Trend Micro’s Zero Day Initiative constateert zorgwekkende trend: steeds minder bedrijven transparant over kwetsbaarheden en patching

“Onze proactieve miljoeneninvestering in onderzoek naar kwetsbaarheden heeft al miljarden bespaard voor onze klanten en de sector als geheel”, zegt Kevin Simzer COO bij Trend. “Een zorgwekkende trend die we zien is het gebrek aan transparantie in de berichtgeving rond kwetsbaarheden en patching. Dit vormt een enorm gevaar voor de veiligheid van de digitale wereld.”

 

Silent patching

Trend Micro roept op tot een einde aan silent patching - het vertragen of afzwakken van openbare bekendmaking en documentatie van kwetsbaarheden en patches. Het is een enorm obstakel om cyber crime te bevechten, maar ook een vaak voorkomend verschijnsel bij grote leveranciers en cloudproviders.
 

Trend Micro laat weten dat silent patching steeds normaler is geworden onder cloudproviders. Organisaties zien daarnaast vaker af van het toewijzen van een Common Vulnerability and Exposures (CVE)-ID voor openbare documenten en geven in plaats daarvan privé patches uit.

 

Het gebrek aan transparantie of versienummers voor cloudservices hindert risico assessments en onthoudt de bredere beveiligings-community van waardevolle informatie voor het versterken van ecosysteem beveiliging.

 

Gebrek aan informatie over kwetsbaarheden leidt tot onnodige risico’s

Vorig jaar waarschuwde Trend Micro al over het groeiende aantal incomplete of foutieve patches en een grotere weerstand bij leveranciers om informatie over patches te leveren in gewone taal. Dit gat is sindsdien alleen maar groter geworden. Sommige organisaties deprioriteren patching zelfs helemaal, wat hun klanten onnodig blootgesteld aan risico’s. 

 

Er is dringend actie nodig om prioriteit te geven aan patching, kwetsbaarheden aan te pakken en de samenwerking tussen onderzoekers, leveranciers en cloudproviders te bevorderen om cloudgebaseerde services te versterken en gebruikers te beschermen. 

 

Trend Micro is toegewijd aan transparante patching van kwetsbaarheden en heeft als doel om de security posture sectorbreed te verbeteren via zijn Zero Day Initiative programma. Trend’s ZDI publiceerde recent verschillende advisories over zero day-kwetsbaarheden, waaronder:
 

ZDI-CAN-20784 Github (CVSS 9.9)

 

Dit beveiligings lek stelt externe aanvallers in staat om privileges te escaleren op getroffen installaties van Microsoft GitHub. Verificatie is vereist om dit beveiligings lek te misbruiken.

De fout bestaat in de configuratie van Dev-Containers. De applicatie dwingt de geprivilegieerde vlag niet af binnen een dev-containerconfiguratie. Een aanvaller kan deze kwetsbaarheid gebruiken om privileges te escaleren en code uit te voeren in de context van de hypervisor.

 

ZDI-CAN-20771 Microsoft Azure (CVSS 4.4)

 

Door dit beveiligings lek kunnen aanvallers op afstand gevoelige informatie op Microsoft Azure vrijgeven. Een aanvaller moet eerst de mogelijkheid krijgen om hoog geprivilegieerde code uit te voeren op de doelomgeving om dit beveiligings lek te kunnen misbruiken.

De fout zit in de afhandeling van certificaten. Het probleem is het gevolg van de blootstelling van een hulpbron aan de verkeerde controlesfeer. Een aanvaller kan dit beveiligings lek gebruiken om opgeslagen inloggegevens vrij te geven, wat kan leiden tot verdere inbreuken. 

 

Voor een volledige lijst van advisories gepubliceerd door Trend Micro’s ZDI, bezoek de website.

 

Trend Micro Zero Day Initiative

Trend Micro’s ZDI is een pionier op de kwetsbaarheidsmarktplaats met een focus op het ontwrichten van aanvallers door op legitieme wijze onderzoek naar kwetsbaarheden te kopen. Dit kan vervolgens aan getroffen leveranciers worden bekendgemaakt voordat de informatie openbaar wordt. 

 

Lees hier meer: 

TAPP lanceert nieuw platform voor horecaondernemers

Privacywaakhond eist transparantie van bedrijven die tweets verzamelen voor de overheid