Det har vært en betydelig debatt i nettsikkerhetsmiljøet om Randori, et sikkerhetsfirma som ventet ett år før de avslørte en kritisk bufferoverløpsfeil det oppdaget i Palo Alto Networks GlobalProtect VPN.
Null-dagen – som har en alvorlighetsgrad på 9,8 og ble først rapportert av ZDNet – gir mulighet for uautentisert ekstern kjøring av kode på sårbare installasjoner av produktet.
Problemet påvirker flere versjoner av PAN- OS 8.1 før 8.1.17, og Randori sa at det fant mange sårbare tilfeller eksponert på internettvendte eiendeler, i overkant av 70 000 eiendeler. Den brukes av en rekke Fortune 500-selskaper og andre globale bedrifter.
Aaron Portnoy, hovedforsker ved Randori, forklarte til ZDNet at i oktober 2020 fikk teamet hans i oppgave å undersøke sårbarheter med GlobalProtect Portal VPN. I november 2020 oppdaget teamet hans CVE-2021-3064, begynte autorisert utnyttelse av Randori-kunder og landet den med hell hos en av kundene deres – over internett – ikke bare i et laboratorium.
De varslet ikke Palo Alto Networks før for noen uker siden, i henhold til tidslinjen de ga.
Palo Alto Networks ga ut sine egne råd om problemet, har lappet det og sagt det er ingen bevis for at den har blitt utnyttet i naturen.
Men Randoris handlinger i saken har forårsaket betydelig tilbakeslag fra noen i nettsikkerhetsmiljøet, som hevder at selskapet ikke burde ha ventet 12 måneder før de avslørte det til Palo Alto Networks. Portnoy har gitt ut flere uttalelser på Twitter som forsvarer selskapet mot kritikk.
Andre har tatt problemer med Randoris beslutning om å bruke 0-dagers i rødt team-øvelse, og andre stilte spørsmål ved om de holdt tilbake varsling om problemet for å publisere arbeidet og virksomheten deres ytterligere. Til tross for tilbakeslaget, har noen kommet til Randoris forsvar og hevdet at deres handlinger er vanlige.
David Wolpoff, Randoris CTO, sa til ZDNet at selskapet “veide mange faktorer når de bestemte avsløring for å minimere industriskade, ” inkludert analyse av programvaren, oppdateringsstatus, versjonsproblemer, eksisterende utbedringsstrategier og mer.
“Vi kan ikke svare i detaljer, siden vi med vilje holder oss unna å avsløre tekniske detaljer som vil muliggjøre utnyttelse. Vi ønsker å øke åpenheten i beslutningsprosessen vår fordi folk ikke så ut til å forstå nyansen, men vi fortsatt veldig mye tror på vår policy og vår beslutning,” sa Wolpoff.
Randori ville ikke svare på spørsmål om hvorfor de ventet 12 måneder med å avsløre sårbarheten.
Men Wolpoff sa at det “alltid er bekymringer” og hevdet at selskapet er “akutt klar over risikoen ved å ha en evne som dette.”
Likevel hevdet han at det å vite om sårbarheten “ikke øker risikoen.”
“Hvis vi visste om feilen eller ikke, er risikoprofilen for publikum den samme. I dette tilfellet – – en mindre utgivelse i en større versjon av programvaren – vi visste at det allerede fantes rettsmidler som ble anbefalt av leverandøren,” sa Wolpoff.
“Dette tok med i avgjørelsen vår. Vi var klar over nyansen i forhold til PAN-oppdateringen, og den (sammen med andre beregninger) tok hensyn til vår veiing av risikoene knyttet.”
< p>Meningene blant ekspertene var forskjellige. Casey Ellis, grunnlegger og CTO i Bugcrowd, sa at beslutninger om sårbarhet er vanskelige å stole på når det er en åpenbar kommersiell interessekonflikt.
Vulcan Cyber-sjef Yaniv Bar-Dayan fortalte ZDNet at det er flere tilnærminger til ansvarlig sårbarhetsavsløring, men det mest kritiske er hensiktsmessigheten til alle involverte parter, og et altruistisk samarbeid mellom forskere og ansvarlige organisasjoner.
“Tid er av essensen hvis målet er systemer og datasikkerhet. Hensikten med programmer for avsløring av sårbarhet bryter sammen hvis avsløringsmålene til forskere eller leverandørorganisasjoner noen gang avviker fra ren sikkerhet,” sa Bar-Dayan. “Som et eksempel krever det nylig annonserte Google Project Zero at alle detaljene om en sårbarhet publiseres innen 90 dager etter oppdagelse, uavhengig av om leverandørorganisasjonen har gitt en oppdatering eller avbøtende alternativ.”
Administrerende direktør i ThreatModeler, Archie Agarwal, forklarte at det er en lang tradisjon for cybersikkerhetseksperter som finner sikkerhetshull i populær programvare og avslører sårbarheten til utviklingsselskapet og deretter offentligheten.
Ideen, sa Agarwal, er at de “gode” finner problemene før de “slemme”.
“Det er ikke noe etisk galt med denne praksisen så lenge avsløringen er ansvarlig og alle anstrengelser gjøres for å koordinere med selskapet når det gjelder utbedring og gi dem tid til å lage en oppdatering før den blir offentlig kjent som ser ut til å være tilfelle i dette tilfellet,” forklarte Agarwal.
“Legitime bug-bounties fungerer på samme måte. Den uheldige delen er at kriminelle også ser offentligheten og blir raskere og raskere i utnyttelsesutviklingen, og derfor blir de som ikke oppdaterer oppdateringen raskt nok ofte åpnet for automatiserte angrep .”
JJ Guy, administrerende direktør i Sevco Security, hevdet at jobben til et rødt team er enkel: etterligne motstanderen.
“Hvis motstandere bruker 0-dager, bør våre røde team også bruke dem. Vi kan ikke forberede oss på virkeligheten om hvordan vi vil reagere på kompromisser hvis røde team trekker støt. Mange organisasjoner må beskytte verdifulle eiendeler fra Angrep fra den virkelige verden fra motstandere som bringer dette nivået av evner. Det er ekstremt verdifullt for disse organisasjonene å øve på evnen sin til å oppdage og svare på 0-dager. De vet at de må forsvare seg mot ukjente,” sa Guy.
“Programvare er ikke og vil aldri være perfekt sikker. Det er et uendelig antall 0 dager som venter på å bli oppdaget, så hvis IT-teamet ditt tror de kan lappe alle hullene, tar de feil.”< /p>
Sikkerhet
Exchange Server-feil: Oppdater umiddelbart, advarer Microsoft Gjennomsnittlig ransomware-betaling for amerikanske ofre mer enn $6 millioner Microsoft Patch Tirsdag: 55 bugs knust, to under aktiv utnyttelse Mistenkt REvil-ransomware tilknyttede selskaper arrestert Det beste phishing-målet? Din smarttelefon Hvorfor trenger du denne sikkerhetsnøkkelen til $29 Security TV | Databehandling | CXO | Datasentre