero-day upplysningar som åtföljs av PoC-kod, istället för att vänta till säljaren fläckar.
En Windows zero-day lämnas ut på Twitter med en PoC ingår, var utsatt för skadlig kod kampanjer som följs av ESET forskare.PoC kod som publicerades för en okorrigerad bugg i en Kinesisk PHP ramverk ledde till omedelbar attacker mot miljontals webbplatser.PoC kod som publicerades för en Cisco fel avslöjade förra året och som påverkar RV110, RV130, och RV215 routrar lett till attacker mot sådana enheter, och en Cisco patch följde snart efter.En Internet Explorer-zero-day antogs av en exploit kit inom några dagar förra året efter offentliggörandet av PoC-kod.Cobalt hacka gruppen också har börjat använda en Flash-zero-day dagar efter offentliggörandet av en lapp och PoC-kod.
ZDNet talade med Leigh-Anne Galloway, it-säkerhet motståndskraft leda till Positiva Teknik, för att utöka ämnet ytterligare.
“Som en industri, har vi som ansvarar disclosure riktlinjer. Detta är inte följs av alla,” Galloway sade ZDNet i en intervju. “Det är inte lika kända eller förstådda av alla leverantörer.
“Ofta föraren för att avslöja offentligt är på grund av att säljaren inte har insett allvaret i frågan och stänger inte sårbarhet. Eller säkerhet forskaren kan ha prövat alla andra vägar för att kommunicera sina resultat. Naturligtvis, det finns en risk att brottslingar kan använda denna information för att rikta offer.
“Leverantörer be att få fram bevis för att de problem som faktiskt finns i deras produkt och kan utnyttjas när forskare rapportera säkerhetsproblem till dem. Forskare måste visa hur det kan utnyttjas, och för detta, PoCs har skapats.
“Närvaron av en exploatering som också avgör graden av fara som tilldelats av CVSS system. Om en säljare betalar forskare för att de avslöjat svagheter inom ramen för en bug bounty, forskare tjäna pengar på detta arbete, men ofta leverantörer inte ordna sina bugg-bounty-program, och allt som en forskare kan få från detta är offentligt erkännande av experternas.
“Genom att visa en beskrivning av den utsatthet på Internet, som visar ett exempel på drift och PoC kod, forskare få erkännande och respekt,” Galloway sade.
“Oftast, forskare publicera exploit-kod först efter att en tillräckligt lång tid efter att de skriftligen meddela säljaren om sårbarhet, vilket ger produktutvecklare möjlighet att stänga sårbarhet och meddela användare om behovet av att installera uppgraderingar.
“Men mycket ofta, leverantörer kommer att försena lanseringen av patchar och uppdateringar, ibland under en period av mer än sex månader, så det händer att offentliggörandet av [PoC] utnyttja uppstår bokstavligen efter publiceringen av plåstret.
“Dessutom kan vi inte utesluta fall där utnyttja publiceras inte av de forskare som berättade för säljaren om sårbarhet, men någon annan som just fått reda på om sårbarheten från Internet och skrev omedelbart en exploit för det,” Galloway sade.
“Å ena sidan, publicering av en exploatering ökar risken för framgångsrika attacker och förenklar själva attacken, men å andra sidan, det är ett incitament för företag och vanliga användare att följa de grundläggande principerna för informationssäkerhet för att uppdatera sina system regelbundet och i tid, för” de Positiva Teknik experten slutsatsen.
Så, allt som allt, publicering av PoC-kod är till hjälp i vissa fall, men säkerheten forskare som tycker att dessa brister, eller även de som studerar dessa buggar, bör visa viss återhållsamhet i att publicera en sådan kod för tidigt efter en patch släpps, eller åtminstone fördröja det för ett par veckor, för att ge användarna tid att lappa.
Relaterade it-säkerhet täckning:
Microsoft släpper Ansökan Vakt tillägg för Chrome och FirefoxAlmost 150 miljoner användare påverkas av nya SimBad Android adwareTwo tredjedelar av alla Android-antivirus program är fraudsAndroid Q för att få massor av nya integritet featuresChinese hacka gruppen bakdörrar produkter från tre Asiatiska gaming companiesBanking Trojaner översvämning företaget, Android attacker våg
Android ‘API bryta sårbarhet läcker enhet data, kan användare spåra TechRepublicAndroid säkerhet program har hjälpt till att fixa över 1 MILJON appar i Google Play CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter