Skoči na vsebino

SI-CERT 2017-01 / Razkrivanje ranljivosti

Zaradi nadaljevanja napadov na spletne aplikacije AJPES objavljamo javno obvestilo o ti. odgovornem razkrivanju ranljivosti (angl. responsible disclosure).

Odgovorno razkrivanje ranljivosti predvideva, da oseba, ki odkrije ranljivost, to sporoči proizvajalcu, skrbniku sistema ali razvijalcu programske opreme, lahko neposredno, ali pa preko neodvisne tretje osebe, koordinatorja. Odgovorno razkrivanje je ustaljen postopek sodelovanja neodvisnih raziskovalcev pri izboljševanju zaščite računalniških sistemov.

Prijavitelj neposredno ali preko koordinatorja uskladi predajo informacij in časovne okvire za izdelavo popravkov in nadgradenj. Hkrati se obe strani uskladita tudi glede časovnega roka objav ranljivosti. Obstoječi dokumenti o tem navajajo roke 30, 45 ali celo 60 dni za odpravo napak ([2], [1], [3]). Vse stranke v postopku se tudi dogovorijo za načine objave ranljivosti.

Tovrstno odgovorno razkrivanje ščiti tudi prijavitelja samega in mu omogoča anonimnost. To, da se priznava koristnost postopkov odgovornega razkrivanja, nikakor ne pomeni, da lahko kdorkoli brez posledic poskuša vdreti v katerikoli sistem na omrežju, izrablja najdene ranljivosti in objavlja neupravičeno pridobljene podatke. Raziskovalci ranljivosti lahko ob neustrezni predhodni pripravi namreč prestopijo mejo, ko skrbnik sistema ne bo mogel prepoznati, da ne gre za zlonameren vdor in bo zahteval ustrezno ukrepanje organov pregona. Prijavitelj mora tudi vzeti v obzir posledice poskušanj izrabe ranljivosti, med katerimi je lahko tudi nesorazmerna obremenitev sistema in izpad delovanja aplikacij.

Zaradi navedenega svetujemo, da raziskovalci za predhodno mnenje podajo vprašanje na SI-CERT. Ta lahko opravi vlogo koordinatorja in zagotovi prijavitelju anonimnost.

  1. CERT/CC Vulnerability Disclosure Policy
  2. IETF Draft “Responsible Vulnerability Disclosure Process”
  3. NCSC-NL: “Coordinated Vulnerability Disclosure: the Guideline”

Preberite tudi

SI-CERT 2023-06 / Zlorabe Cisco IOS XE naprav

Cisco IOS XE naprave, ki imajo dostopen spletni vmesnik (Web UI) so ranljive in omogočajo storilcem zagon poljubne kode na njih. Ranljivost se trenutno aktivno izkorišča.
Več

SI-CERT 2023-05 / Ranljivost Ivanti Endpoint Manager Mobile (MobileIron)

Ranljivost CVE-2023-35078 Endpoint Manager Mobile (EPMM, prej MobileIron Core) za upravljanje mobilnih naprav podjetja Ivanti omogoča oddaljeni zagon poljubne kode na ranljivem sistemu (RCE, Remote Code Execution). Ranljivost ima najvišjo oceno CVSS (10.0) in se že izrablja v kibernetskih napadih. Skrbnikom svetujemo takojšnjo nadgradnjo.
Več

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Ranljivost CVE-2023-3519 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.
Več