在七月的“补丁星期二”安全更新中,微软针对其专有的Internet Explorer浏览器引擎Trident,修复了一个名为CVE-2024-38112的零日漏洞,该漏洞的CVSS评分为7.5。
微软将此漏洞描述为欺骗性漏洞,而趋势科技的零日漏洞利用计划(ZDI)团队,作为发现该漏洞的功臣,则将其定义为远程执行漏洞,并认为其应获得更高的严重性评级。
ZDI的威胁感知主管Dustin Childs对此表示:“微软以为我们报告的只是一个深度防御的修复措施,因此他们并未透露具体是哪种深度防御措施。”
然而,这场关于漏洞性质的争议并未就此平息。微软将发现并报告此漏洞的荣誉归于另一位安全研究员Haifei Li,而非ZDI团队。
Childs表示,ZDI团队在五月中旬就已向微软报告了该漏洞,并对微软“在七月而非预期的八月发布补丁”感到意外,甚至就连Haifei Li本人也对这一突然的发布感到措手不及。
作为微软安全响应中心的资深成员,Childs表示:“我们向微软提交了漏洞报告。然而,当时我们并不知情的是,另一位研究人员也独立发现了这一漏洞并向微软进行了报告。我们并未预料到补丁会那么快发布,原本以为会在八月。此外,我们对此感到困扰,因为我们的贡献并未得到应有的认可。”
更为关键的是,ZDI坚信微软并未充分解决他们所指出的问题。Childs说:“基于那个不完善的补丁,我们认为修复措施其实并不足够,并已向微软报告了更多相关案例。”
这种关于漏洞报告者、发现时间、漏洞严重性以及补丁充分性的不同解读,正是协调漏洞披露过程中,安全研究人员与软件供应商之间常见摩擦的缩影。
专家们指出,协调漏洞披露过程受到多种因素的影响,这可能会使CISO们感到困惑,有时甚至无法全面了解已报告漏洞的实际情况。
在当今的漏洞披露环境中,一个核心问题在于:安全研究人员与接收漏洞报告的供应商组织之间存在着期望差异和沟通障碍。
HackerOne的CISO Chris Evans对此表示:“这些难题体现在期望的不匹配和沟通的不畅。组织希望以有限的资源提升安全态势,同时不损害品牌形象。而白客则旨在增强互联网的整体安全,并期望通过漏洞悬赏计划得到公正、及时的报酬。当这些目标无法完全契合时,冲突便应运而生。”
Evans进一步表示:“尽管针对特定行业和类型的漏洞披露已逐渐受到法规的约束,但这依然是一个挑战,其限制了整个网络安全社区从漏洞中所学习到的教训,因此类似问题的发生概率始终不曾变小。”
站在漏洞猎人和研究人员的角度,问题往往在于对流程的陌生。Rapid7的漏洞情报主管Caitlin Condon对此表示:“有效协调漏洞披露的一大障碍,是很多人对此一无所知,他们并不清楚自己应该采取哪些行动。”
供应商在处理漏洞报告时也面临挑战。经验丰富的漏洞研究员Li指出:“供应商在协调漏洞披露时往往显得被动。他们会要求研究人员提供大量信息,有时这些信息远超复现和调查问题所需,因此会消耗研究人员大量的时间。”
更令人担忧的是,供应商不仅占用了研究人员的时间,还常常缺乏互动。李对此补充道:“供应商很少给予反馈,他们会要求详细的报告,但却不主动更新案件的进展或补丁计划。”
在研究人员与供应商之间,动机与沟通不一致的背后隐藏着一个显著的问题:供应商常常试图掩盖或轻视那些研究人员认为必须要公开的漏洞。
Rapid7的Condon指出:“这背后的深层原因是供应商对法律、声誉和财务损失的讳莫如深,以及对用户和客户安全的忽视。很多时候,组织之所以害怕公布漏洞信息,是因为担心这可能对他们的法律地位、声誉和财务状况造成不利影响,特别是当客户流失时。除非我们共同努力,将漏洞披露视为一种常态,以奖励和激励协调良好的披露行为,否则无论我们在沟通上如何努力,都无法触及这一问题的核心,即供应商的恐惧,以及由此产生的与研究人员之间的冲突。”
然而,Condon也理解供应商的担忧:“供应商不希望任何信息泄露,因为担心这会损害他们的声誉,这是可以理解的。太多企业目睹了新闻中报道的重大网络攻击,见证了CISO和CEO在美国国会或参议院接受质询,以及随之而来的法律诉讼。我完全能理解供应商为何感到害怕,同时也理解研究人员为何会因‘他们的辛勤工作和专业技能被忽视’而感到沮丧。”
而更令人忧虑的是,一些组织购买了研究人员发现的漏洞,却选择将其隐瞒,这会使得安全社区对这些漏洞一无所知,此行为完全绕过了正常的披露流程。
ZDI的Childs对此透露:“我了解到,有些设有漏洞悬赏计划的组织会特意购买漏洞,以便秘密修复。漏洞提供者与这些公司签订的协议极为严格,当我们查看某些公司的产品,并疑惑为何没有CVE(通用漏洞披露)编号与之相关时,原因可能是该公司已经秘密购买了这些漏洞,进行了修复,但没有为其分配CVE编号,也没有公开披露。”
这种做法的结果是,CISO无法对网络中的设备或系统做出明智的决策,因为他们对潜在的漏洞一无所知。Childs说:“作为安全负责人,这让我感到非常沮丧。我知道某个产品存在漏洞,但当我深入研究这款产品时,却找不到任何相关的负面信息,因为供应商已经将这些漏洞彻底掩盖了。”
在实现高效协调的漏洞披露过程中,一个不容忽视的障碍在于“如何成功接触并沟通到供应商的相关负责人”。这一过程尤为复杂,因为对于许多供应商而言,与漏洞报告者的交流并未被置于优先事项。
Childs对此感叹:“从供应商那里获取漏洞处理进度的确切信息,这往往是一项艰巨的任务。当下,供应商们面临着前所未有的大量的漏洞报告,这导致与研究人员沟通的优先级往往会被置于较低位。供应商们可能正忙于开发修复方案、进行修复测试等更为重要的事项,从而忽略了与研究人员的沟通。”
此外,相比苹果、谷歌、微软或思科等大型企业,与小型供应商或特定领域软件公司的沟通更为困难。Childs解释说:“在处理小型供应商或专业软件产品的漏洞时,想要找到正确的报告渠道犹如大海捞针。我们甚至会尝试通过领英联系CISO和CIO来报告漏洞,也曾在支持网站上进行过留言,但很多时候,漏洞报告只会被交于不直接负责此事的中层。”
Condon强调:“在Rapid7,我们采取了各种超乎寻常的方法,以确保漏洞信息能够准确无误地被送达相关人员手中。我们使用了包括挂号信、传真在内的通讯方式,甚至会直接拨打电话,这在2024年的科技行业中实属罕见,但只要能达到目的,我们愿意尝试一切可行的方法。”
在追求高效、协同的漏洞披露流程中,一个显著的问题在于:供应商有时会轻视安全研究人员。这种轻视不仅体现在赏金支付的不足或缺失上,更在于提交报告后供应商长时间的沉默与忽视。
Hacker One的Evans分析道:“当漏洞提交者的努力得不到公正、持续的认可和回报时,这不仅会引发矛盾,还会损害项目的声誉,降低安全社区的参与热情。若组织无法就漏洞报告的状态给予及时、明确的反馈,白客们便会对自己的研究成果及其潜在解决方案的进展一无所知,这无疑是对他们辛勤工作的一种漠视。”
Childs则进一步指出,独立研究人员往往是这种“不尊重现象”最大的受害者。他表示:“对于那些独自奋战在漏洞研究前线的研究者而言,如果他们提交的是首个漏洞报告,那么他们很可能会遭遇供应商的轻视。供应商可能会认为:‘这只是个小角色,无足轻重。’于是他们会选择保持沉默,然后只修复自己的漏洞,至于是否会给予研究者应有的认可或赏金,全凭心情而定。”
为了克服漏洞披露过程中存在的种种问题,供应商必须加大努力,确保沟通顺畅,并建立起更加完善的披露政策和框架。
Hacker One的Evans强调说:“组织及漏洞赏金公司应当将构建清晰、连贯的政策,秉持公正透明的操作原则,以及将持续改进作为首要任务。这是解决当前问题的必经之路。而要实现这一点,有效的方法是采用并严格遵循统一的平台标准。标准化不仅能够使流程更加清晰,还能增强沟通效果,确保项目运作符合最佳披露实践,并统一各方对披露流程及奖励机制的预期。”
此外,ZDI的Childs补充道,组织要投资于专业的安全团队,以高效处理研究人员的报告,这也是改善现状的关键点。“通过增加在安全响应和社区沟通方面的投入,我们可以发出‘对研究人员的努力给予高度重视’的信号。”
同时,高素质的安全人员还有助于解决补丁不足等问题。Li分享了一个案例:“最近,Adobe试图修复Adobe Reader中的一个漏洞,但经过我们的审查,发现该补丁并未有效解决问题。幸运的是,我们及时进行了测试并发布了相关信息,避免了用户在‘漏洞被不当修复,且细节已被公开’的情况下受到威胁。”
最后,Childs特别指出,简化漏洞报告流程至关重要。“无论组织是否拥有正式的流程或充足的人力资源,都应该努力让漏洞报告变得简单快捷。只有这样,研究人员才会更愿意与供应商合作,以共同提升安全水平。”
对于安全圈“漏洞披露”时的各种挑战,比如漏洞披露流程、漏洞赏金不公、企业对漏洞提交者的轻视,以及种种沟通问题,国内安全专家如此建议。
浙江移动张曾油
表示,漏洞披露是网络安全领域内的一个复杂而敏感的议题,涉及多方利益与责任。为了改善相关流程,张曾油给出了以下建议:
1. 建立标准化的漏洞披露流程
:企业应制定明确、公开的漏洞报告和处理流程,确保所有参与者都了解各自的责任和期望。流程中应包括明确的时间节点、联系方式、处理程序等。
2. 实施公平的漏洞赏金计划
:企业应确保赏金计划的透明性和公平性,根据漏洞的严重性和实际影响来设定奖金,避免主观判断导致的不公现象。
3. 尊重和保护漏洞发现者
:企业应尊重漏洞提交者的贡献,保护他们的隐私和权益,避免任何形式的报复行为。同时,应建立正式的致谢机制,公开表彰贡献者的努力。
4. 加强沟通和反馈
:在整个漏洞处理过程中,保持与提交者的沟通至关重要。提供定期的状态更新,确保提交者知道他们的报告正在被积极处理。
5. 提供透明度
:在处理漏洞时,企业应向公众提供一定程度的透明度,比如通过安全公告或博客文章分享处理过程和结果,增加外界对企业安全管理的信任。
6. 教育和培训
:企业应对内部员工进行教育和培训,确保他们了解如何正确处理漏洞报告,以及如何与漏洞发现者有效沟通。
7. 合作而非对抗
:鼓励企业和安全研究人员建立合作关系,而不是对立关系。通过共同的目标和相互尊重,双方可以更有效地工作,共同提高网络安全水平。
8. 法律和伦理指导
:制定和遵守行业伦理准则,确保漏洞披露的合法性和道德性。同时,政府和行业协会应提供明确的法律指导,以支持公平和有效的漏洞披露实践。
9. 持续改进
:企业应定期评估和改进漏洞披露流程,确保它能够适应不断变化的安全环境和技术进步。
10. 建立紧急响应团队
:对于大型企业和关键基础设施,建立专门的紧急响应团队来处理漏洞报告,确保快速和专业的响应。
某科技公司安全负责人朱士贺
表示,针对漏洞披露时所面临的挑战,建议为提交者提供漏洞报告模板,建立明确的漏洞披露政策制度、流程(SOP)、响应时间、沟通渠道和期望的解决时间;在漏洞赏金不公的问题上,建议定期公开赏金分配的情况增加公正透明度,建立基于漏洞的严重性和影响进行公平分配奖金的赏金计划,并定期参考行业的发展变化调整保持市场统一。
“至于企业对漏洞提交者的轻视,从根本而言,其会打击漏洞提交者的积极心,并影响安全社区的正常运行。因此,企业可与漏洞提交者之间应建立及时反馈处理进度的机制,确保自己能尊重和认可漏洞提交者的付出。”
沟通问题方面,朱士贺表示,企业应指定专门的联系人与漏洞提交者沟通,提供多种联系沟通的方式,如电子邮件、即时通讯、电话会议等,在开始沟通时就明确双方的期望,包括响应时间、信息共享的范围等。“当然,最终还是要提高整个互联网生态与产业系统参与者的认知,以及对网络和数据安全性的关注重视程度。”
某金融科技公司安全总监王明博
表示,导致这种情况有三个主要原因:
