I CVE (o eventuali vulnerabilità) possono dipendere l'uno dall'altro?

Question

I CVE (o eventuali vulnerabilità) possono dipendere l'uno dall'altro?

#1 da (4 voti)

0

Sto raccogliendo una serie di dati CVE per alcune analisi relative alla sicurezza e volevo sapere se ci sono esempi di vulnerabilità che dipendono dall'esistenza di un'altra vulnerabilità sullo stesso sistema. Una sorta di dipendenza da vulnerabilità, se vuoi.

Ad esempio, supponiamo che un sistema sia vulnerabile a CVE-1 e successivamente venga scoperta un'altra vulnerabilità (CVE-2) che è sfruttabile solo se il sistema è ancora vulnerabile a CVE-1. C'è un esempio di tale vulnerabilità?

Oppure il CVE originale dovrebbe essere aggiornato con le nuove informazioni?

vulnerability known-vulnerabilities cve

posta Vivin Paliath 21.01.2016 - 22:55

fonte

1 risposta

Leggi altre domande sui tag vulnerability known-vulnerabilities cve

Accesso alla chiave URL - Protezione del non protetto! Nome utente predefinito da evitare

score 4 · Accepted Answer

Un CVE è una descrizione di vulnerabilità, es. un documento che dichiara che alcune proprietà di sicurezza sono state trovate in errore.

Come spiegato nel commento di Ohnana, un CVE potrebbe effettivamente dichiarare che per essere sfruttabili anche altre proprietà di sicurezza che non fanno parte di questo CVE dovrebbero essere interrotte (in genere CVE che richiede un accesso specifico da parte dell'utente malintenzionato, sia esso locale, privilegiato, in posizione per manomettere il traffico di rete, ecc.).

Tuttavia, il CVE non limiterà questo all'utilizzo di un altro CVE specifico. Non dirà ad esempio che questo CVE è sfruttabile se è stato ottenuto un accesso locale utilizzando specificamente questo altro CVE. Dirà semplicemente che questo CVE è sfruttabile solo con un accesso locale.

Tuttavia, sebbene non esista una stretta dipendenza tra i CVE, può comunque esserci un tipo di collegamento tra di loro perché, quando in alcuni software diffusi viene rilevata una vulnerabilità abbastanza importante (o sospetta di essere importante), un sacco di ricercatori sulla sicurezza scaverà in questo e possibilmente farà altre scoperte.

Quindi, sarà compito di determinare come classificare tali scoperte:

Nello schema che descrivi, che capisco come " l'utilizzo di questa vulnerabilità consente all'hacker di fare ancora più danni come precedentemente previsto procedendo in un certo modo ", questo molto probabilmente termina come aggiornamento del primo CVE. Significa che l'impatto della vulnerabilità sembra essere stato sottovalutato e deve essere rivisto.
Tuttavia, molto spesso tali scoperte sono vulnerabilità indipendenti. Ognuno di loro avrà il proprio CVE e potrà essere sfruttato in modo indipendente. Tuttavia è possibile che la stessa soluzione risolva molti di questi CVE poiché potrebbero riguardare la stessa parte del software (quella sotto esame da parte di tutti i ricercatori di sicurezza). Questo è utile perché aiuterà ad aumentare la qualità della correzione. Shellshock con la sua lista di CVE pubblicati dopo la prima scoperta sembra un buon esempio.
Finalmente è anche possibile che diversi problemi scoperti, pur essendo indipendenti gli uni dagli altri e non necessariamente tutti i problemi di sicurezza (e quindi non richiedendo un CVE distinto), possono combinarsi per aumentare la minaccia CVE iniziale. Ad esempio, CVE-2015-3456 menziona una vulnerabilità che interessa il floppy di Qemu Disk Controller in alcune versioni di Xen e KVM e che consente di uscire dalla VM; mentre questo problema dovrebbe essere limitato all'ambiente con l'emulazione dell'unità floppy abilitata, i ricercatori hanno scoperto che " se l'amministratore disabilita esplicitamente il virtuale unità floppy, un bug non correlato fa sì che il codice FDC vulnerabile rimanga attivo e sfruttabile dagli autori di attacchi ".