Rapid7的漏洞研究和披露原则
- 我们相信,通过使攻击者工具和知识的访问民主化,可以加强防御. Rapid7的独特优势之一是我们对攻击者如何工作的深入了解. 我们的漏洞研究和Metasploit团队努力使攻击者的能力,否则将主要被犯罪分子使用,使防御者能够理解和优先考虑关键漏洞, develop detections and mitigations, and test security controls. 发布公开的漏洞利用代码和新的研究成果是我们缩小安全成就差距的核心任务.
- 公开披露漏洞是健康的网络安全生态系统的关键组成部分. Rapid7实践并提倡及时公开披露第三方产品和我们自己的系统和解决方案中的漏洞. 这包括我们在客户的技术堆栈中独立发现的漏洞. Through transparent, open, and timely vulnerability disclosures, Rapid7帮助整个互联网保护和捍卫那些对现代文明至关重要的资产和服务.
- In today’s threat landscape, 组织需要有关风险的及时信息,以便在保护网络方面做出明智的选择——尤其是在主动攻击期间. 我们的协调漏洞披露政策包括明确规定,在观察到漏洞利用的情况下加快公开披露. 当供应商的产品中存在将风险引入下游客户环境的安全问题时,供应商通常(可以理解)采取行动来保护自己的业务和声誉. 当我们知道在野外的剥削, 或者当我们认为威胁行为者可能秘密地将非公开漏洞武器化时, 我们的首要任务是让客户和社区意识到这种风险,这样他们就可以采取行动保护他们的组织.
协调漏洞披露(CVD)策略
与围绕协调漏洞披露(CVD)的标准行业实践保持一致(例如 CERT/CC's, Google's, ZDI's),以及香港的标准 ISO 29147 and ISO 30111, Rapid7通常会在我们首次尝试私人披露后大约60天内准备和发布详细介绍新发现漏洞的建议, 除非有情有可依的情况(包括下面列出的可能需要不同披露指南的情况). 这些建议将通过Rapid7公开发布 blog and social media. 根据调查结果的细节,也可能有媒体参与.
虽然协调的漏洞披露可能因bug而异,这取决于广泛的环境, Rapid7的主要关注点是修复漏洞,并使受影响的各方意识到与漏洞相关的风险. 按照上述原则, Rapid7已经确定了几种常见的漏洞类型, 每一种情况的披露准则都略有不同.
请注意,技术漏洞往往涉及 undefined behavior and unexpected interactions. Therefore, 由于该特定漏洞的独特或不可预测的因素,Rapid7可自行决定修改披露时间表.
所有漏洞(默认策略)
- Rapid7将秘密地向最有能力解决该漏洞的组织披露发现的漏洞. 这个组织就是“负责任的组织”."
- After 15 days, Rapid7将通知CERT/CC该漏洞,并提供足够的技术细节来证明该问题. 如果责任组织此时尚未承认我们的初步披露, Rapid7将假定他们是一个“没有响应的负责任的组织”."
- 在向负责机构披露保密信息60天后, Rapid7将公开披露漏洞信息, including CVE descriptions, opinions on risk, impact, and mitigation strategies, 以及足够的技术细节来证明这个问题, "vulnerability details"). Rapid7可能会让媒体参与其中.
- During this 60 day window, Rapid7希望责任组织制定解决方案,并为受影响的各方提供任何更新, Rapid7将向CERT/CC通报这些更新的状态.
- 如果负责任的组织在开发和发布更新方面表现出一致的诚意, 但无法在60天内完成这项工作, 根据默认政策(或以下列举的任何例外情况),Rapid7可自行决定给予30天的延期。.
- 如果Rapid7在向责任组织报告问题后意识到更新已普遍可用, including silent patches 这些漏洞往往会劫持CVD规范,Rapid7的目标是在24小时内发布漏洞细节.
- 秘密地重新发现并作为重复报告给责任组织的问题与本政策的时间表期望无关.
Exploited In the Wild
这就是我们在生产环境(包括我们自己的环境)中看到的主动开发的情况. 在这些情况下,目标是尽可能快地发布有关风险的关键信息,以便组织可以采取明智的行动来保护自己.
该策略与默认策略相同,但有以下更改:
- Rapid7的目标是在发现漏洞后大约72小时通知CERT/CC并发布公共漏洞信息, 不管是否存在更新.
- 如果在组织的环境中发现了漏洞, Rapid7将努力首先通知直接受影响的组织.
Patch Bypasses
在这种情况下,供应商认为他们解决了一个问题,但没有.
该政策与野外开发政策相同,但有以下变化:
- 将保留一个新的CVE ID,该CVE ID将引用原来的CVE ID.
- Rapid7将同时通知相关组织和CERT/CC.
- Depending on the nature of the bypass, Rapid7可能会立即发布漏洞细节, 或在向CERT/CC报告后最多45天内.
Cloud/Hosted Vulnerabilities
在这种情况下,最终用户或实现者在他们的终端上没有什么需要修复的——修复问题只需要一个负责任的组织来行动.
该策略与默认策略相同,但有以下更改:
- A CVE ID will not be reserved by Rapid7.
- 如果问题在60天的协调窗口内得到解决, Rapid7将评估公开披露的价值. 如果在协调窗口关闭后问题仍未解决, 可以根据默认策略发布公开披露.
Kinetic Vulnerabilities
这些脆弱性对人类健康和安全具有明显和直接的影响, 并且在一般使用的技术中不存在. 专业的OT和医疗技术属于这一类.
Changes to the default:
- Rapid7将在更新的一般可用性发布30天后披露漏洞细节, instead of immediately.
- 如果漏洞在野外被积极利用, 取而代之的应是野外开发政策.
- Rapid7将与相关政府机构协调,有能力与负责任的组织合作开发, 发布和实施更新(包括CERT/CC).
- 与CERT/CC和负责组织的协调可以延长至180天. 如果180天后没有可用的更新,Rapid7将发布漏洞详细信息.
Low-Impact Vulnerabilities
这些漏洞微不足道,利用这些漏洞会对受影响的生产环境造成安全上可以忽略不计的后果, 或者仅限于单个生产实例, such as one website not connected to critical infrastructure,或仅存在于理论或非常不可能的受影响系统的配置中.
Changes to the default:
- Rapid7 will not coordinate with CERT/CC.
- Rapid7可能不会在任何时候发布漏洞细节, 但如果情况发生变化(例如),可能会这样做, 如果证明这个低影响的漏洞可以与另一个漏洞链接以获得高影响的结果).
没有负责任组织的漏洞
这些都是过时系统中的漏洞, abandoned software packages, 或者由不负责的组织维护.
Changes to the default:
- Rapid7将在提供CERT/CC漏洞详细信息后45天发布漏洞详细信息, 或者按照与CERT/CC商定的时间表.
Multi-Faceted Vulnerabilities
这些漏洞匹配多个非默认类别, 例如,不受支持的软件的漏洞在野外被利用.
Feedback
如果你对这项政策有任何疑问, 或一般的协调漏洞披露, 请随时联系cve@biaoshi365.com.
You can also read our blog for more discussion on this policy.