Er is veel discussie geweest binnen de cyberbeveiligingsgemeenschap over Randori, een beveiligingsbedrijf dat een jaar heeft gewacht voordat het een kritieke bufferoverloopfout openbaarde die het ontdekte in Palo Alto Networks' GlobalProtect VPN.
De zero-day — die een ernstclassificatie van 9,8 heeft en voor het eerst werd gerapporteerd door ZDNet — zorgt voor niet-geverifieerde, externe code-uitvoering op kwetsbare installaties van het product.
Het probleem treft meerdere versies van PAN- OS 8.1 vóór 8.1.17, en Randori zei dat het talloze kwetsbare instanties had gevonden op internetgerichte activa, meer dan 70.000 activa. Het wordt gebruikt door een aantal Fortune 500-bedrijven en andere wereldwijde ondernemingen.
Aaron Portnoy, hoofdwetenschapper bij Randori, legde aan ZDNet uit dat zijn team in oktober 2020 de opdracht kreeg om kwetsbaarheden te onderzoeken met de GlobalProtect Portal VPN. In november 2020 ontdekte zijn team CVE-2021-3064, begon met geautoriseerde exploitatie van Randori-klanten en bracht het met succes bij een van hun klanten – via internet – niet alleen in een laboratorium.
Ze hebben Palo Alto Networks pas een paar weken geleden op de hoogte gebracht, volgens de tijdlijn die ze hebben verstrekt.
Palo Alto Networks heeft zijn eigen advies over het probleem uitgebracht, het gepatcht en gezegd er is geen bewijs dat het in het wild is uitgebuit.
Maar de acties van Randori in de zaak hebben geleid tot een aanzienlijke terugslag van sommigen in de cyberbeveiligingsgemeenschap, die beweren dat het bedrijf geen 12 maanden had moeten wachten voordat het het aan Palo Alto Networks bekendmaakte. Portnoy heeft meerdere verklaringen op Twitter uitgebracht waarin het bedrijf wordt verdedigd tegen kritiek.
Anderen hebben bezwaar gemaakt tegen het besluit van Randori om de 0-day in red teamoefening te gebruiken en anderen vroegen zich af of ze de melding van het probleem achterhielden om hun werk en hun bedrijf verder bekend te maken. Ondanks het verzet zijn sommigen naar Randori's verdediging gekomen met het argument dat hun acties alledaags zijn.
David Wolpoff, Randori's CTO, vertelde ZDNet dat het bedrijf “veel factoren heeft gewogen bij het bepalen van de openbaarmaking om de schade voor de sector te minimaliseren, ” inclusief analyse van de software, patchstatus, versieproblemen, bestaande herstelstrategieën en meer.
“We kunnen niet in detail reageren, omdat we bewust wegblijven van het onthullen van technische details die misbruik mogelijk zouden maken. We willen de transparantie van ons besluitvormingsproces vergroten omdat mensen de nuance niet lijken te begrijpen, maar we zijn nog steeds erg blij geloven in ons beleid en onze beslissing”, zei Wolpoff.
Randori wilde geen vragen beantwoorden over waarom ze 12 maanden hebben gewacht om de kwetsbaarheid bekend te maken.
Maar Wolpoff zei dat er “altijd zorgen zijn” en voerde aan dat het bedrijf “zich terdege bewust is van de risico's van het hebben van een dergelijke mogelijkheid.”
Toch voerde hij aan dat kennis van de kwetsbaarheid “het risico niet vergroot”.
“Als we van de bug wisten of niet, is het risicoprofiel voor het publiek hetzelfde. In dit geval – – een kleine release binnen een grote versie van software – we wisten dat er al oplossingen bestonden die door de leverancier werden aanbevolen”, zei Wolpoff.
“Dit heeft meegewogen in onze beslissing. We waren op de hoogte van de nuance met betrekking tot de PAN-update en hebben (samen met andere statistieken) meegewogen in onze afweging van de bijbehorende risico's.”
< p>De meningen onder experts liepen uiteen. Casey Ellis, oprichter en CTO bij Bugcrowd, zei dat beslissingen over kwetsbaarheid moeilijk te vertrouwen zijn als er een duidelijk commercieel belangenconflict is.
Vulcan Cyber CEO Yaniv Bar-Dayan vertelde ZDNet dat er verschillende benaderingen zijn voor het verantwoord openbaar maken van kwetsbaarheden, maar het meest cruciaal is de opportuniteit van alle betrokken partijen en een altruïstische samenwerking tussen onderzoekers en verantwoordelijke organisaties.
“Tijd is van essentieel belang als het doel systeem- en gegevensbeveiliging is. De bedoeling van programma's voor het vrijgeven van kwetsbaarheden wordt afgebroken als de openbaarmakingsdoelstellingen van onderzoekers of leveranciersorganisaties ooit afwijken van pure beveiliging”, zei Bar-Dayan. “Bijvoorbeeld: het onlangs aangekondigde Google Project Zero vereist dat de volledige details van een kwetsbaarheid binnen 90 dagen na ontdekking worden gepubliceerd, ongeacht of de leverancierorganisatie al dan niet een patch of oplossing heeft geboden.”
ThreatModeler CEO Archie Agarwal legde uit dat er een lange traditie is van cyberbeveiligingsprofessionals die gaten in de beveiliging in populaire software vinden en de kwetsbaarheid openbaar maken aan het ontwikkelingsbedrijf en daarna aan het publiek.
Het idee, zei Agarwal, is dat de 'good guys' de problemen eerder vinden dan de 'bad guys'.
“Er is ethisch niets mis met deze praktijk zolang de openbaarmaking verantwoordelijk is en alle inspanningen worden geleverd om met het bedrijf te coördineren op het gebied van herstel en hen de tijd te geven om een patch te maken voordat deze publiekelijk bekend wordt, zoals het geval lijkt te zijn in dit geval,” legde Agarwal uit.
“Gewettigde bug bounties werken hetzelfde. Het ongelukkige is dat criminelen ook de openbaarmaking zien en steeds sneller worden in het ontwikkelen van exploits en dus worden degenen die de patch niet snel genoeg updaten, vaak opengelaten voor geautomatiseerde aanvallen .”
JJ Guy, CEO van Sevco Security, betoogde dat de taak van een rood team eenvoudig is: de tegenstander navolgen.
“Als tegenstanders 0-dagen gebruiken, zouden onze rode teams deze ook moeten gebruiken. We kunnen ons niet voorbereiden op de realiteit van hoe we zullen reageren op compromissen als rode teams klappen uitdelen. Veel organisaties moeten hoogwaardige activa beschermen tegen Real-world aanvallen door tegenstanders die dit niveau van bekwaamheid brengen. Het is uiterst waardevol voor deze organisaties om hun vermogen te oefenen om 0-day te detecteren en erop te reageren. Ze weten dat ze zich moeten verdedigen tegen onbekenden, “zei Guy.
“Software is niet perfect veilig en zal nooit perfect zijn. Er zijn een oneindig aantal 0 dagen die wachten om ontdekt te worden, dus als uw IT-team denkt dat ze alle gaten kunnen dichten, hebben ze het mis.”< /p>
Beveiliging
Exchange Server-bug: patch onmiddellijk, waarschuwt Microsoft Gemiddelde ransomware-betaling voor Amerikaanse slachtoffers meer dan $ 6 miljoen Microsoft Patch dinsdag: 55 bugs geplet, twee onder actief misbruik Vermoedelijke REvil-ransomware filialen gearresteerd Het beste phishing-doelwit? Uw smartphone Waarom u deze beveiligingssleutel van $ 29 nodig heeft Security TV | Gegevensbeheer | CXO | Datacenters