0
0
Encontrar um CVE (Common Vulnerabilities and Exposures) é o primeiro passo de um processo que começa com a identificação de um dia zero e pode terminar com fama e glória – se a descoberta for significativa o suficiente.
Os recém-chegados ao campo de pesquisa de segurança saberão que publicar um CVE pode ser uma grande jogada na carreira. Mas eles podem não necessariamente entender apenas como obter a vulnerabilidade publicada e alertar outros pesquisadores e empresas ou usuários afetados pelo problema. Pode ser preciso muita tentativa e erro para dominar o ofício da publicação CVE. Então, por onde os pesquisadores devem começar a fazer disso uma experiência perfeita e livre de dor?
Certifique-se de que a vulnerabilidade é nova
Um dia zero não é um dia zero se já foi identificado anteriormente. Antes que os pesquisadores tentem publicar um CVE, eles devem realizar a due diligence para descobrir se ele já foi relatado por outro pesquisador.
O primeiro lugar para verificar é o banco de dados MITRE. Pesquisar GitHub, ExploitDB e PacketStorm também pode provar se a vulnerabilidade é nova. Mesmo uma pesquisa rápida no Google pode fazer maravilhas. Uma vez que um pesquisador provou que descobriu algo que ninguém mais viu, é hora de passar para a próxima etapa do processo.
Entre em contato com o proprietário do produto
É uma boa prática alertar o fornecedor ou o proprietário do produto para divulgar a vulnerabilidade antes de tomar novas medidas. Isso normalmente resulta em um dos dois cenários:
a) Se um pesquisador conseguir entrar em contato com a pessoa certa, a próxima etapa envolve construir um relacionamento e trabalhar em conjunto para coordenar a divulgação com mitigação e emissão de um patch.
Se o fornecedor é cooperativo, é uma boa ideia concordar em como e quando a divulgação será revelada. Cada empresa terá sua própria política sobre isso que também mudará dependendo da natureza da CVE.
A divulgação responsável é importante porque os atores de ameaças se aproveitarão de qualquer CVE tornado público. É por isso que ser paciente e entrar em contato com o fornecedor da maneira adequada é fundamental.
Se o fornecedor oferecer uma recompensa por bugs, a jornada pode terminar nesta fase, pois os pesquisadores podem ser proibidos de divulgar a vulnerabilidade, muitas vezes em troca de uma recompensa.
b) Um fornecedor pode ignorar o pesquisador. Nesse caso, a pessoa que descobriu uma vulnerabilidade deve tentar outros métodos de comunicação.
Se uma mensagem para o endereço de e-mail principal não conseguir uma resposta, vale a pena encontrar um endereço pessoal ou fazer uma ligação telefônica – tendo certeza de observar a hora e a data de cada tentativa de contato para que você tenha evidências e um rastro auditável de comunicação caso seja necessário mais adiante.
As mídias sociais também são uma maneira útil de entrar em contato com fornecedores ou proprietários de produtos. Tente marcar uma empresa no Twitter ou Facebook e peça para entrar em contato com a equipe de segurança. Alguns escritos sedutores de “lacuna de curiosidade” podem ajudar nas mídias sociais. Certifique-se de que um post seja sedutor e preocupante o suficiente para ser notado pela equipe social, mas não dê a natureza exata da vulnerabilidade.
Se essas tentativas não acabarem funcionando e o fornecedor continuar a ignorá-lo, a melhor abordagem é esperar por um determinado período de tempo depois de tentar entrar em contato com o fornecedor. Os pesquisadores tendem a esperar por 30, 60, 90 ou 120 dias – mas não há regras sobre divulgação, então isso cabe a pesquisadores individuais.
Nesta fase, vale a pena apresentar um formulário de solicitação CVE no site da MITRE, pois esperar que ele responda pode introduzir atrasos no processo. O MITRE refere-se à maioria das empresas como uma CNA (CNA) e você poderá selecionar a qual CNA a vulnerabilidade se aplica. Se o fornecedor não aparecer no formulário CVE, preencha esse formulário de solicitação de vulnerabilidade.
Nossa experiência sugere que um CVE será aceito em aproximadamente 30 dias. Quando aprovado, os pesquisadores receberão um ID CVE por e-mail e a vulnerabilidade estará em um estado “reservado” – o que significa que é aceita por não publicada. Nesta fase, a MITRE reconheceu que o CVE é genuíno, mas aguarda divulgação.
Se o MITRE não responder – basta apresentar outro pedido mais tarde, mas não se esqueça de mencionar que o fornecedor não reconheceu a comunicação e marcará a mensagem “outra” no menu suspenso.
Publique o CVE
Se a MITRE aceitou o CVE, é hora de divulgar. No entanto, enquanto espera que a MITRE deva sua decisão, vale a pena tentar entrar em contato com o fornecedor novamente se eles ficaram em silêncio. Então, depois de esperar por um período que você considera apropriado – ou que tenha sido acordado com o fornecedor – é hora de publicar.
Um POC/ exploit pode ser enviado para o PacketStorm Security/CX Security. Certifique-se de incluir o número ID MITRE e seguir estas diretrizes para garantir que sua mensagem tenha o cabeçalho correto.
Quando a vulnerabilidade for publicada, envie os links para o MITRE respondendo ao seu e-mail com um link para a exploração publicada. O MITRE enviará um e-mail para confirmar que alterou o status da CVE de “reservado” ou simplesmente fará a alteração em seu site.
E é isso – uma vulnerabilidade foi publicada! Agora é hora de encontrar o próximo.
FONTE: HELPNET SECURITY