Katalog poznatih iskorišćenih ranjivosti - koristan resurs
- Sep 28, 2022
- 2 min read
Ranjivosti se pronalaze i krpe brzinom bez presedana. Kako su dobavljači pod pritiskom da ubrzaju izdavanje zakrpa, kvalitet zakrpa se zapravo pogoršava. Inicijativa Zero Day (ZDI) ističe da se u celoj industriji 10% do 20% ranjivosti ponovo pregleda i ponovo zakrpi.
Krpanje postaje sve rizičnije u smislu kvarova i zastoja. Dodatnu konfuziju čini činjenica da dobavljači ne obezbeđuju kvalitetne informacije o riziku sistema Common Vulnerability Scoring System (CVSS), kako bi se odlučilo da li je potrebna zakrpa. Dobavljač bi mogao dati visoku ocenu CVSS rizika za grešku koja se ne bi lako iskoristila. CVSS je industrijski standard namenjen da pomogne u proceni ozbiljnosti bezbednosnih ranjivosti računarskog sistema. Pošto 10 označava najozbiljniju ranjivost, što je veći CVSS dodeljen zakrpi, brže treba da primenimo zakrpu.
Međutim, nakon procene olakšavajućih okolnosti i dodatnih faktora rizika, možda ne treba da budemo toliko zabrinuti.
Na primer, uzmite Microsoftovu ranjivost CVE-2022-34715 objavljenu u avgustu, kojom se popravlja ranjivost udaljenog izvršavanja koda sustava Windows Network File System: njezina CVSS ocena ocijenjena je kao 9,8, što ukazuje na trenutnu zabrinutost. Ako bolje pogledamo grešku, ona utiče samo na Server 2022 i to samo ako je instalirana usluga uloga NFS 4.0.
Ili uzmite septembarski CVE-2022-37969, koji ima relativno manje hitan rezultat od 7,8 – a ipak ga akteri pretnji aktivno koriste. Samo na osnovi rezultata, bili biste u iskušenju da ne zakrpite odmah. Pa ipak, upravo se ovaj trenutno može koristiti u vašoj mreži za podizanje privilegija.
Kada se odlučujete za zakrpu, dobro je razmotriti da li je ranjivost već aktivno iskorišćena u praksi. Agencija za cyber bezbednost i infrastrukturnu bezbednost (CISA) sa sedištem u SAD održava dobar resurs za trenutne provere eksploatacije CVE-a: katalog poznatih iskorišćenih ranjivosti. Obavezno ga pogledajte na sledeći Patch Tuesday.
Na primer, ranjivost CVE-2019-0604 navedena je u Katalogu sa dobrim razlogom, bez obzira na njen CVSS: ovog leta su je iskoristili akteri koje sponzoriše iranska država, kako bi prodrli u mrežu albanskih vladinih organizacija.