Security-specialist Trend Micro ziet een zorgwekkende trend in het gebrek aan transparantie in de berichtgeving rond kwetsbaarheden en patching. “Dit vormt een enorm gevaar voor de veiligheid van de digitale wereld,” stelt het bedrijf.
Silent patching
Trend Micro roept op tot een einde aan silent patching. Dit is het vertragen of afzwakken van openbare bekendmaking en documentatie van kwetsbaarheden en patches. Het zou een enorm obstakel zijn om cybercrime te bevechten. Maar ook een vaak voorkomend verschijnsel bij grote leveranciers en cloudproviders.
Trend Micro stelt dat silent patching steeds normaler is geworden onder cloudproviders. Organisaties zien daarnaast vaker af van het toewijzen van een Common Vulnerability and Exposures (CVE)-ID voor openbare documenten en geven in plaats daarvan privé patches uit.
Het gebrek aan transparantie of versienummers voor cloudservices hindert risico assessments en onthoudt de bredere beveiligings-community van waardevolle informatie voor het versterken van ecosysteembeveiliging.
Onnodige risico’s
Vorig jaar waarschuwde Trend Micro al over het groeiende aantal incomplete of foutieve patches en een grotere weerstand bij leveranciers om informatie over patches te leveren in gewone taal. Dit gat is sindsdien alleen maar groter geworden. Sommige organisaties deprioriteren patching zelfs helemaal, wat hun klanten onnodig blootgesteld aan risico’s.
Er is dringend actie nodig om prioriteit te geven aan patching, kwetsbaarheden aan te pakken en de samenwerking tussen onderzoekers, leveranciers en cloudproviders te bevorderen om cloudgebaseerde services te versterken en gebruikers te beschermen.
Trend Micro wees belanghebbenden onlangs op twee zero day-kwetsbaarheden:
ZDI-CAN-20784 Github (CVSS 9.9)
Dit beveiligingslek stelt externe aanvallers in staat om privileges te escaleren op getroffen installaties van Microsoft GitHub. Verificatie is vereist om dit beveiligingslek te misbruiken.
De fout bestaat in de configuratie van Dev-Containers. De applicatie dwingt de geprivilegieerde vlag niet af binnen een dev-containerconfiguratie. Een aanvaller kan deze kwetsbaarheid gebruiken om privileges te escaleren en code uit te voeren in de context van de hypervisor.
ZDI-CAN-20771 Microsoft Azure (CVSS 4.4)
Door dit beveiligingslek kunnen aanvallers op afstand gevoelige informatie op Microsoft Azure vrijgeven. Een aanvaller moet eerst de mogelijkheid krijgen om hoog geprivilegieerde code uit te voeren op de doelomgeving om dit beveiligingslek te kunnen misbruiken.
De fout zit in de afhandeling van certificaten. Het probleem is het gevolg van de blootstelling van een hulpbron aan de verkeerde controlesfeer. Een aanvaller kan dit beveiligingslek gebruiken om opgeslagen inloggegevens vrij te geven, wat kan leiden tot verdere inbreuken.