Автор: Вей Тай, Tenable. Перевод и адаптация Тайгер Оптикс. Оригинал статьи доступен по ссылке.
В статье рассматривается подход компании Tenable к оценке критичности 0-day уязвимостей до публикации CVE и метрик CVSS, а также изменение критичности уязвимостей в зависимости от изменения ландшафта угроз и активности злоумышленников
Исследования аналитиков Tenable показывают, что злоумышленники зачастую используют уязвимости сразу же после их публичного раскрытия. В случае угроз нулевого дня уязвимости используются еще до того, как о них стало известно широкому кругу специалистов. В этой статье мы рассмотрим, как уникальная разработка Tenable — рейтинг приоритетности уязвимости (VPR) — может использоваться для приоритизации устранения уязвимостей еще до их официальной публикации в реестре National Vulnerability Database (NVD).
От выявления уязвимости до публикации CVE ID
Национальная база уязвимостей (NVD) – это репозиторий уязвимостей, состоящий из нескольких наборов данных: Common Vulnerabilities and Exposures (общеизвестные уязвимости, CVE), Common Platform Enumeration (общий перечень платформ, CPE), Common Configuration Enumeration (общий перечень конфигураций, CCE), а также Common Vulnerability Scoring System (общая система оценки уязвимостей, CVSS). NVD является одним из основных источников информации об уязвимостях для исследователей и специалистов по информационной безопасности.
На иллюстрации изображен пример типичной страницы с записью CVE, содержащей идентификатор (CVE ID), краткое описание последствий эксплуатации уязвимости и ссылки на источники с дополнительной информацией, предоставляемые организациями, которые имеют право присваивать идентификаторы CVE (такие организации называются CVE Numbering Authorities, сокращенно CNA). Страница может дополнительно содержать метрики CVSS (v2 и v3), идентификатор перечня Common Weakness Enumeration (CWE), а также модификации или конфигурации ПО, которые подвержены данной уязвимости (CPE).
Обычно организация, сообщающая об уязвимости (CNA), присваивает ей идентификатор CVE ID сразу же при обнаружении. Затем CNA начинает подготовку описания уязвимости для публикации в NVD, в том числе анализ влияния уязвимости на защищенность, описание уязвимости, вектор CVSS и так далее. Готовое описание отправляется подразделению института MITRE, занимающемуся уязвимостями, для публикации в базе NVD. Параллельно этому уязвимость также может быть раскрыта в собственных публикациях CNA.
Что такое «Период до NVD»
Процесс публикации CVE, описанный выше, занимает время и может привести к задержке между первоначальным публичным раскарытием уязвимости и ее публикацией в NVD. NVD подтверждает существование такой задержки и указывает на следующее: «Дата ‘Date Entry Created’ в записи CVE указывает на день, когда идентификатор CVE ID был присвоен CVE Numbering Authority (CNA) или запись CVE была опубликована в реестре CVE. Эта дата не указывает на то, когда уязвимость была обнаружена, когда о ней сообщили вендору, когда ее публично обнародовали или обновили в CVE».
Далее в этой статье под «периодом до NVD» мы будем назвать временной промежуток между первоначальным публичным раскрытием уязвимости и ее публикаций в NVD. В качестве конкретного примера «периода до NVD» рассмотрим CVE-2019-17026:
- Уязвимость CVE-2019-17026 была опубликована в Mozilla Security Advisory 8 января 2020 года,
- В NVD она была опубликована 2 марта 2020 года,
- Два дня спустя, 4 марта 2020 года, она получила метрики CVSS.
В этом примере промежуток до NVD для CVE-2019-17026 длился с 8 января до 2 марта – 55 дней.
Серьезность проблемы «Периода до NVD»
Промежуток до NVD не является редкостью. Так, 71.000 CVE были раскрыты в бюллетенях вендоров до того, как были опубликованы в NVD, что составляет половину всех CVE. В 2019 году у 5.300 CVE наблюдалось наличие периода до NVD.
В то время как период до NVD для некоторых CVE составляет один день, что приемлемо, анализ, проведенный Tenable, показывает, что для многих уязвимостей задержка существенна. На рисунке 2 приведено количество CVE с периодом до NVD с 2006 года, с разбивкой по годам и длительности задержки.
Из этого графика можно сделать следующие выводы:
- Начиная с 2013 года, годовое количество CVE с периодом до NVD стабилизировалось на уровне 5.000 уязвимостей, однако стоит обратить внимание на всплеск в 2017 году, когда количество CVE с периодом до NVD достигло 8.100 записей. Это означает, что в последние годы CNA стали более оперативными в публикации CVE,
- В последние годы стал более выраженным разброс длительностей задержки в публикации уязвимости. Почти половина всех уязвимостей с задержкой в публикации были опубликованы в NVD в течение семи дней с первоначального обнародования, в то время как значительная часть уязвимостей была задержана на 30 и более дней. Специалисты ИБ должны уделять внимание CVE с длительным периодом до NVD, поскольку именно такие уязвимости могут отрицательным образом сказаться на защищенности организаций.
Активность злоумышленников до публикации в NVD
Очевидно, что злоумышленники не ждут публикации CVE для начала активной эксплуатации уязвимости. Сравнение данных киберразведки со списком CVE, у которых был период до NVD, показывает, что в отношении 5.400 из 43.000 CVE (12%), опубликованных с 2017 по 2019 год, активность злоумышленников наблюдалась еще до публикации данных в NVD.
На рисунке 3 отражена разбивка этих CVE по году публикации и окну угрозы до NVD (т.е. количеству дней между первой известной угрозой и публикацией уязвимости в NVD). Значительное количество этих CVE активно использовалось злоумышленниками в течение как минимум 30 дней до их публикации в NVD. Как следствие, любые системы, затронутые этими уязвимостями, оставались подвержены реальным атакам до того, как информация об уязвимости стала доступна в NVD.
Как рейтинг VPR помогает приоритизировать уязвимости с периодом до NVD
Устранение активно эксплуатируемых уязвимостей необходимо начинать как можно раньше. Как показало исследование, CVE из реестра NVD не являются наиболее актуальным источником информации для организации проактивного управления уязвимостями. Tenable решает эту проблему, получая данные об уязвимостях напрямую из бюллетеней более чем 100 крупнейших вендоров, и постоянно увеличивая количество этих источников данных.
Расчет рейтинга приоритетности уязвимостей Tenable (VPR) до их публикации в NVD является нетривиальной задачей. Рейтинг VPR состоит из двух основных частей: влияние уязвимости и угроза. Поскольку многие CNA не предоставляют метрики CVSS для уязвимости на стадии до NVD, оценка влияния не всегда возможна для цели расчета VPR. Для решения этой проблемы VPR комбинирует технологии машинного обучения и обработки естественного языка для предсказания метрик CVSS, беря за основу исходное текстовое описание CVE.
Начиная с августа 2019 года Tenable оценивает критичность уязвимостей до их публикации в NVD с помощью модели VPR. Из 12.073 опубликованных уязвимостей 1.592 включали период до NVD. Рисунок 4 сравнивает период до VPR, т.е. время между публичным раскрытием CVE и присвоением рейтинга VPR, и период до NVD. В целом, рейтинг VPR гораздо более эффективен в оценке новых уязвимостей. Например:
- Все 1.592 уязвимости получили рейтинг VPR до публикации в NVD,
- 84% уязвимостей с периодом до NVD получили рейтинг VPR в течение 24 часов, в то время как только 38% уязвимостей были опубликованы в NVD в тот же срок,
- 499 уязвимостей были опубликованы в NVD с задержкой в семь или более дней, в то время как только 101 уязвимость получила рейтинг VPR за семь и более дней,
- 245 уязвимостей были опубликованы в NVD с задержкой более 30 дней.
Количество уязвимостей с периодом до VPR будет уменьшаться и далее по мере того, как Tenable будет получать данные об уязвимостях из все большего числа бюллетеней вендоров.
На рисунке 5 приведено распределение рейтингов VPR, присвоенных 1.592 уязвимостям в период до их публикации в NVD. 98 уязвимостей получили рейтинг VPR Critical и 83 из них использовались злоумышленниками в период до NVD. Это означает, что VPR дает организациям возможность снизить свою поверхность атаки за счет раннего устранения уязвимостей, используемых активными злоумышленниками. Пропорция уязвимостей, связанных с активными угрозами на стадии до NVD увеличивается с ростом их уровня критичности VPR – 85% уязвимостей с рейтингом VPR Critical были связаны с активными угрозами до их публикации в NVD, 50% с рейтингом VPR High и 25% с рейтингом VPR Medium.
Практический пример: CVE-2019-17026
В этой статье мы рассмотрели CVE-2019-17026 в качестве примера использования VPR для уязвимостей на стадии до публикации в NVD. Вот как развивались события с публикацией этой CVE:
- 8 января 2020 года: CVE-2019-17026 был впервые опубликован в бюллетене Mozilla Security Advisory. В том же бюллетене Mozilla анонсировала, что им известно об использовании уязвимости в реальных атаках. Tenable опубликовал анализ уязвимости после ее публикации. В тот же день Tenable опубликовал плагины 132714 и 132715, позволяющие детектировать уязвимость Firefox на Windows и плагины 132712 и 132713 для MacOS X. Они были опубликованы с рейтингом VPR 9.7, что отразило факт использования уязвимостей в нацеленных атаках.
- Период с 8 января по 1 марта 2020 года: Еще до публикации информации в NVD уровень угрозы по данной уязвимости изменился в сторону увеличения. Дискуссии и исследования об эксплуатации этой уязвимости были зафиксированы во многих источниках, в том числе в Twitter, форумах злоумышленников, сайтах Dark Web и в технических блогах. Это привело к повышению рейтинга VPR до пикового значения 9,9 на этапе до публикации уязвимости в NVD.
- 2 марта 2020 года: CVE-2019-17026 был опубликован в NVD, и два дня спустя в результате анализа уязвимость получила оценку CVSSv3 8.8.
- 3 марта 2020 года и позже: Риск, связанный с этой уязвимостью, остается высоким с момента публикации в NVD. Активности, связанные с ней, были зафиксированы в прессе, Twitter, сайтах Dark Web, пейст-сайтах и т.д. В апреле появилась информация о том, что эта уязвимость использовалась APT-злоумышленником по имени DarkHotel для целей в Китае и Японии. Рейтинг VPR этой уязвимости остается критическим и на момент публикации.
Выводы
В этой статье мы показали, что злоумышленники зачастую используют уязвимости еще до публикации соответствующих CVE в реестре NVD. Учитывая имеющиеся задержки в публикации, специалисты ИБ не должны использовать NVD как единственный источник информации об уязвимостях. Рейтинг VPR, разработанный Tenable, оперативно оценивает новые уязвимости – 84% новых уязвимостей оцениваются алгоритмом VPR в течение одного дня с момента публичного раскрытия, и 93% оцениваются в течение одной недели. Мы также рассмотрели подход к снижению поверхности атаки на основе использования VPR для приоритизации и устранения уязвимостей до их публикации в NVD.
Дополнительная информация
- Опробовать VPR в действии можно, заказав пилот решений Tenable.io (в облаке) и Tenable.sc (на площадке заказчика),
- Узнать больше о предсказательной приоритизации Tenable и рейтинге VPR можно по ссылке Tenable Predictive Prioritization and VPR.