مرکز امنیت سایبری ملی بریتانیا (NCSC) اسکریپتهای NMAP را برای کمک به مدافعان برای جستجوی آسیبپذیریهای خاص در شبکههای خود منتشر کرده است.
در ۲۵ ژانویه ۲۰۲۲، NCSC گفت که این پروژه آزمایشی یک تلاش مشترک بین سازمان هدایت امنیت سایبری و Industry 100 (i100) است.
i100 مجموعهای از شرکتهای بخش دولتی و خصوصی است[۱] که با NCSC کار میکنند تا «تخصص صنعت و دولت را بهگونهای گرد هم بیاورند که به همهی ما کمک کنند درسهایی بیاموزیم، آسیبپذیریهای سیستمی را شناسایی کنیم و تأثیر حملات سایبری در آینده را کاهش دهیم».
این پروژه Scanning Made Easy (SME) نام دارد[۲] و مجموعهای از اسکریپتهایNMAP Scripting Engine (NSE) است[۳] که برای مقابله با چیزی که NCSC آن را یک مشکل «ناامیدکننده» مینامد توسعهیافته است: استفاده از اسکریپتهایی که برای اجرا مناسب نیستند یا لزوماً ایمن نیستند. هدف پروژه SME ساده کردن تشخیص و اصلاح اشکالات خاص است.
این سازمان میگوید: «وقتی یک آسیبپذیری نرمافزاری فاش میشود، یافتن کد اثبات ادعا برای بهرهبرداری از آن، آسانتر از یافتن ابزارهایی است که به دفاع از شبکه شما کمک میکند.» بدتر از آن، حتی زمانی که یک اسکریپت اسکن در دسترس است، تشخیص اینکه آیا اجرای آن ایمن است یا نه، ممکن است دشوار باشد، چه رسد به اینکه آیا نتایج اسکن معتبر را برمیگرداند یا خیر.
بسته اسکریپت i100 و NCSC بر اساس چارچوب استاندارد صنعتی NSE است که برای چندین دهه درحالتوسعه بوده است و میتوان از آن برای نوشتن اسکریپتهای ساده و خودکارسازی وظایف شبکه استفاده کرد.
هنگامیکه SME اجرا میشود، یک اسکریپت برای بررسی آسیبپذیریهای خاصی که میتواند بر امنیت یک سازمان تأثیر بگذارد، مستقر میشود. شرحی از آسیبپذیری و پیوندی به توصیههای فروشنده مرتبط در مورد نحوه کاهش نقص نیز گنجانده شده است.
NCSC میگوید: «درحالیکه برای هر آسیبپذیری اسکریپتی وجود نخواهد داشت، برنامه ما این است که اسکریپتها برای آسیبپذیریهای حیاتی و آسیبپذیریهایی که بهطور مداوم برای مدیران سیستم ایجاد مشکل میکنند، توسعه داده و بهطور مستمر بررسی شوند».
برای اطمینان از ثابت بودن چارچوب و اسکریپتهای SME، مجموعهای از دستورالعملهای توسعهدهنده[۴] منتشر شده است. اگر توسعهدهندگان میخواهند یک اسکریپت ارسال کنند، باید در قالب nse باشند، «به یکی از آسیبپذیریهای با اولویت بالا که بریتانیا را تحت تأثیر قرار میدهد مرتبط باشند»، بهصورت مجزا اجرا شوند، دارای نرخ false-positive پایین باشند، و تا حد ممکن باید به همان اندازه غیرقابل نفوذ باشند.
علاوه بر این، NCSC ملزم است که اسکریپتها عمومی شوند و تحت شرایط منبع باز آزادانه در دسترس باشند. سپس NCSC اسکریپتهای ارسالشده را قبل از افزودن آنها به پرتفوی SME تأیید میکند.
اولین اسکریپت منتشر شده مربوط به آسیبپذیریهای موجود در Exim message transfer agent (MTA) است. CVE-2020-28017 از طریق CVE-2020-28026 که مجموعاً بهعنوان “۲۱Nails” شناخته میشود و توسط Qualys کشف شده است[۵]، میتوانند برای اجرای کد از راه دور (RCE) و به دست آوردن امتیازات ریشه به یکدیگر زنجیر شوند.
در اخبار امنیتی[۶] مرتبط در این هفته، یک آسیبپذیری مهم آسیبپذیری حافظه در polkit است که طیف وسیعی از توزیعهای لینوکس را تحت تأثیر قرار میدهد و توسط محققان فاش شده است.
منابع
[۱] https://www.ncsc.gov.uk/information/industry-100
[۲] https://www.ncsc.gov.uk/blog-post/introducing-scanning-made-easy
[۳] https://nmap.org/book/man-nse.html
[۴] https://github.com/ukncsc/SME/blob/main/ncsc-scanning-made-easy-script-developer-guidelines.md
[۵] https://blog.qualys.com/vulnerabilities-threat-research/2021/05/04/21nails-multiple-vulnerabilities-in-exim-mail-server
[۶] https://www.zdnet.com/article/major-linux-policykit-security-vulnerability-uncovered-pwnkit
ثبت ديدگاه