No hagas daño, cúrate a ti mismo – Krebs sobre seguridad

Las empresas de seguridad harían bien en desarrollar sus productos en torno al código del médico: «Primero, no hacer daño». El corolario de ese juramento toma prestado de otro mantra médico: “Vendedor de seguridad, cúrate a ti mismo. ¡Y no tardes una eternidad en hacerlo! ”

El jueves, Symantec liberado en silencio actualizaciones de seguridad corregir vulnerabilidades graves en su Puerta de enlace web de Symantec, una línea popular de dispositivos de seguridad diseñados para ayudar a «proteger a las organizaciones contra múltiples tipos de malware transmitido por Internet». Symantec emitió las actualizaciones más de cinco meses después de recibir la notificación de las fallas de Viena, Austria, con sede en Laboratorio de vulnerabilidades de consulta de la SECque dijo que los atacantes podrían encadenar varias de las fallas para comprometer completamente los dispositivos.

“Un atacante puede obtener acceso no autorizado al dispositivo y plantar puertas traseras o acceder a archivos de configuración que contienen credenciales para otros sistemas (por ejemplo, credenciales de Active Directory/LDAP) que pueden usarse en futuros ataques”, advirtió SEC Consult en un aviso publicado en coordinación con los parches de Symantec. “Dado que todo el tráfico web pasa a través del dispositivo, es posible la intercepción de HTTP, así como la forma de texto sin formato del tráfico HTTPS (si se utiliza la función de inspección profunda de SSL), incluida la información confidencial como contraseñas y cookies de sesión”.

Es casi seguro que Big Yellow esquivó una bala con esta divulgación coordinada, y debería estar contento de que los errores no fueron encontrados por investigador de la OTAN, Por ejemplo; A principios de este mes, el proveedor de seguridad McAfee revelado múltiples vulnerabilidades en su ePolicy Orchestrator, un producto de administración de seguridad centralizado. El investigador en ese caso dijo que divulgaría sus hallazgos dentro de los 30 días posteriores a la notificación a la empresa, y McAfee envió un aviso en menos de una semana.

Curiosamente, el equipo de seguridad de Google está respaldando un nuevo plazo de seguridad de siete días eso permitiría a los investigadores hacer públicas vulnerabilidades graves una semana después de notificar a una empresa. Google dice que un cronograma de divulgación de una semana es apropiado para las vulnerabilidades críticas que están bajo explotación activa, y que su recomendación permanente es que las empresas corrijan las vulnerabilidades críticas en 60 días o, si no es posible solucionarlas, deben notificar al público sobre el riesgo y ofrecer soluciones alternativas.

Me parece que debemos hacer que las empresas que fabrican software y hardware de seguridad tengan un estándar más alto y esperar de ellas una respuesta mucho más oportuna. Es cierto que los productos que se implementan ampliamente requieren pruebas más exhaustivas para garantizar que los parches no presenten problemas adicionales. Pero en mi opinión, 30 días es más que suficiente para abordar estas vulnerabilidades.

johannes greiljefe de SEC Consult Vulnerability Lab, dijo que las empresas de seguridad deben invertir más en proteger sus propios productos.

“Solo hicimos una breve prueba de choque y encontramos esas vulnerabilidades críticas”, dijo Greil. “No creo que sea aceptable tomar tanto tiempo porque los usuarios están desprotegidos durante ese tiempo. Sin embargo, entiendo que probar los parches es necesario y puede llevar más tiempo. Al menos no tardan años como lo hace a veces Oracle”.