Valutare l'efficacia degli EPSS nella cybersecurity
Valutare l'utilità degli EPSS per prevedere le vulnerabilità di sicurezza.
― 8 leggere min
Indice
- Cos'è EPSS, CVSS e CVE?
- Cos'è CISA KEV?
- Perché è Importante Prioritizzare le Vulnerabilità?
- Perché Studiare Questo Argomento?
- Panoramica del Sistema EPSS
- Come Sono Calcolati i Punteggi EPSS?
- Descrizione delle Fonti Dati Usate in EPSS
- Metodologia e Assunzioni
- Presenza nel CISA KEV
- Aspettative della Predizione EPSS
- Tecnologie di Accesso Remoto come Obiettivi di Alto Valore
- Dati Esempio CVE EPSS
- CVE-2023-3519
- CVE-2023-4966
- CVE-2023-7028
- CVE-2023-22515 e CVE-2023-22518
- CVE-2023-22527
- CVE-2023-27997
- Analisi dei Dati CVE
- Analisi del Modello
- Opportunità Future
- Conclusione
- Fonte originale
- Link di riferimento
Il Sistema di Valutazione della Predizione degli Exploit (EPSS) è uno strumento che aiuta a stimare quanto sia probabile che un problema di sicurezza (come un bug informatico) possa essere sfruttato dai malintenzionati nel prossimo mese. Questo strumento assegna punteggi a diversi problemi di sicurezza, aiutando le aziende a capire quali risolvere per prime.
Cos'è EPSS, CVSS e CVE?
EPSS sta per Sistema di Valutazione della Predizione degli Exploit. Utilizza programmi informatici intelligenti per dare punteggi che mostrano le probabilità che un bug venga sfruttato presto. D'altra parte, il Sistema di Valutazione delle Vulnerabilità Comune (CVSS) classifica i bug in base a quanto siano pericolosi, assegnando un punteggio da 0 a 10.
CVE, che sta per Vulnerabilità e Esposizioni Comuni, è un sistema che tiene traccia dei problemi di sicurezza. Ogni bug riceve un ID unico e il CVSS aiuta a mostrare quanto è serio ogni bug. Mentre l'EPSS è ottimo nel mettere in evidenza i bug che potrebbero essere sfruttati, servono più studi per vedere se è effettivamente in grado di prevedere quali problemi ad alto rischio potrebbero essere sfruttati prima che lo siano.
Cos'è CISA KEV?
Il catalogo delle Vulnerabilità Sfruttate Conosciute (KEV) è come una hall of shame per i bug, gestito dall'Agenzia di Cybersecurity e Sicurezza delle Infrastrutture (CISA). Questa lista contiene bug che sono stati confermati come utilizzati da hacker in attacchi reali.
Per un bug per essere inserito in questa lista, deve soddisfare due condizioni:
- Ci sono prove che gli hacker hanno cercato di sfruttarlo.
- Devono esserci passi chiari disponibili per risolverlo.
Perché è Importante Prioritizzare le Vulnerabilità?
Quando un bug entra nel catalogo KEV, significa che è già stato scoperto ed è ampiamente noto. Ci sono migliaia di bug là fuori e, sfortunatamente, risolverli tutti rapidamente non è un'opzione. In media, le aziende impiegano da 88 a 208 giorni per correggere le proprie vulnerabilità, quindi è cruciale affrontare prima le più pericolose.
Perché Studiare Questo Argomento?
L'obiettivo di questo studio è vedere se i punteggi EPSS possono realmente prevedere problemi prima che vengano sfruttati e quanto siano utili questi punteggi per i difensori informatici. Anche se l'EPSS sembra identificare vulnerabilità pericolose, non ci sono molte ricerche che dimostrino se sia predittivo. Questo studio analizza a fondo i bug ad alto rischio per vedere se l'EPSS è uno strumento affidabile per la gestione delle vulnerabilità e per capire come può essere migliorato ulteriormente.
Panoramica del Sistema EPSS
L'EPSS è uno strumento basato sui dati che utilizza il machine learning per stimare le probabilità (da 0 a 1) che una vulnerabilità software venga sfruttata nel mondo reale. Funziona insieme al CVSS, che aiuta a calcolare quanto possa essere pericolosa una vulnerabilità se fosse realmente sfruttata. In pratica, il CVSS ti dice quanto è brutto un bug, mentre l'EPSS ti dice quanto è probabile che venga utilizzato dagli attaccanti.
Come Sono Calcolati i Punteggi EPSS?
L'EPSS si concentra sulla previsione delle vulnerabilità utilizzando dati reali provenienti da CVE e dati di sfruttamento effettivi. Il sistema utilizza un modello di machine learning specifico chiamato gradient-boosted trees (XGBoost) per fare le sue previsioni.
Descrizione delle Fonti Dati Usate in EPSS
L'EPSS utilizza una varietà di fonti dati per funzionare in modo efficace. Questo include informazioni dai social media, feed di minacce e notizie pubbliche, tutte relative alle vulnerabilità. L'obiettivo è raccogliere una vasta gamma di informazioni per prevedere accuratamente quali vulnerabilità sono a rischio di sfruttamento.
Metodologia e Assunzioni
Questo studio si basa esclusivamente su dati pubblicamente disponibili per valutare quanto bene funzioni il sistema EPSS. I dati sono principalmente costituiti da voci CVE, i loro punteggi EPSS e il catalogo CISA KEV. Altre fonti dati utili includono articoli di notizie, exploit disponibili e altro.
Il dataset si concentra sull'ultima versione di EPSS (EPSSv3), che è stata introdotta a marzo 2023. Lo studio è limitato alle vulnerabilità aggiunte al catalogo CISA KEV dopo il 15 marzo 2023. Particolare attenzione è riservata alle vulnerabilità che hanno ottenuto un punteggio di 9.0 o superiore sulla scala CVSS, poiché rappresentano le minacce di sicurezza più critiche.
La ricerca fa alcune assunzioni:
- L'EPSS dovrebbe essere in grado di prevedere quali CVE sono probabili di essere sfruttati prima che appaiano nel catalogo CISA KEV.
- Se un CVE è elencato nel catalogo CISA KEV, è stato o sfruttato con successo o è stato preso di mira per sfruttamento.
- Le tecnologie di accesso remoto e i sistemi di sicurezza perimetrale sono obiettivi principali per gli attaccanti.
Presenza nel CISA KEV
Quando una vulnerabilità viene aggiunta al catalogo CISA KEV, è generalmente stata confermata come sfruttata o presa di mira. In media, gli exploit vengono pubblicati circa tre settimane prima che una CVE compaia pubblicamente. Il tempo necessario per risolvere una vulnerabilità è spesso di circa 60 giorni o anche più.
Aspettative della Predizione EPSS
Si prevede che il sistema EPSS valuti le possibilità di sfruttamento prima che una vulnerabilità sia nel catalogo CISA KEV. Molti bug sono noti ai fornitori molto prima che vengano divulgati pubblicamente. L'EPSS dovrebbe riflettere accuratamente il rischio, tranne nei casi in cui un CVE venga aggiunto a KEV subito dopo la divulgazione.
Tecnologie di Accesso Remoto come Obiettivi di Alto Valore
All'inizio del 2022, è stata emessa una direttiva per passare da VPN tradizionali a modelli di sicurezza più recenti, a causa dello sfruttamento continuo delle tecnologie di accesso remoto. La CISA ha anche affrontato problemi nell'uso di VPN, portando all'emissione di diverse avvertenze riguardo la seria minaccia.
Ogni principale VPN o firewall ha avuto almeno un'entrata nel catalogo CISA KEV, evidenziando l'importanza di strumenti efficaci per prevedere exploit in questo settore. Tra i 90 CVE critici elencati nel catalogo KEV da marzo 2023, un numero notevole era legato a prodotti di sicurezza di rete.
Dati Esempio CVE EPSS
Ora vediamo alcuni esempi di CVE ad alto rischio, specialmente quelli che riguardano tecnologie di accesso remoto.
CVE-2023-3519
Questa vulnerabilità riguarda i prodotti Citrix NetScaler. Se sfruttata, potrebbe causare un'esposizione significativa all'interno di una rete aziendale. Un exploit pubblico per questa vulnerabilità è diventato disponibile subito dopo che è stata inserita nel catalogo KEV.
CVE-2023-4966
Un'altra vulnerabilità che colpisce Citrix, questa volta relativa a un overflow del buffer. Anche questo bug è diventato noto poco prima della sua inclusione nel catalogo KEV ed era associato a un attacco ransomware.
CVE-2023-7028
Questa riguarda GitLab, molto popolare per la gestione del codice sorgente. Se sfruttata, potrebbe portare a un attacco alla catena di fornitura. L'exploit pubblico è stato reso noto il giorno dopo che la CVE è stata divulgata.
CVE-2023-22515 e CVE-2023-22518
Queste vulnerabilità coinvolgono Atlassian Confluence, un software di workspace molto popolare. Permettono a utenti non autorizzati di creare account amministrativi. Gli exploit pubblici erano disponibili prima che il sistema di scoring riflettesse il loro vero rischio.
CVE-2023-22527
Questa vulnerabilità colpisce anche Atlassian Confluence. Permette a attaccanti non autorizzati di eseguire comandi da remoto, presentando una grave minaccia se sfruttata.
CVE-2023-27997
La vulnerabilità di Fortinet è notevole in quanto colpisce molti sistemi di accesso remoto e sicurezza perimetrale. Questo bug è un altro esempio di quanto possano essere critiche queste tipologie di vulnerabilità.
Analisi dei Dati CVE
Tra i 90 CVE che soddisfano i criteri di ricerca, le vulnerabilità più vecchie tendevano a essere valutate meglio riguardo alla loro probabilità di sfruttamento. Le vulnerabilità più recenti hanno mostrato risultati misti.
In generale, sembra che il sistema di punteggio EPSS sia più un indicatore ritardato piuttosto che predittivo. Quando una vulnerabilità entra nel catalogo CISA KEV, di solito ha un punteggio basso prima dell'inclusione, il che solleva preoccupazioni su quanto sia utile l'EPSS per prioritizzare le correzioni.
Analisi del Modello
Non ci sono molte informazioni pubbliche su quanto siano efficaci i modelli utilizzati dall'EPSS. Una valutazione interna sul famoso bug Log4j mostra quanto rapidamente il punteggio EPSS sia cambiato rispetto alla disponibilità di exploit.
Il modo in cui l'EPSS è implementato può anche influenzare la sua accuratezza. Ad esempio, un sistema esposto direttamente online è più probabile che venga attaccato rispetto a uno in una rete chiusa.
Opportunità Future
Il modello EPSSv3 è nuovo e ha bisogno di una valutazione più approfondita nel tempo. I creatori dell'EPSS dovrebbero considerare un'autovalutazione approfondita del loro modello e condividere più dati in modo aperto per facilitare le valutazioni indipendenti.
Ulteriori ricerche potrebbero concentrarsi su CVE che hanno avuto cambiamenti significativi nei punteggi prima di essere inclusi nel catalogo CISA KEV. Esplorare diversi metodi di machine learning o aggiungere più feed di dati sulle minacce potrebbe anche migliorare l'efficacia dell'EPSS.
Conclusione
Il Sistema di Valutazione della Predizione degli Exploit (EPSS) è uno strumento utile nel campo della cybersecurity, ma sembra non essere all'altezza quando si tratta di prevedere realmente le vulnerabilità che potrebbero essere sfruttate. Questo presenta un rischio potenziale per le organizzazioni che cercano di prioritizzare le loro correzioni di sicurezza. Anche se l'EPSS ha i suoi successi, per lo più sembra più uno strumento di valutazione del rischio piuttosto che un predittore affidabile di exploit.
Il mondo della cybersecurity è complicato e il panorama delle minacce cambia rapidamente. Mentre l'EPSS può aiutare, fare affidamento solo su di esso potrebbe lasciare le organizzazioni esposte ai rischi, specialmente quando si tratta di vulnerabilità di alta severità. Utilizzarlo insieme ad altri strumenti come il CVSS e il catalogo CISA KEV è la migliore strategia per le aziende che vogliono mettere in sicurezza le loro reti e stare un passo avanti rispetto alle minacce potenziali.
Alla fine, la combinazione di conoscenze, strumenti e un pizzico di umorismo può aiutare ad affrontare il serio mondo della cybersecurity. Dopotutto, chi ha detto che il panorama informatico non potesse usare una buona risata di tanto in tanto?
Titolo: Efficacy of EPSS in High Severity CVEs found in KEV
Estratto: The Exploit Prediction Scoring System (EPSS) is designed to assess the probability of a vulnerability being exploited in the next 30 days relative to other vulnerabilities. The latest version, based on a research paper published in arXiv, assists defenders in deciding which vulnerabilities to prioritize for remediation. This study evaluates EPSS's ability to predict exploitation before vulnerabilities are actively compromised, focusing on high severity CVEs that are known to have been exploited and included in the CISA KEV catalog. By analyzing EPSS score history, the availability and simplicity of exploits, the system's purpose, its value as a target for Threat Actors (TAs), this paper examines EPSS's potential and identifies areas for improvement.
Autori: Rianna Parla
Ultimo aggiornamento: 2024-11-04 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2411.02618
Fonte PDF: https://arxiv.org/pdf/2411.02618
Licenza: https://creativecommons.org/licenses/by-nc-sa/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://github.com/vchan-in/CVE-2023-35078-Exploit-POC
- https://www.fortinet.com/blog/threat-research/teamcity-intrusion-saga-apt29-suspected-exploiting-cve-2023-42793
- https://nvd.nist.gov/vuln/detail/CVE-2023-42793
- https://www.logpoint.com/en/blog/emerging-threats/russian-threat-actor-exploiting-cve-2023-42793/
- https://www.cisa.gov/news-events/alerts/2023/12/13/cisa-and-partners-release-advisory-russian-svr-affiliated-cyber-actors-exploiting-cve-2023-42793
- https://packetstormsecurity.com/files/174860/JetBrains-TeamCity-Unauthenticated-Remote-Code-Execution.html
- https://attackerkb.com/topics/1XEEEkGHzt/cve-2023-42793
- https://blog.jetbrains.com/teamcity/2023/09/cve-2023-42793-vulnerability-post-mortem/
- https://www.jetbrains.com/privacy-security/issues-fixed/
- https://www.rapid7.com/blog/post/2023/09/25/etr-cve-2023-42793-critical-authentication-bypass-in-jetbrains-teamcity-ci-cd-servers/
- https://www.securityweek.com/recently-patched-teamcity-vulnerability-exploited-to-hack-servers/
- https://www.fortinet.com/blog/threat-research/teamcity-intrusion-saga-apt29-suspected-exploiting-cve-2023-42793#_ftn5
- https://github.com/H454NSec/CVE-2023-42793
- https://www.bleepingcomputer.com/news/security/ransomware-gangs-now-exploiting-critical-teamcity-rce-flaw/
- https://github.com/horizon3ai/CVE-2023-34362
- https://cloud.google.com/blog/topics/threat-intelligence/zero-day-moveit-data-theft
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a
- https://github.com/RandomRobbieBF/CVE-2023-7028
- https://hackerone.com/reports/2293343
- https://github.com/Chocapikk/CVE-2023-22515
- https://www.cisa.gov/sites/default/files/2023-10/aa23-289a-threat-actors-exploit-atlassian-confluence-cve-2023-22515-for-initial-access_0.pdf
- https://www.infosecurity-magazine.com/news/critical-atlassian-bug-ransomware/
- https://starlabs.sg/blog/2023/09-sharepoint-pre-auth-rce-chain/
- https://www.zerodayinitiative.com/blog/2023/3/22/pwn2own-vancouver-2023-day-one-results
- https://github.com/airbus-cert/CVE-2024-4040
- https://attackerkb.com/topics/20oYjlmfXa/cve-2024-4040/rapid7-analysis
- https://www.assetnote.io/resources/research/citrix-bleed-leaking-session-tokens-with-cve-2023-4966
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a
- https://github.com/X1r0z/ActiveMQ-RCE
- https://blog.sekoia.io/activemq-cve-2023-46604-exploited-by-kinsing-and-overview-of-this-threat/
- https://www.darkreading.com/threat-intelligence/godzilla-web-shell-attacks-stomp-critical-apache-activemq-flaw
- https://github.com/horizon3ai/CVE-2023-48788
- https://www.horizon3.ai/attack-research/attack-blogs/cve-2023-48788-fortinet-forticlientems-sql-injection-deep-dive/
- https://www.s-rminform.com/cyber-intelligence-briefing/medusa-ransomware-group-exploits-forticlient-ems
- https://github.com/h4x0r-dz/CVE-2024-21762/commits/main/poc.py
- https://viz.greynoise.io/tags/fortinet-fortios-fortiproxy-rce-cve-2024-21762-attempt?days=30
- https://isc.sans.edu/diary/Scans+for+Fortinet+FortiOS+and+the+CVE202421762+vulnerability/30762/
- https://www.zoomeye.hk/searchResult?q=
- https://github.com/rio128128/CVE-2023-27997-POC
- https://github.com/RevoltSecurities/CVE-2023-22518
- https://www.assetnote.io/resources/research/analysis-of-cve-2023-3519-in-citrix-adc-and-netscaler-gateway
- https://www.helpnetsecurity.com/2023/08/29/citrix-netscaler-ransomware/
- https://github.com/Drun1baby/CVE-2023-22527
- https://vulncheck.com/blog/confluence-dreams-of-shells
- https://github.com/Junp0/CVE-2024-4577
- https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/
- https://www.imperva.com/blog/update-cve-2024-4577-quickly-weaponized-to-distribute-tellyouthepass-ransomware/
- https://github.com/h4x0r-dz/CVE-2024-21893.py
- https://attackerkb.com/topics/FGlK1TVnB2/cve-2024-21893/rapid7-analysis