قائمة الأخطاء VulnCheck للمساعدة في تتبع التهديدات الجديدة بشكل أسرع
VulnCheck، أطلق أحد المتخصصين في استخبارات استغلال الثغرات ومقره الولايات المتحدة كتالوج الثغرات الأمنية المعروفة (KEV) الخاص به، بهدف نشر نقاط الضعف والتعرضات المشتركة المؤثرة (CVEs) على نطاق أوسع بين المستخدمين النهائيين.
وتقول المنظمة إن الأداة، التي ستكون متاحة مجانًا لأولئك الذين ينضمون إلى مجتمع VulnCheck، ستزود فرق الأمن والمدافعين الآخرين بمعلومات حول نقاط الضعف التي يتم استغلالها في البرية، مما يساعدهم على إدارة التهديدات بشكل أفضل، ومعرفة ما يجب التعامل معه أن تكون ذات أولوية، والبقاء في صدارة الأخطاء الإشكالية.
المفهوم وراء مبادرة VulnCheck مرسوم على كتالوج KEV الشهير تديرها وكالة البنية التحتية والأمن السيبراني الأمريكية (CISA)، النظير الأمريكي للمركز الوطني للأمن السيبراني (NCSC) في المملكة المتحدة.
تم تصميم كتالوج CISA KEV لتتبع نقاط الضعف التي تقدر الوكالة أنها تمثل تهديدًا للهيئات الحكومية الأمريكية، ويفرض العلاج أو التصحيح خلال فترة زمنية محددة – لا تنطبق هذه الشروط على المنظمات الخاصة أو أفراد الجمهور.
ومع ذلك، فإن التركيز الصارم لـ CISA يعني أنه من المعروف أنها تفتقد بعض الأشياء، في الواقع، تقول VulnCheck إنها تتعقب في الوقت الحالي 876، أو 81٪، من الثغرات المستغلة في البرية أكثر من CISA، وتضيف أخطاء جديدة إلى كتالوجها قبل 27 يومًا من Arlington ، وكالة مقرها فيرجينيا، والتي تشكل جزءًا من وزارة الأمن الداخلي (DHS).
قال أنتوني بيتيني، المؤسس والرئيس التنفيذي لشركة VulnCheck: “لا يزال كتالوج CISA KEV أداة لا تقدر بثمن وقوة دافعة في صناعتنا، ولكن هناك فرصة لرؤية أوسع وغالبًا ما تكون مؤشرات مبكرة للاستغلال المعروف”.
“ولهذا السبب قررنا تقديم مورد مجتمعي يوفر معلومات معلوماتية ومرجعية عن الثغرات المستغلة والمعروفة على نطاق أوسع، ويتم تسليمها جميعًا بسرعة الآلة.”
الأبحاث الأخيرة التي أجراها التحالفوجدت شركة توريد خدمات التأمين والمخاطر السيبرانية أن العدد الإجمالي لتهديدات التطرف العنيف التي تم الكشف عنها من المتوقع أن ينمو بنسبة 25% خلال عام 2024، ليصل إلى مستوى مرتفع جديد يبلغ حوالي 35000. وفي ضوء هذا النمو السريع – والاستغلال السريع بنفس القدر من قبل الجهات الفاعلة الخبيثة – قالت VulnCheck إن القدرة على التحرك بسرعة والوصول إلى نطاق واسع من البيانات كانت أصولًا ذات قيمة عالية لفرق الأمان، وهو أمر تأمل أن تتمكن من توفيره من خلال خدمتها الخاصة.
تتضمن بعض الميزات الرئيسية للخدمة الجديدة تتبعًا شاملاً لمكافحة التطرف العنيف، بما في ذلك جميع الميزات المدرجة بواسطة CISA؛ استخبارات الاستغلال السياقية، بما في ذلك كود استغلال إثبات المفهوم (PoC) المتاح للجمهور إن أمكن؛ واستغلال المراجع، يوفر KEV الجديد اقتباسات لجميع مكافحة التطرف العنيف المدرجة لإعطاء المدافعين فكرة عن سبب قيام مكافحة التطرف العنيف المعينة بالقطع – على سبيل المثال، إذا تم استخدام أحد هذه التهديدات من قبل عصابة برامج الفدية، فسيتم تقديم دليل على ذلك.
الأداة متاحة الآن لأعضاء المجتمع عبر لوحة معلومات VulnCheck KEV، وJSON المقروء آليًا، ونقطة نهاية VulnCheck KEV API.
دراسة الحالة: بداية لمدة ثلاثة أيام على Atlassian
وكدليل على كيفية عمل قدراته في المستقبل، VulnCheck بالإضافة إلى ذلك شارك بعض البصيرة في دورة حياة CVE التي تم الكشف عنها مؤخرًا في Atlassian Confluence Server، يتم تتبعه كـ CVE-2023-22527، عيب في تنفيذ التعليمات البرمجية عن بعد (RCE) تم الكشف عنه بواسطة Atlassian في تقرير استشاري بتاريخ 16 يناير 2024.
بحلول 21 يناير، تم رصد استغلال الثغرة الأمنية من قبل تقرير DFIR، وتمت إضافته إلى كتالوج VulnCheck KEV في نفس اليوم. وجاء تأكيد إضافي للاستغلال في 22 يناير من باب المجاملة مؤسسة ShadowServer و بلا، وتمت إضافة ثلاثة إثباتات نجاح (PoCs) إلى GitHub في ذلك اليوم. الباحثون في يمكن الدفاع عنه أضافوا سنتاتهم في 23 يناير، وبدأ المزيد من أكواد الاستغلال في الظهور، قبل إضافة الخطأ أخيرًا إلى كتالوج CISA في 24 يناير، مع الموعد النهائي للإصلاح في 14 فبراير.