CISA udvider sin sårbarhedsliste

CISA har føjet 13 nye sårbarheder til sin ’Known Exploited Vulnerabilities Catalog’.

CISA har udvise sin liste over sårbarheder under angreb i sit 'Known Exploited Vulnerabilities Catalog'. Kataloget indeholder som navnet antyder en liste over kendte sårbarheder, der pt. er under aktiv udnyttelse. Det fremgår, at sårbarhederne er hyppige angrebsvektorer for ondsindede cyberangreb, og at de udgør en ’signifikant’ risiko for føderale enheder. Af samme grund har CISA også anført en deadline for afhjælpning, dvs. de føderale enheder skal have håndteret sårbarheden inden en given dato. Den mest aktuelle og den med højeste rating – Log4Shell-sårbarheden, der blev opdaget fredag den 10. december – har enhederne frem til juleaften at håndtere.

Forholdet mellem KEVs og CVSS

CISAs juridiske grundlag for at kræve håndtering af sårbarhederne findes i et direktiv – Binding Operational Directive. Årsagen til BOD er begrundet i en interessant analyse, der forholder sig til relevansen af CVSS-scoren, som hver offentlig kendt sårbarhed med et CVE-nummer får, og som i mange tilfælde udgør grundlaget for en organisations prioriteringer i sin patch management-strategi.

Men en høj CVSS-score er ikke nødvendigvis det, man skal lade sig styre efter, skriver CISA (som er en del af Homeland Security). Således fremgår det af CISAs FAQ om sårbarhedslisten, at selv om mange sårbarheder er klassificeret som "kritiske", så er de meget komplekse og aldrig blevet set udnyttet ’in the wild’. DHS skriver, at kun 4 pct. af det samlede antal CVE'er er blevet offentligt udnyttet.

Til gengæld er trusselsaktører ekstremt hurtige til at udnytte sårbarheder: Af de 4 pct. kendte, udnyttede CVE'er bliver 42 pct. anvendt på dag 0, dvs. samme dag som offentliggørelsen af CVE-nummeret, 50 pct. inden for to dage og 75 pct. inden for 28 dage.

Førsteprioritet

Af den grund, skriver CISA, bør ’Known Exploited Vulnerabilities’ være førsteprioritet for enhver organisation.

CISA tilføjer løbende nye sårbarheder til kataloget, når:   

  • en sårbarhed har fået et CVE-id.
  • der er pålidelige beviser for, at sårbarheden er blevet aktivt udnyttet og
  • der er en klar handling til afhjælpning af sårbarheden, fx når en leverandør leveret opdatering.

CISA forventer, baseret på historiske data, at mindre end 4 pct. af det samlede antal sårbarheder, der er identificeret i et kalenderår kommer ind i Known Exploited Vulnerability (KEV)-kataloget. CISA forventer også, at antallet af KEV'er vil udvides årligt, fordi der er en markant stigning i antallet af nye CVE'er hvert år. Dette skyldes både stigningen i antallet og kapaciteten hos trusselsaktører og den større kontrol, der udføres af sikkerhedsresearchere.

Links:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

https://cyber.dhs.gov/bod/22-01/

Keywords: