Der har været en betydelig debat i cybersikkerhedssamfundet om Randori, et sikkerhedsfirma, der ventede et år, før de afslørede en kritisk bufferoverløbsfejl, som det opdagede i Palo Alto Networks GlobalProtect VPN.
Zero-day – som har en alvorlighedsgrad på 9,8 og først blev rapporteret af ZDNet – giver mulighed for uautoriseret fjernudførelse af kode på sårbare installationer af produktet.
Problemet påvirker flere versioner af PAN- OS 8.1 før 8.1.17, og Randori sagde, at det fandt adskillige sårbare tilfælde eksponeret på internet-vendte aktiver, over 70.000 aktiver. Det bruges af en række Fortune 500-virksomheder og andre globale virksomheder.
Aaron Portnoy, ledende videnskabsmand ved Randori, forklarede til ZDNet, at hans team i oktober 2020 fik til opgave at undersøge sårbarheder med GlobalProtect Portal VPN. I november 2020 opdagede hans team CVE-2021-3064, begyndte autoriseret udnyttelse af Randori-kunder og landede den med succes hos en af deres kunder – over internettet – ikke kun i et laboratorium.
De underrettede ikke Palo Alto Networks før for et par uger siden, i henhold til den tidslinje, de oplyste.
Palo Alto Networks udgav sin egen meddelelse om problemet, har patchet den og sagt der er ingen beviser for, at den er blevet udnyttet i naturen.
Men Randoris handlinger i sagen har forårsaget betydelig tilbageslag fra nogle i cybersikkerhedssamfundet, som hævder, at virksomheden ikke burde have ventet 12 måneder, før den afslørede det til Palo Alto Networks. Portnoy har udgivet flere udtalelser på Twitter, der forsvarer virksomheden mod kritik.
Andre har sat spørgsmålstegn ved Randoris beslutning om at bruge 0-dages i rødt hold øvelse og andre stillede spørgsmålstegn ved, om de holdt tilbage underretning om problemet for yderligere at offentliggøre deres arbejde og deres forretning. På trods af modreaktionen er nogle kommet til Randoris forsvar og hævder, at deres handlinger er almindelige.
David Wolpoff, Randoris CTO, sagde til ZDNet, at virksomheden “vejede en masse faktorer, da de besluttede afsløring for at minimere industriens skade, ” inklusive analyse af softwaren, patchstatus, versionsproblemer, eksisterende afhjælpningsstrategier og mere.
“Vi kan ikke svare i detaljerede detaljer, da vi med vilje holder os væk fra at afsløre tekniske detaljer, der ville muliggøre udnyttelse. Vi vil gerne øge gennemsigtigheden af vores beslutningsproces, fordi folk ikke så ud til at forstå nuancen, men vi stadig meget tror på vores politik og vores beslutning,” sagde Wolpoff.
Randori ville ikke svare på spørgsmål om, hvorfor de ventede 12 måneder med at afsløre sårbarheden.
Men Wolpoff sagde, at der “altid er bekymringer” og hævdede, at virksomheden er “akut opmærksom på risikoen ved at have en kapacitet som denne.”
Alligevel hævdede han, at viden om sårbarheden “ikke øger risikoen.”
“Hvis vi kendte til fejlen eller ej, er risikoprofilen for offentligheden den samme. I dette tilfælde – – en mindre udgivelse inden for en større version af software – vi vidste, at der allerede eksisterede løsninger, som blev anbefalet af leverandøren,” sagde Wolpoff.
“Dette var med i vores beslutning. Vi var opmærksomme på nuancen i forhold til PAN-opdateringen, og den (sammen med andre målinger) var med i vores afvejning af de risici, der er forbundet med det.”
< p>Meningerne blandt eksperter var forskellige. Casey Ellis, grundlægger og CTO hos Bugcrowd, sagde, at beslutninger om sårbarhed er svære at stole på, når der er en åbenlys kommerciel interessekonflikt.
Vulcan Cybers CEO Yaniv Bar-Dayan fortalte ZDNet, at der er flere tilgange til ansvarlig afsløring af sårbarhed, men det mest kritiske er hensigtsmæssigheden af alle involverede parter og et altruistisk samarbejde mellem forskere og ansvarlige organisationer.
“Tid er af essensen, hvis målet er systemer og datasikkerhed. Hensigten med programmer til afsløring af sårbarhed bryder sammen, hvis afsløringsmålene for forskere eller leverandørorganisationer nogensinde afviger fra ren sikkerhed,” sagde Bar-Dayan. “Som et eksempel kræver det nyligt annoncerede Google Project Zero, at de fulde detaljer om en sårbarhed offentliggøres inden for 90 dage efter opdagelsen, uanset om leverandørorganisationen har leveret en patch eller afhjælpningsmulighed.”
ThreatModeler CEO Archie Agarwal forklarede, at der er en lang tradition for, at cybersikkerhedsprofessionelle finder sikkerhedshuller i populær software og afslører sårbarheden til udviklingsselskabet og derefter offentligheden.
Ideen, sagde Agarwal, er, at de 'gode' finder problemerne før 'de onde'.
“Der er intet etisk galt med denne praksis, så længe offentliggørelsen er ansvarlig, og der gøres alle bestræbelser på at koordinere med virksomheden med hensyn til afhjælpning og give dem tid til at lave et program, før det bliver offentligt kendt, som det ser ud til at være tilfældet i dette tilfælde,” forklarede Agarwal.
“Legitime bug bounties fungerer på samme måde. Den uheldige del er, at kriminelle også ser den offentlige offentliggørelse og bliver hurtigere og hurtigere til udvikling af udnyttelse, og så dem, der ikke opdaterer patchen hurtigt nok, bliver ofte åbnet for automatiske angreb .”
JJ Guy, administrerende direktør for Sevco Security, hævdede, at jobbet for et rødt team er enkelt: efterlign modstanderen.
“Hvis modstandere bruger 0-dage, bør vores røde teams også bruge dem. Vi kan ikke forberede os på virkeligheden om, hvordan vi vil reagere på kompromis, hvis røde teams trækker slag. Mange organisationer skal beskytte værdifulde aktiver mod angreb fra den virkelige verden fra modstandere, der bringer dette niveau af kapacitet. Det er ekstremt værdifuldt for disse organisationer at øve deres evne til at opdage og reagere på 0-dage. De ved, at de skal forsvare sig mod ukendte,” sagde Guy.
“Software er ikke og vil aldrig være perfekt sikker. Der er et uendeligt antal 0 dage, der venter på at blive opdaget, så hvis dit it-team tror, de kan lappe alle hullerne, tager de fejl.”< /p>
Sikkerhed
Exchange Server-fejl: Patch med det samme, advarer Microsoft Gennemsnitlig ransomware-betaling for amerikanske ofre for mere end $6 millioner Microsoft Patch tirsdag: 55 fejl knust, to under aktiv udnyttelse Mistænkt REvil ransomware affiliates arresteret Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle til $29 Sikkerheds-tv | Datastyring | CXO | Datacentre