¿Pueden las CVE (o cualquier vulnerabilidad) ser dependientes unas de otras?

Question

¿Pueden las CVE (o cualquier vulnerabilidad) ser dependientes unas de otras?

#1 de WhiteWinterWolf (4 votos)

0

Estoy recopilando un montón de datos de CVE para algunos análisis relacionados con la seguridad y quería saber si hay ejemplos de vulnerabilidades que dependan de la existencia de otra vulnerabilidad en el mismo sistema. Un tipo de vulnerabilidad-dependencia, por así decirlo.

Por ejemplo, digamos que un sistema es vulnerable a CVE-1, y más tarde se descubre otra vulnerabilidad (CVE-2) que solo es explotable si el sistema aún es vulnerable a CVE-1. ¿Hay un ejemplo de tal vulnerabilidad?

¿O solo se actualizaría el CVE original con la nueva información?

vulnerability known-vulnerabilities cve

pregunta Vivin Paliath 21.01.2016 - 22:55

fuente

1 respuesta

Lea otras preguntas en las etiquetas vulnerability known-vulnerabilities cve

¿Podemos detener los aimbots introduciendo una "Ruta de entrada protegida" que garantice que la entrada del mouse realmente provenga del mouse? Agregando HTML escapado a DOM

score 4 · Accepted Answer

Un CVE es una descripción de vulnerabilidad, es decir. un documento que indica que se ha encontrado que alguna propiedad de seguridad está rota.

Como se explica en el comentario de Ohnana, un CVE podría en efecto afirmar que para poder explotar algunas otras propiedades de seguridad que no forman parte de este CVE también debería estar roto (normalmente CVE requiere un acceso específico del atacante, ya sea local, privilegiado, en posición para alterar el tráfico de red, etc.).

Sin embargo, el CVE no limitará esto al uso de otro CVE específico. No le dirá, por ejemplo, que este CVE es explotable si se ha obtenido un acceso local utilizando específicamente este otro CVE. Solo dirá que este CVE solo se puede explotar con un acceso local.

Sin embargo, si bien no existe una dependencia estricta entre las CVE, todavía puede haber un tipo de vínculo entre ellas porque, cuando se descubre una vulnerabilidad lo suficientemente importante (o se sospecha que es importante) en algún software generalizado, muchos investigadores de seguridad profundizaré en esto y posiblemente haremos otros descubrimientos.

Entonces, dependerá de cómo deben clasificarse tales descubrimientos:

En el esquema que describe, que entiendo como " el uso de esta vulnerabilidad le permite al atacante hacer más daño como se esperaba anteriormente al proceder de cierta manera ", lo más probable es que Termina como una actualización del primer CVE. Significa que el impacto de la vulnerabilidad parece haber sido subestimado y necesita ser revisado.
Sin embargo, la mayoría de las veces, estos descubrimientos son vulnerabilidades independientes. Cada uno de ellos obtendrá su propio CVE y podrá ser explotado de forma independiente. Sin embargo, es posible que la misma solución pueda resolver varias de estas CVE, ya que es probable que se refieran a la misma parte del software (la que están bajo el escrutinio de todos los investigadores de seguridad). Esto es útil porque ayudará a aumentar la calidad de la solución. Shellshock con su lista de CVEs publicada después del primer descubrimiento parece ser un buen ejemplo.
Por último, también es posible que varios problemas descubiertos, aunque sean independientes entre sí y no sean necesariamente todos los problemas de seguridad (y por lo tanto no necesiten un CVE distinto), puedan combinarse para aumentar la amenaza inicial de CVE. Por ejemplo, CVE-2015-3456 menciona una vulnerabilidad que afecta al Disquete de Qemu Controlador de disco en algunas versiones de Xen y KVM y permite escapar de la máquina virtual; Si bien este problema debería restringirse al entorno que tiene habilitada la emulación de la unidad de disquete, investigadores han descubierto que " si el administrador desactiva explícitamente el virtual unidad de disquete, un error no relacionado hace que el código FDC vulnerable permanezca activo y explotable por los atacantes ".