Det har förekommit en omfattande debatt inom cybersäkerhetsgemenskapen om Randori, ett säkerhetsföretag som väntade ett år innan de avslöjade ett kritiskt buffertspill som upptäcktes i Palo Alto Networks GlobalProtect VPN.
Nolldagen — som har en allvarlighetsgrad på 9,8 och först rapporterades av ZDNet — tillåter oautentiserad fjärrkörning av kod på sårbara installationer av produkten.
Problemet påverkar flera versioner av PAN- OS 8.1 före 8.1.17, och Randori sa att det hittade många sårbara instanser exponerade på tillgångar som vänder sig mot internet, över 70 000 tillgångar. Den används av ett antal Fortune 500-företag och andra globala företag.
Aaron Portnoy, huvudforskare vid Randori, förklarade för ZDNet att hans team i oktober 2020 fick i uppdrag att undersöka sårbarheter med GlobalProtect Portal VPN. I november 2020 upptäckte hans team CVE-2021-3064, började auktoriserat utnyttjande av Randori-kunder och lyckades landa det hos en av sina kunder – över internet – inte bara i ett labb.
De meddelade inte Palo Alto Networks förrän för några veckor sedan, enligt tidslinjen de angav.
Palo Alto Networks släppte sin egen rådgivning om problemet, har korrigerat det och sagt det finns inga bevis för att den har utnyttjats i naturen.
Men Randoris agerande i fallet har orsakat avsevärd motreaktion från vissa i cybersäkerhetsgemenskapen, som hävdar att företaget inte borde ha väntat 12 månader innan de avslöjade det för Palo Alto Networks. Portnoy har släppt flera uttalanden på Twitter för att försvara företaget från kritik.
Andra har ifrågasatt Randoris beslut att använda 0-dagars övning i röda laget och andra ifrågasatte om de höll tillbaka meddelandet om problemet för att ytterligare publicera sitt arbete och sin verksamhet. Trots motreaktionen har några kommit till Randoris försvar och hävdat att deras handlingar är vanliga.
David Wolpoff, Randoris CTO, sa till ZDNet att företaget “vägde många faktorer när de bestämde avslöjandet för att minimera industrins skada, ” inklusive analys av programvaran, patchstatus, versionsproblem, befintliga åtgärdsstrategier och mer.
“Vi kan inte svara i detalj, eftersom vi avsiktligt håller oss borta från att avslöja tekniska detaljer som skulle möjliggöra exploatering. Vi skulle vilja öka transparensen i vår beslutsprocess eftersom folk inte verkade förstå nyansen, men vi fortfarande väldigt mycket tror på vår policy och vårt beslut,” sa Wolpoff.
Randori ville inte svara på frågor om varför de väntade 12 månader med att avslöja sårbarheten.
Men Wolpoff sa att det “alltid finns oro” och hävdade att företaget är “akut medvetet om riskerna med att ha en sådan här förmåga.”
Ändå hävdade han att att veta om sårbarheten “inte ökar risken.”
“Om vi kände till felet eller inte, är riskprofilen för allmänheten densamma. I det här fallet – – en mindre utgåva inom en större version av programvaran – vi visste att det redan fanns lösningar som rekommenderas av leverantören,” sa Wolpoff.
“Detta ingick i vårt beslut. Vi var medvetna om nyanserna i PAN-uppdateringen, och det (tillsammans med andra mätvärden) ingick i vår vägning av riskerna som är förknippade med det.”
< p>Experternas åsikter varierade. Casey Ellis, grundare och CTO på Bugcrowd, sa att beslut om sårbarhet är svåra att lita på när det finns en uppenbar kommersiell intressekonflikt.
Vulcan Cybers vd Yaniv Bar-Dayan sa till ZDNet att det finns flera sätt att avslöja ansvarsfull sårbarhet, men det viktigaste är lämpligheten hos alla inblandade parter och ett altruistiskt samarbete mellan forskare och ansvariga organisationer.
“Tid är avgörande om målet är system och datasäkerhet. Avsikten med program för avslöjande av sårbarheter går sönder om målen för avslöjande av forskare eller leverantörsorganisationer någonsin avviker från ren säkerhet,” sa Bar-Dayan. “Som ett exempel kräver det nyligen tillkännagivna Google Project Zero att alla detaljer om en sårbarhet publiceras inom 90 dagar efter upptäckten, oavsett om leverantörsorganisationen har tillhandahållit en korrigeringsfil eller ett begränsningsalternativ.”
ThreatModelers vd Archie Agarwal förklarade att det finns en lång tradition av cybersäkerhetsproffs som hittar säkerhetshål i populär programvara och avslöjar sårbarheten för utvecklingsföretaget och sedan allmänheten.
Tanken, sa Agarwal, är att de “goda” hittar problemen före “de onda.”
“Det är inget etiskt fel med denna praxis så länge avslöjandet är ansvarigt och alla ansträngningar görs för att samordna med företaget när det gäller sanering och ge dem tid att skapa en patch innan den blir allmänt känd som verkar vara fallet i det här fallet,” förklarade Agarwal.
“Legitima buggpremier fungerar likadant. Den olyckliga delen är att brottslingar också ser offentligheten och blir snabbare och snabbare på exploateringsutveckling och så att de som inte uppdaterar patchen snabbt nog ofta lämnas öppna för automatiserade attacker .”
JJ Guy, VD för Sevco Security, hävdade att jobbet för ett rött team är enkelt: efterlikna motståndaren.
“Om motståndare använder 0-dagar, borde våra röda team också använda dem. Vi kan inte förbereda oss på verkligheten av hur vi kommer att reagera på kompromisser om röda team drar slag. Många organisationer måste skydda värdefulla tillgångar från verkliga attacker från motståndare som ger denna nivå av förmåga. Det är oerhört värdefullt för dessa organisationer att öva på sin förmåga att upptäcka och svara på 0-dagar. De vet att de måste försvara sig mot okända,” sa Guy.
“Programvaran är inte och kommer aldrig att vara helt säker. Det finns ett oändligt antal 0 dagar som väntar på att bli upptäckt, så om ditt IT-team tror att de kan åtgärda alla hål har de fel.”< /p>
Säkerhet
Exchange Server-bugg: Patch omedelbart, varnar Microsoft Genomsnittlig betalning för ransomware för amerikanska offer för mer än 6 miljoner USD Microsoft Patch Tisdag: 55 buggar klämda, två under aktiv exploatering. Suspected REvil ransomware affiliates arrested Det bästa nätfiskemålet? Din smartphone Varför du behöver denna säkerhetsnyckel för $29 Säkerhets-TV | Datahantering | CXO | Datacenter