Katalog poznatih iskorišćenih ranjivosti - koristan resurs
Ranjivosti se pronalaze i krpe brzinom bez presedana. Kako su dobavljači pod pritiskom da ubrzaju izdavanje zakrpa, kvaliteta zakrpa se zapravo pogoršava. Inicijativa Zero Day (ZDI) ističe da se u cijeloj industriji 10% do 20% ranjivosti ponovo pregledava i ponovo krpa.
Instaliranje zakrpa postaje sve rizičnije u smislu kvarova i zastoja. Dodatnu konfuziju čini činjenica da dobavljači ne daju kvalitetne informacije o riziku sistema Common Vulnerability Scoring System (CVSS), kako bi se što lakše odlučilo je li zakrpa potrebna. Dobavljač bi mogao dati visoku ocjenu CVSS rizika za grešku koja se ne bi lako iskoristila. CVSS je industrijski standard namijenjen da pomogne u procjeni ozbiljnosti sigurnosnih ranjivosti računarskog sistema. Budući da 10 označava najozbiljniju ranjivost, što je veći CVSS dodijeljen zakrpi, to bismo brže trebali primijeniti zakrpu.
Međutim, nakon procjene olakšavajućih okolnosti i dodatnih faktora rizika, možda ne trebamo biti toliko zabrinuti.
Na primjer, uzmite Microsoftovu ranjivost CVE-2022-34715 objavljenu u avgustu, kojom se popravlja ranjivost daljinskog izvođenja koda sustava Windows Network File System: njezina CVSS ocjena ocijenjena je kao 9,8, što ukazuje na trenutnu zabrinutost. Ako bolje pogledamo grešku, ona utiče samo na Server 2022 i to samo ako je instalirana usluga uloga NFS 4.0.
Ili uzmite septembarski CVE-2022-37969, koji ima relativno manje hitan rezultat od 7,8 – a ipak ga akteri prijetnji aktivno koriste. Samo na osnovi rezultata, bili biste u iskušenju da ne zakrpite odmah. Pa ipak, upravo se ovaj trenutno može koristiti unutar vaše mreže za podizanje privilegija.
Prilikom odlučivanja o zakrpi, dobro je razmotriti da li je ranjivost već aktivno iskorištena u praksi. Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) sa sjedištem u SAD-u održava dobar resurs za trenutnu provjeru eksploatacije CVE-a: katalog poznatih iskorištenih ranjivosti. Obavezno ga provjerite sljedećeg Patch Tuesday-a.
Na primjer, ranjivost CVE-2019-0604 navedena je u Katalogu s dobrim razlogom, bez obzira na njen CVSS: ovog ljeta su je iskoristili akteri koje sponzorira iranska država, kako bi prodrli u mrežu albanskih vladinih organizacija.
