Vaker wel dan niet, de publicatie van ‘ proof-of-concept (PoC) – code voor een lek, in het bijzonder een zero-dag, heeft geleid tot de snelle adoptie van een kwetsbaarheid door bedreiging acteurs die meestal beginnen de aanvallen binnen enkele uren of dagen, en geef geen eind-gebruikers genoeg tijd om de patch getroffen systemen.
Er is een debat geweest over dit onderwerp, in het bijzonder wanneer de PoC-code niet van slechteriken of andere onafhankelijke bronnen, maar uit de white-hat security onderzoekers, die in theorie zouden moeten worden gericht op het beschermen van gebruikers.
Het debat over deze controversiële praktijk bestaat al jaren, met mensen in de beveiliging van informatie (infosec) veld, waarbij beide zijden van het gangpad.
De ene kant betoogt dat de onderzoekers van de veiligheid mag nooit publiceren PoC-code omdat aanvallers kunnen nemen die code en het automatiseren van aanvallen, terwijl de andere kant betoogt dat de PoC-code is ook nodig voor het testen van grote netwerken en identificeren van kwetsbare systemen, dus het moet worden opgenomen indien beschikbaar, aangezien het toestaat dat IT-afdelingen voor het simuleren van toekomstige aanvallen.
In de “Cybersecurity threatscape Q4 2018” gepubliceerd rapport van vorige maand, security experts van Positieve Technologieën geraakt aan deze langdurige discussie weer.
Terwijl Positieve Technologieën deskundigen niet hebben van een probleem met de publicatie van proof-of-concept code in het algemeen, ze had wel een probleem met de release van de PoC code te snel na het nieuws van een kwetsbaarheid brak, of de release van de PoC-code voor nul-dagen-zowel zaken die niet laat gebruikers genoeg tijd om de patch, als een mum van tijd op alle.
Het bedrijf dat vermeld staat dit probleem in zijn driemaandelijkse threat report omdat dergelijke incidenten zijn gebeurd steeds vaker.
Bijvoorbeeld de lijst hieronder bevat een reeks van incidenten waarbij de aanvallen hebben plaatsgevonden onmiddellijk na de publicatie van de PoC-code, of waar onderzoekers gepubliceerd zero-day informatieverschaffing begeleid door de PoC-code, in plaats van te wachten op patches van leveranciers.
Een Windows zero-day bekendgemaakt op Twitter met een PoC opgenomen, werd misbruikt in malware campagnes waargenomen door ESET onderzoekers.PoC code gepubliceerd voor een ongepatchte bug in een Chinese PHP framework geleid tot directe aanvallen tegen miljoenen sites.PoC code gepubliceerd voor een Cisco fout vermeld vorig jaar en die van invloed zijn RV110, RV130, en RV215 routers geleid tot aanvallen tegen dergelijke apparaten, en een Cisco patch al snel gevolgd.Een Internet Explorer zero-day werd geadopteerd door een exploit kit binnen enkele dagen vorig jaar, na de publicatie van de PoC-code.De Kobalt hacken van de groep ook begonnen met het misbruik maken van een Flash zero-day dagen na het verschijnen van een patch en de PoC-code.
ZDNet sprak met Leigh-Anne Galloway, cybersecurity veerkracht leiden op Positieve Technologieën, om het onderwerp verder uit te breiden.
“Als een industrie, hebben we verantwoordelijk richtlijnen voor openbaarmaking. Dit is niet gevolgd door alle,” Galloway vertelde ZDNet in een interview. “Ook is het niet bekend of begrepen door alle leveranciers.
‘Vaak is de driver voor de openbaarmaking van publiekelijk is omdat de verkoper niet heeft erkend de ernst van het probleem en is het niet sluiten van de kwetsbaarheid. Of de security-onderzoeker kan hebben geprobeerd alle andere middelen voor het overbrengen van hun bevindingen. Natuurlijk, het gevaar is dat criminelen kunnen deze informatie gebruiken om te richten slachtoffers.
“Verkopers vragen het bewijs te leveren dat de kwetsbaarheid is aanwezig in hun product en kunnen worden benut wanneer de onderzoekers verslag van de kwetsbaarheid voor hen. Onderzoekers nodig hebben om aan te tonen hoe het kan worden benut, en voor dit, PoCs worden gemaakt.
“De aanwezigheid van een exploit, bepaalt ook de mate van gevaar die is toegewezen door de CVSS-systeem. Als een verkoper betaalt de onderzoekers voor de kwetsbaarheden in het kader van een bug bounty, de onderzoekers geld te verdienen met dit werk, maar vaak zijn de verkopers niet met het regelen van hun bug bounty ‘ programma, en alle die een onderzoeker kan krijgen uit publieke erkenning door de expert community.
“Door aan te tonen dat de beschrijving van de kwetsbaarheid op Internet, toont een voorbeeld van de werking en de PoC-code, onderzoekers krijgen erkenning en respect,” Galloway zei.
“Meestal zijn de onderzoekers publiceren de exploit code pas na een voldoende lange tijd, nadat zij dit melden aan de leverancier over de kwetsbaarheid, het geven van product-ontwikkelaars de mogelijkheid om de kwetsbaarheid en de gebruikers op de hoogte stellen van de noodzaak om upgrades te installeren.
“Maar heel vaak, leveranciers vertraging van de release van patches en updates, soms voor een periode van meer dan zes maanden, zo gebeurt het dat de publicatie van de [PoC] exploiteren treedt letterlijk na de publicatie van de patch.
“Bovendien, kunnen wij niet uitsluiten gevallen waar de exploit is niet gepubliceerd door de onderzoeker die vertelde de verkoper over de kwetsbaarheid, maar iemand anders die net gevonden over de kwetsbaarheid van het Internet en schreef meteen een exploit voor het Galloway zei.
“Aan de ene kant, de publicatie van een exploit verhoogt het risico van succesvolle aanvallen en vereenvoudigt de aanval zelf, maar aan de andere kant is het ook een stimulans voor bedrijven en gewone gebruikers volgen van de basis principes van informatie beveiliging bijwerken van hun systemen regelmatig en in een tijdige wijze,” de Positieve Technologieën deskundige gesloten.
Dus, al met al, de publicatie van de PoC-code is in sommige gevallen helpen, maar de beveiliging onderzoekers die vinden dat deze gebreken, of zelfs degenen die het bestuderen van deze bugs, moet wat terughoudend in het publiceren van een dergelijke code te snel na een patch is uitgebracht, of op zijn minst vertragen het voor een paar weken, om de gebruikers tijd te patchen.
Verwante cyber-security dekking:
Microsoft brengt de Toepassing Guard extensie voor Chrome en FirefoxAlmost 150 miljoen gebruikers beïnvloed door nieuwe SimBad Android adwareTwo derde van alle Android antivirus apps zijn fraudsAndroid Q om een ton van nieuwe privacy featuresChinese hacken van de groep backdoors producten van drie Aziatische gaming companiesBanking Trojaanse paarden overstroming van de onderneming, Android aanvallen surge
Android API breken’ kwetsbaarheid lekken apparaat data, laat de gebruiker-tracking TechRepublicAndroid programma voor de beveiliging heeft geholpen fix meer dan 1 MILJOEN apps in de Google Play CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters