Todo o propósito da divulgação de vulnerabilidades é notificar os desenvolvedores de software sobre falhas em seu código para que possam criar correções ou patches e melhorar a segurança de seus produtos . Mas depois de 17 anos e mais de 10.000 divulgações de vulnerabilidades, a Zero Day Initiative está chamando uma “tendência perturbadora” na conferência de segurança Black Hat em Las Vegas hoje e anunciando um plano para aplicar alguma contrapressão.
O ZDI, que pertence à empresa de segurança Trend Micro desde 2015, é um programa que compra descobertas de vulnerabilidades de pesquisadores e lida com a divulgação a fornecedores. Em troca, a Trend Micro, que fabrica uma ferramenta antivírus e outros produtos de defesa, obtém uma grande quantidade de informações e telemetria que pode usar para rastrear pesquisas e, com sorte, proteger seus clientes. O grupo estima que lidou com cerca de 1.700 divulgações até agora este ano. Mas a ZDI diz que, do ponto de vista geral, a qualidade dos patches dos fornecedores em geral vem caindo nos últimos anos.
Cada vez mais, o grupo compra um bug de um pesquisador, ele é corrigido e logo depois a ZDI está comprando outro relatório sobre como contornar o patch, às vezes com várias rodadas de remendo e evasão. A ZDI também diz ter notado uma tendência preocupante de empresas divulgarem informações menos específicas sobre vulnerabilidades em seus alertas de segurança pública, tornando mais difícil para usuários de todo o mundo avaliar a gravidade de uma vulnerabilidade e formular a priorização de patches – uma preocupação real para grandes instituições e infraestrutura crítica.
“Nos últimos anos, realmente notamos que a qualidade dos patches de segurança diminuiu visivelmente”, diz Dustin Childs, membro da ZDI. “Não há responsabilidade por ter patches incompletos ou defeituosos.”
Os pesquisadores da ZDI dizem que os patches ruins acontecem por vários motivos. Descobrir como corrigir falhas de software pode ser um processo delicado e cheio de nuances e, às vezes, as empresas não têm experiência ou não fizeram o investimento para gerar soluções elegantes para esses problemas importantes. As organizações podem estar correndo para fechar relatórios de bugs e limpar sua lista e podem não levar o tempo necessário para conduzir análises de “causa raiz” ou “variante” e avaliar problemas subjacentes para que problemas mais profundos possam ser corrigidos de forma abrangente.
Independentemente do motivo, patches ruins são uma preocupação real. No final de junho, a equipe de caça a bugs do Project Zero do Google relatou que as novas vulnerabilidades exploradas na natureza foram rastreadas até agora em 2022, em pelo menos metade são variantes de falhas corrigidas anteriormente.
“Uma combinação de coisas ao longo do tempo nos levou a acreditar que realmente temos um problema mais sério do que a maioria das pessoas entende”, diz Brian Gorenc, que administra o ZDI.
Como outras organizações fortemente envolvidas na divulgação, incluindo o Project Zero, o ZDI dá aos desenvolvedores um prazo de quanto tempo eles têm para emitir um patch antes dos detalhes sobre a vulnerabilidade em questão sejam publicados publicamente. O prazo padrão da ZDI é de 120 dias a partir da divulgação. sobre a epidemia de patches ruins, hoje o grupo está anunciando um novo conjunto de prazos para bugs que foram corrigidos anteriormente.
Dependendo da gravidade da falha, da facilidade de contornar o patch e da probabilidade da ZDI achar que a vulnerabilidade será explorada por invasores, o grupo agora defina prazos de 30 dias para falhas críticas, 60 dias para bugs onde o patch existente fornece alguma proteção e 90 dias para todos os outros casos. A mudança segue a tradição de usar a divulgação pública como um importante ponto de alavancagem – um dos poucos que os defensores da segurança têm – para estimular as melhorias necessárias na forma como os desenvolvedores lidam com falhas de software de alto risco que potencialmente afetam os usuários em todo o mundo.
“A armação de patches com falha em várias vulnerabilidades está sendo absolutamente usada no momento”, diz Childs da ZDI. “É um problema real que tem consequências reais para o usuário, e estamos tentando incentivar os fornecedores a acertar na primeira vez.”
