Rapid7的漏洞研究和披露原则
- 我们相信,通过使攻击者工具和知识的访问民主化,可以加强防御. Rapid7的独特优势之一是我们对攻击者如何工作的深入了解. 我们的漏洞研究和Metasploit团队努力使攻击者的能力,否则将主要被犯罪分子使用,使防御者能够理解和优先考虑关键漏洞, 开发检测和缓解措施, 测试安全控制. 发布公开的漏洞利用代码和新的研究成果是我们缩小安全成就差距的核心任务.
- 公开披露漏洞是健康的网络安全生态系统的关键组成部分. Rapid7实践并提倡及时公开披露第三方产品和我们自己的系统和解决方案中的漏洞. 这包括我们在客户的技术堆栈中独立发现的漏洞. 通过透明的, 开放, 及时披露漏洞, Rapid7帮助整个互联网保护和捍卫那些对现代文明至关重要的资产和服务.
- 在今天的威胁形势下, 组织需要有关风险的及时信息,以便在保护网络方面做出明智的选择——尤其是在主动攻击期间. 我们的协调漏洞披露政策包括明确规定,在观察到漏洞利用的情况下加快公开披露. 当供应商的产品中存在将风险引入下游客户环境的安全问题时,供应商通常(可以理解)采取行动来保护自己的业务和声誉. 当我们知道在野外的剥削, 或者当我们认为威胁行为者可能秘密地将非公开漏洞武器化时, 我们的首要任务是让客户和社区意识到这种风险,这样他们就可以采取行动保护他们的组织.
协调漏洞披露(CVD)策略
与围绕协调漏洞披露(CVD)的标准行业实践保持一致(例如 CERT / CC的, 谷歌的, ZDI的),以及香港的标准 ISO 29147 和 ISO 30111, Rapid7通常会在我们首次尝试私人披露后大约60天内准备和发布详细介绍新发现漏洞的建议, 除非有情有可依的情况(包括下面列出的可能需要不同披露指南的情况). 这些建议将通过Rapid7公开发布 博客 还有社交媒体. 根据调查结果的细节,也可能有媒体参与.
虽然协调的漏洞披露可能因bug而异,这取决于广泛的环境, Rapid7的主要关注点是修复漏洞,并使受影响的各方意识到与漏洞相关的风险. 按照上述原则, Rapid7已经确定了几种常见的漏洞类型, 每一种情况的披露准则都略有不同.
请注意,技术漏洞往往涉及 未定义的行为 以及意想不到的相互作用. 因此, 由于该特定漏洞的独特或不可预测的因素,Rapid7可自行决定修改披露时间表.
所有漏洞(默认策略)
- Rapid7将秘密地向最有能力解决该漏洞的组织披露发现的漏洞. 这个组织就是“负责任的组织”."
- 如果负责的组织不是 CVE伙伴, Rapid7将保留一个CVE ID.
- 15天后, Rapid7将通知CERT/CC该漏洞,并提供足够的技术细节来证明该问题. 如果责任组织此时尚未承认我们的初步披露, Rapid7将假定他们是一个“没有响应的负责任的组织”."
- 在向负责机构披露保密信息60天后, Rapid7将公开披露漏洞信息, 包括CVE描述, 对风险的看法, 影响, 以及缓解策略, 以及足够的技术细节来证明这个问题, “漏洞细节”). Rapid7可能会让媒体参与其中.
- 在这60天内, Rapid7希望责任组织制定解决方案,并为受影响的各方提供任何更新, Rapid7将向CERT/CC通报这些更新的状态.
- 如果负责任的组织在开发和发布更新方面表现出一致的诚意, 但无法在60天内完成这项工作, 根据默认政策(或以下列举的任何例外情况),Rapid7可自行决定给予30天的延期。.
- 如果Rapid7在向责任组织报告问题后意识到更新已普遍可用, 包括 沉默的补丁 这些漏洞往往会劫持CVD规范,Rapid7的目标是在24小时内发布漏洞细节.
- 秘密地重新发现并作为重复报告给责任组织的问题与本政策的时间表期望无关.
野外开发
这就是我们在生产环境(包括我们自己的环境)中看到的主动开发的情况. 在这些情况下,目标是尽可能快地发布有关风险的关键信息,以便组织可以采取明智的行动来保护自己.
该策略与默认策略相同,但有以下更改:
- Rapid7的目标是在发现漏洞后大约72小时通知CERT/CC并发布公共漏洞信息, 不管是否存在更新.
- 如果在组织的环境中发现了漏洞, Rapid7将努力首先通知直接受影响的组织.
补丁绕过
在这种情况下,供应商认为他们解决了一个问题,但没有.
该政策与野外开发政策相同,但有以下变化:
- 将保留一个新的CVE ID,该CVE ID将引用原来的CVE ID.
- Rapid7将同时通知相关组织和CERT/CC.
- 取决于旁路的性质, Rapid7可能会立即发布漏洞细节, 或在向CERT/CC报告后最多45天内.
云/主办的漏洞
在这种情况下,最终用户或实现者在他们的终端上没有什么需要修复的——修复问题只需要一个负责任的组织来行动.
该策略与默认策略相同,但有以下更改:
- Rapid7不会保留CVE ID.
- 如果问题在60天的协调窗口内得到解决, Rapid7将评估公开披露的价值. 如果在协调窗口关闭后问题仍未解决, 可以根据默认策略发布公开披露.
动能的漏洞
这些脆弱性对人类健康和安全具有明显和直接的影响, 并且在一般使用的技术中不存在. 专业的OT和医疗技术属于这一类.
对默认值的更改:
- Rapid7将在更新的一般可用性发布30天后披露漏洞细节, 而不是马上.
- 如果漏洞在野外被积极利用, 取而代之的应是野外开发政策.
- Rapid7将与相关政府机构协调,有能力与负责任的组织合作开发, 发布和实施更新(包括CERT/CC).
- 与CERT/CC和负责组织的协调可以延长至180天. 如果180天后没有可用的更新,Rapid7将发布漏洞详细信息.
低强度的漏洞
这些漏洞微不足道,利用这些漏洞会对受影响的生产环境造成安全上可以忽略不计的后果, 或者仅限于单个生产实例, 比如一个没有连接到的网站 关键基础设施,或仅存在于理论或非常不可能的受影响系统的配置中.
对默认值的更改:
- Rapid7不会与CERT/CC协调.
- Rapid7可能不会在任何时候发布漏洞细节, 但如果情况发生变化(例如),可能会这样做, 如果证明这个低影响的漏洞可以与另一个漏洞链接以获得高影响的结果).
没有负责任组织的漏洞
这些都是过时系统中的漏洞, 废弃的软件包, 或者由不负责的组织维护.
对默认值的更改:
- Rapid7将在提供CERT/CC漏洞详细信息后45天发布漏洞详细信息, 或者按照与CERT/CC商定的时间表.
多方面的漏洞
这些漏洞匹配多个非默认类别, 例如,不受支持的软件的漏洞在野外被利用.
反馈
如果你对这项政策有任何疑问, 或一般的协调漏洞披露, 请随时联系cve@ornamentalcn.com.
你也可以阅读我们的 博客 有关此政策的更多讨论.