发布零日概念验证代码仍然是一个好主意吗

发布零日概念验证代码仍然是一个好主意吗?

一次又一次，针对零天和最近修补的安全漏洞发布PoC代码通常比最终用户更有助于黑客。

对于安全漏洞(尤其是零日)的概念验证(PoC)代码的发布，通常会导致威胁行为者快速采用漏洞，这些角色通常会在数小时或数天内发起攻击，并且不要给最终用户足够的时间来修补受影响的系统。

安全

'100个独特的漏洞和计数'用于最新的WinRAR安全漏洞

网络安全：不要让小东西给你带来大问题

为什么安全性是企业云采用的首要障碍[混合云电视]

红队帮助保护开源软件

关于这个问题一直存在争议，特别是当PoC代码不是来自坏人或其他独立来源时，而是来自白帽安全研究人员，理论上他们应该专注于保护用户。

围绕这一有争议的做法的争论已经持续多年，信息安全(信息安全)领域的人们走在过道的两边。

一方认为安全研究人员不应该发布PoC代码，因为攻击者可以采用该代码并自动化攻击，而另一方则认为PoC代码也需要测试大型网络并识别易受攻击的系统，因此，它应该包含在可用的地方。 ，因为它允许IT部门模拟未来的攻击。

在上个月发布的“网络安全威胁观2018年第四季度”报告中，Positive Technologies的安全专家再次触及了这场长期争论。

虽然Positive Technologies专家一般没有出现概念验证代码的问题，但在漏洞爆发或PoC代码发布后，他们确实在发布PoC代码时遇到了问题。零日 - 如果没有时间的话，这两种情况都不会给用户足够的时间进行修补。

该公司在其季度威胁报告中提到了这个问题，因为此类事件越来越多地发生。

例如，下面的列表包括一系列事件，这些事件在PoC代码发布后立即发生攻击，或者研究人员发布了伴随PoC代码的零日披露，而不是等待供应商补丁。

在Twitter上披露的一个包含PoC的Windows零日被滥用于ESET研究人员观察到的恶意软件活动中。

针对中文PHP框架中未修补的错误发布的PoC代码导致对数百万个站点的即时攻击。

针对去年披露的思科漏洞发布并影响RV110，RV130和RV215路由器的PoC代码导致了针对此类设备的攻击，并且很快就出现了思科补丁。

在PoC代码发布后的几天内，漏洞利用工具包采用了Internet Explorer零日。

钴黑客组织也开始滥用一个闪光零日补丁，并公布后几天的PoC代码。

ZDNet采访了Positive Technologies的网络安全弹性负责人Leigh-Anne Galloway，进一步扩展了这一主题。

“作为一个行业，我们有负责任的披露指导方针。所有人都没有遵循这一指导原则，”加洛韦在接受采访时告诉ZDNet。“同样，所有供应商都不知道或不了解它。

“通常公开披露的驱动因素是因为供应商没有认识到问题的严重性，也没有解决漏洞。或者安全研究人员可能已经尝试了所有其他途径来传达他们的发现。当然，危险的是犯罪分子可能使用此信息来定位受害者。

“供应商要求提供证据证明该漏洞实际存在于他们的产品中，并且当研究人员向他们报告漏洞时可以利用这些漏洞。研究人员需要证明它是如何被利用的，为此，创建了PoC。

“漏洞利用的存在也决定了CVSS系统分配的危险程度。如果供应商向研究人员支付漏洞奖励框架内发现的漏洞，研究人员会从这项工作中赚钱，但供应商通常不会安排他们的bug-bounty计划，研究人员可以从中得到的所有内容都是专家社区的公开认可。

“通过在互联网上展示漏洞的描述，展示操作和PoC代码的一个例子，研究人员得到了认可和尊重，”加洛韦说。

“通常情况下，研究人员只有在他们通知供应商有关漏洞的足够长时间后才会发布漏洞利用代码，从而使产品开发人员有机会关闭漏洞并通知用户需要安装升级。

“但是，很多时候，供应商会推迟发布补丁和更新，有时会延迟六个月以上，因此，在发布补丁之后，[PoC]漏洞的出版就会发生。

“此外，我们不能排除漏洞利用发布的情况，不是由告知供应商的漏洞的研究人员发布的，而是那些刚刚从互联网上发现漏洞并立即为漏洞编写漏洞的人，”加洛韦说。 。

“一方面，漏洞的发布增加了成功攻击的风险并简化了攻击本身，但另一方面，它激励公司和普通用户遵循信息安全的基本原则来更新他们的系统定期并及时地，“积极技术专家总结道。

总而言之，PoC代码的发布在某些情况下是有帮助的，但是发现这些缺陷的安全研究人员，甚至那些正在研究这些缺陷的人，应该在发布修补程序后过早发布此类代码时表现出一定的克制，或至少延迟几周，给用户时间补丁。