發(fā)布零日概念驗(yàn)證代碼仍然是一個(gè)好主意嗎?

一次又一次，針對零天和最近修補(bǔ)的安全漏洞發(fā)布PoC代碼通常比最終用戶更有助于黑客。

對于安全漏洞(尤其是零日)的概念驗(yàn)證(PoC)代碼的發(fā)布，通常會導(dǎo)致威脅行為者快速采用漏洞，這些角色通常會在數(shù)小時(shí)或數(shù)天內(nèi)發(fā)起攻擊，并且不要給最終用戶足夠的時(shí)間來修補(bǔ)受影響的系統(tǒng)。

安全

'100個(gè)獨(dú)特的漏洞和計(jì)數(shù)'用于最新的WinRAR安全漏洞

網(wǎng)絡(luò)安全：不要讓小東西給你帶來大問題

為什么安全性是企業(yè)云采用的首要障礙[混合云電視]

紅隊(duì)幫助保護(hù)開源軟件

關(guān)于這個(gè)問題一直存在爭議，特別是當(dāng)PoC代碼不是來自壞人或其他獨(dú)立來源時(shí)，而是來自白帽安全研究人員，理論上他們應(yīng)該專注于保護(hù)用戶。

圍繞這一有爭議的做法的爭論已經(jīng)持續(xù)多年，信息安全(信息安全)領(lǐng)域的人們走在過道的兩邊。

一方認(rèn)為安全研究人員不應(yīng)該發(fā)布PoC代碼，因?yàn)楣粽呖梢圆捎迷摯a并自動化攻擊，而另一方則認(rèn)為PoC代碼也需要測試大型網(wǎng)絡(luò)并識別易受攻擊的系統(tǒng)，因此，它應(yīng)該包含在可用的地方。 ，因?yàn)樗试SIT部門模擬未來的攻擊。

在上個(gè)月發(fā)布的“網(wǎng)絡(luò)安全威脅觀2018年第四季度”報(bào)告中，Positive Technologies的安全專家再次觸及了這場長期爭論。

雖然Positive Technologies專家一般沒有出現(xiàn)概念驗(yàn)證代碼的問題，但在漏洞爆發(fā)或PoC代碼發(fā)布后，他們確實(shí)在發(fā)布PoC代碼時(shí)遇到了問題。零日 - 如果沒有時(shí)間的話，這兩種情況都不會給用戶足夠的時(shí)間進(jìn)行修補(bǔ)。

該公司在其季度威脅報(bào)告中提到了這個(gè)問題，因?yàn)榇祟愂录絹碓蕉嗟匕l(fā)生。

例如，下面的列表包括一系列事件，這些事件在PoC代碼發(fā)布后立即發(fā)生攻擊，或者研究人員發(fā)布了伴隨PoC代碼的零日披露，而不是等待供應(yīng)商補(bǔ)丁。

在Twitter上披露的一個(gè)包含PoC的Windows零日被濫用于ESET研究人員觀察到的惡意軟件活動中。

針對中文PHP框架中未修補(bǔ)的錯(cuò)誤發(fā)布的PoC代碼導(dǎo)致對數(shù)百萬個(gè)站點(diǎn)的即時(shí)攻擊。

針對去年披露的思科漏洞發(fā)布并影響RV110，RV130和RV215路由器的PoC代碼導(dǎo)致了針對此類設(shè)備的攻擊，并且很快就出現(xiàn)了思科補(bǔ)丁。

在PoC代碼發(fā)布后的幾天內(nèi)，漏洞利用工具包采用了Internet Explorer零日。

鈷黑客組織也開始濫用一個(gè)閃光零日補(bǔ)丁，并公布后幾天的PoC代碼。

ZDNet采訪了Positive Technologies的網(wǎng)絡(luò)安全彈性負(fù)責(zé)人Leigh-Anne Galloway，進(jìn)一步擴(kuò)展了這一主題。

“作為一個(gè)行業(yè)，我們有負(fù)責(zé)任的披露指導(dǎo)方針。所有人都沒有遵循這一指導(dǎo)原則，”加洛韋在接受采訪時(shí)告訴ZDNet。“同樣，所有供應(yīng)商都不知道或不了解它。

“通常公開披露的驅(qū)動因素是因?yàn)楣?yīng)商沒有認(rèn)識到問題的嚴(yán)重性，也沒有解決漏洞?；蛘甙踩芯咳藛T可能已經(jīng)嘗試了所有其他途徑來傳達(dá)他們的發(fā)現(xiàn)。當(dāng)然，危險(xiǎn)的是犯罪分子可能使用此信息來定位受害者。

“供應(yīng)商要求提供證據(jù)證明該漏洞實(shí)際存在于他們的產(chǎn)品中，并且當(dāng)研究人員向他們報(bào)告漏洞時(shí)可以利用這些漏洞。研究人員需要證明它是如何被利用的，為此，創(chuàng)建了PoC。

“漏洞利用的存在也決定了CVSS系統(tǒng)分配的危險(xiǎn)程度。如果供應(yīng)商向研究人員支付漏洞獎(jiǎng)勵(lì)框架內(nèi)發(fā)現(xiàn)的漏洞，研究人員會從這項(xiàng)工作中賺錢，但供應(yīng)商通常不會安排他們的bug-bounty計(jì)劃，研究人員可以從中得到的所有內(nèi)容都是專家社區(qū)的公開認(rèn)可。

“通過在互聯(lián)網(wǎng)上展示漏洞的描述，展示操作和PoC代碼的一個(gè)例子，研究人員得到了認(rèn)可和尊重，”加洛韋說。

“通常情況下，研究人員只有在他們通知供應(yīng)商有關(guān)漏洞的足夠長時(shí)間后才會發(fā)布漏洞利用代碼，從而使產(chǎn)品開發(fā)人員有機(jī)會關(guān)閉漏洞并通知用戶需要安裝升級。

“但是，很多時(shí)候，供應(yīng)商會推遲發(fā)布補(bǔ)丁和更新，有時(shí)會延遲六個(gè)月以上，因此，在發(fā)布補(bǔ)丁之后，[PoC]漏洞的出版就會發(fā)生。

“此外，我們不能排除漏洞利用發(fā)布的情況，不是由告知供應(yīng)商的漏洞的研究人員發(fā)布的，而是那些剛剛從互聯(lián)網(wǎng)上發(fā)現(xiàn)漏洞并立即為漏洞編寫漏洞的人，”加洛韋說。 。

“一方面，漏洞的發(fā)布增加了成功攻擊的風(fēng)險(xiǎn)并簡化了攻擊本身，但另一方面，它激勵(lì)公司和普通用戶遵循信息安全的基本原則來更新他們的系統(tǒng)定期并及時(shí)地，“積極技術(shù)專家總結(jié)道。

總而言之，PoC代碼的發(fā)布在某些情況下是有幫助的，但是發(fā)現(xiàn)這些缺陷的安全研究人員，甚至那些正在研究這些缺陷的人，應(yīng)該在發(fā)布修補(bǔ)程序后過早發(fā)布此類代碼時(shí)表現(xiàn)出一定的克制，或至少延遲幾周，給用戶時(shí)間補(bǔ)丁。