Witold Kepinski - 06 september 2023

Bedrijven minder transparant over kwetsbaarheden en patching

Het Trend Micro Zero Day Initiative programma heeft in 2023 over meer dan 1.000 kwetsbaarheden gepubliceerd in zijn advisories, meldt cyberbeveiligingsbedrijf Trend Micro. Als deze kwetsbaarheden zouden worden misbruikt, zou de impact in tijd en financieel verlies 10 keer zo groot kunnen zijn als de kosten van preventie.

Bedrijven minder transparant over kwetsbaarheden en patching image

“Onze proactieve miljoeneninvestering in onderzoek naar kwetsbaarheden heeft al miljarden bespaard voor onze klanten en de sector als geheel”, zegt Kevin Simzer COO bij Trend. “Een zorgwekkende trend die we zien is het gebrek aan transparantie in de berichtgeving rond kwetsbaarheden en patching. Dit vormt een enorm gevaar voor de veiligheid van de digitale wereld.”

Silent patching

Trend Micro roept op tot een einde aan silent patching - het vertragen of afzwakken van openbare bekendmaking en documentatie van kwetsbaarheden en patches. Het is een enorm obstakel om cybercrime te bevechten, maar ook een vaak voorkomend verschijnsel bij grote leveranciers en cloudproviders.

Trend Micro laat weten dat silent patching steeds normaler is geworden onder cloudproviders. Organisaties zien daarnaast vaker af van het toewijzen van een Common Vulnerability and Exposures (CVE)-ID voor openbare documenten en geven in plaats daarvan privé patches uit.

Het gebrek aan transparantie of versienummers voor cloudservices hindert risico assessments en onthoudt de bredere beveiligings-community van waardevolle informatie voor het versterken van ecosysteembeveiliging.

Gebrek aan informatie over kwetsbaarheden leidt tot onnodige risico’s

Vorig jaar waarschuwde Trend Micro al over het groeiende aantal incomplete of foutieve patches en een grotere weerstand bij leveranciers om informatie over patches te leveren in gewone taal. Dit gat is sindsdien alleen maar groter geworden. Sommige organisaties deprioriteren patching zelfs helemaal, wat hun klanten onnodig blootgesteld aan risico’s.

Er is dringend actie nodig om prioriteit te geven aan patching, kwetsbaarheden aan te pakken en de samenwerking tussen onderzoekers, leveranciers en cloudproviders te bevorderen om cloudgebaseerde services te versterken en gebruikers te beschermen.

Trend Micro is toegewijd aan transparante patching van kwetsbaarheden en heeft als doel om de security posture sectorbreed te verbeteren via zijn Zero Day Initiative programma. Trend’s ZDI publiceerde recent verschillende advisories over zero day-kwetsbaarheden, waaronder:

ZDI-CAN-20784 Github (CVSS 9.9)

  • Dit beveiligingslek stelt externe aanvallers in staat om privileges te escaleren op getroffen installaties van Microsoft GitHub. Verificatie is vereist om dit beveiligingslek te misbruiken.

  • De fout bestaat in de configuratie van Dev-Containers. De applicatie dwingt de geprivilegieerde vlag niet af binnen een dev-containerconfiguratie. Een aanvaller kan deze kwetsbaarheid gebruiken om privileges te escaleren en code uit te voeren in de context van de hypervisor.

ZDI-CAN-20771 Microsoft Azure (CVSS 4.4)

  • Door dit beveiligingslek kunnen aanvallers op afstand gevoelige informatie op Microsoft Azure vrijgeven. Een aanvaller moet eerst de mogelijkheid krijgen om hoog geprivilegieerde code uit te voeren op de doelomgeving om dit beveiligingslek te kunnen misbruiken.

  • De fout zit in de afhandeling van certificaten. Het probleem is het gevolg van de blootstelling van een hulpbron aan de verkeerde controlesfeer. Een aanvaller kan dit beveiligingslek gebruiken om opgeslagen inloggegevens vrij te geven, wat kan leiden tot verdere inbreuken.

Voor een volledige lijst van advisories gepubliceerd door Trend Micro’s ZDI, bezoek de website.

Trend Micro Zero Day Initiative

Trend Micro’s ZDI is een pionier op de kwetsbaarheidsmarktplaats met een focus op het ontwrichten van aanvallers door op legitieme wijze onderzoek naar kwetsbaarheden te kopen. Dit kan vervolgens aan getroffen leveranciers worden bekendgemaakt voordat de informatie openbaar wordt.

Dutch IT Security Day BW tm 15-10-2024 Dutch IT Golf Cup BW tm 16-09-2024
Dutch IT Security Day BN tm 15-10-2024