神秘、复杂的漏洞披露程序阻碍安全

大多数产品漏洞现在不是由受影响的供应商发现，而是由第三方研究人员等外部来源提供，他们遍布整个地图。

在物联网 (IoT) 和工业控制系统 (ICS) 产品中造成潜在安全漏洞的漏洞不断增加。

根据 Claroty 最新的 ICS 风险与漏洞报告，今年上半年披露了 600 多个。大多数都是高危或危急严重，可以轻松地远程利用，并使受影响的组件完全无法使用。四分之一没有修复，或者只能部分修复。

潜伏在软件供应链中的未知漏洞可能导致潜在破坏的一个例子是 RTOS 中最近命名的 BadAlloc 集群和来自多个供应商的支持库。这些可用于拒绝服务攻击或远程代码执行。

点击查看全尺寸图片

（来源：美国国家标准与技术研究院）

数以百万计的物联网和运营技术 (OT) 设备以及汽车和医疗设备等消费系统都可能受到影响。然而 OEM 和资产所有者用户直到微软在 4 月份披露这些缺陷之前都不知道这些缺陷的存在。

然而，大多数产品漏洞现在不是由受影响的供应商发现的，而是由第三方研究人员等外部来源发现的。这就是漏洞披露计划 (VDP) 存在的原因。正如 Bugcrowd 的 2021 年漏洞披露终极指南所解释的那样，VDP 的建立是为了提供“一种用于识别和修复在典型软件开发周期之外发现的漏洞的机制”。它们通常由联邦实体、行业组织和一些大型产品供应商运营。

程序之间没有一致性

为响应网络安全和基础设施安全局 (CISA) 2020 年 9 月发布的具有约束力的操作指令，联邦机构正在发布其漏洞披露政策——令人困惑的是，首字母缩写词“VDP”也表示。 7 月，CISA 宣布了其 VDP 平台。由 Bugcrowd 和 EnDyna 提供，它将作为一个集中管理的站点为民间联邦机构提供服务，安全研究人员和其他人可以在这里报告机构网站中的漏洞。

但大多数 VDP 管理产品中的漏洞，而不是流程或配置。不幸的是，它们之间几乎没有一致性。 Verve Industrial Protection 网络安全洞察总监 Ron Brash 告诉 EE Times . “它们都不是为了最大效率而设置的。”即使是那些拥有良好机制的机构，例如 NIST 和 ISO/IEC 计划，这些机制之间也存在差异：报告的内容和方式、实施方式以及特定组如何进行所需的更改。

Brash 还指责报告缺乏透明度。他说，美国政府尚未为其通常购买的 COTS 类产品制定代码，因此联邦机构没有真正的所有权，必须充当交通警察。 “应该做‘警务’的人没有真正了解手头问题或其影响的知识；由于预算、审批、EoL 平台不足或无法促使供应商提供修复，无法有效修复漏洞；并且没有办法应用后果或强制改进。”

对于给定的咨询，以及跨政府计划和供应商门户网站同步所做的工作，也缺乏所有权。 “这一切都是尽最大努力，”布拉什说。 “大型供应商通常拥有所有权，但他们的多个业务部门可能会采取不同的做法。由于每个产品可以组合多个产品，因此供应商的数量成倍增加。”

CVE 报告系统有局限性

CISA 赞助了两个最核心的美国 VDP：由美国国家标准与技术研究院 (NIST) 主办的国家漏洞数据库 (NVD)，以及由 MITRE 运行的稍旧的常见漏洞和暴露 (CVE) 计划，该计划公开详细信息已知漏洞。 CISA 还托管 ICS-CERT 建议，其中包括漏洞利用和问题。

“即使我们忽略整个披露过程和研究方面，[CVE 报告] 系统也是神秘而复杂的，”Brash 说。 “大多数资产所有者不具备充分理解 OT/ICS 安全建议或对其采取行动所需的知识。因此，他们会被海量的信息所麻痹。”这种复杂性在观看 Brash 的 YouTube 演示时变得清晰，101 用于破译它们。

CVE 系统并不包括所有内容：越来越多的漏洞不会出现在那里。根据 Risk Based Security 的数据，7 月份发布了 2,158 个漏洞，其中 670 个没有 CVE ID。

“CVE 仅限于影响许多公司可能使用的各种软件的漏洞，”独立安全研究员、道德黑客组织 Sakura Samurai 的创始人 John Jackson 告诉 EE Times . “[但是] 漏洞可能特定于软件中的逻辑或只有一家公司拥有的服务器上的逻辑。”

Brash 说，联邦 VDP 主要针对联邦机构。商业公司几乎没有什么可利用的：一些行业有自己的监管机构，例如北美电力可靠性公司 (NERC) 负责电力公用事业。他指出，虽然联邦机构的政策和程序可以镜像用于私营企业，但这些都可能随着每次总统选举而改变。

“一些开源社区项目在管理漏洞披露方面做得相当好，”Brash 说。 “例如，Linux 内核的某些部分管理得很好；其他的就没有那么多了，这甚至没有考虑整个 Linux 生态系统。与其他免费和开源软件项目，甚至各种专有产品相比，它们的安全实践也存在很大差异。”

报告、披露问题

程序之间缺乏一致性，特别是在报告方面，可能会使第三方研究人员陷入困境，更不用说计算机欺诈和滥用法案 (CFAA) 引起的潜在法律问题。

约翰杰克逊

“许多 VDP 要求黑客不要讨论他们的发现，但这些程序不付钱给他们，或者给他们任何动机，甚至黑客，”杰克逊说。 “此外，它们通常管理不善或由非安全人员管理不善，这使得协作变得困难。使用 Bugcrowd 的 VDP 是一个好的开始，因为它们可以让黑客有效地协作，并且分类人员可以先查看漏洞以进行确认。尽管如此，这并不能减轻对常规安全性的需求。”

NTIA 意识和采用小组 2016 年的一份报告称：“绝大多数研究人员 (92%) 通常参与某种形式的协调漏洞披露。 60% 的研究人员将采取法律行动的威胁作为他们可能不与供应商合作披露的原因。只有 15% 的研究人员希望通过披露获得赏金，但 70% 的研究人员希望定期就该错误进行沟通。”

根据 Bugcrowd 的 2021 终极指南，拥有 VDP 的组织中有 87% 报告说从中获得了一个严重漏洞。但是，虽然 99% 的人表示他们考虑通过漏洞赏金计划加入他们的 VDP，但只有 79% 的人表示他们实际上向研究人员支付了“有影响力的发现”。

Brash 说，由于嵌入式物联网产品中的漏洞使问题变得特别复杂，因此披露过程应该标准化。在资产所有者端和 OEM 产品开发商端，还必须有“坚持执行它的棒”。他设想为嵌入式物联网产品（例如汽车召回产品）建立一个注册表。 “我相信供应商和系统集成商应该负责确保资产所有者至少被告知其资产中的漏洞。就像汽车召回一样，车主可以决定接受风险、修理它或购买不同的产品。”

>> 本文最初发表在我们的姊妹网站 EE次。