Dicas e cuidados ao reportar um Zero Day e gerar sua CVE

* Joas Antonio dos Santos

Já fiz alguns artigos falando sobre report de vulnerabilidade Zero Day e sobre desenvolvimento de relatórios, mas é sempre bom conscientizar sobre os cuidados na hora de fazer um report de uma Vulnerabilidade, complementado os outros artigos e caso queira dar uma olhada nos outros, segue os links:

https://www.linkedin.com/pulse/reportei-uma-falha-de-seguran%25C3%25A7a-e-nem-ligaram-o-que-fazer-dos-santos/

https://www.linkedin.com/pulse/como-desenvolver-um-bom-relat%C3%B3rio-de-pentest-joas-antonio-dos-santos/

https://www.linkedin.com/pulse/como-reportar-o-seu-0day-e-gerar-sua-cve-joas-antonio-dos-santos/

Dicas e cuidados ao reportar uma vulnerabilidade

Ao achar uma vulnerabilidade em um equipamento ou em alguma aplicação, com certeza o nosso trabalho como pesquisadores de segurança é reportar para a empresa vulnerável para que ela possa corrigir e diminuir o risco de ser invadido. Porém, muitas vezes um report pode ser interpretado de maneira errada, dependendo da abordagem que você faz na hora de enviar uma mensagem para os Administradores ou à equipe de segurança.

Por isso, a minha recomendação é que você utilize empresas terceiras que compram vulnerabilidades ou ajudam na hora de reportar uma vulnerabilidade, principalmente na hora da comunicação.

Exemplo:

https://www.zerodayinitiative.com/

https://www.openbugbounty.org/report/

Particularmente curto os dois, principalmente por eliminar o problema em relação à comunicação da vulnerabilidade a empresa.

Mas claro, não basta apenas isso para reportar uma vulnerabilidade. Por isso, aí vão algumas dicas:

  • Detalhe o conceito da vulnerabilidade que você encontrou e coloque referências;

  • Crie uma prova de conceito rica em informações, desde como encontrar à brecha e como explorá-la;

  • Você pode passar métodos de como corrigir a vulnerabilidade, mas isso fica ao seu critério. Acho interessante até para aprendizagem própria também;

  • Não utilize seu e-mail pessoal para reportar uma vulnerabilidade, principalmente para evitar qualquer tipo de problemas, o famoso, não me ligue após o expediente, por isso é sempre ter um e-mail especifico para isso;

  • Elimine os achismos. Infelizmente se você não tem algo comprovado nem detalhe, só coloque os fatos do que você conseguiu;

  • Mantenha a ética acima de tudo. Se a empresa não respeitar o seu report, tente procurar outras fontes de comunicação com uma abordagem passiva, ou seja, sem ameaças e exposições desnecessárias, caso ainda nada seja feito. Dessa forma, você pode reportar para um meio confiável a sua descoberta. Porém, não deixe de dar o tempo essencial para que a empresa consiga analisar e tratar o risco, geralmente um prazo de Três meses;

  • Caso não tenha uma solução da sua vulnerabilidade, muitos denunciam para os meios de comunicação social. No entanto, tenha cuidados na hora de detalhar a exploração, não é recomendado o exposed. Porém, isso se tornou bastante comum para que as empresas solucionem as suas vulnerabilidades e não há o certo nem o errado na história, depende dos pontos de vista;

Assim, uma vulnerabilidade ao ser detectada e reportada tem um grande valor, pois muitas não são apenas simples Scanners que encontram e é por isso que cada vez mais as empresas estão investindo em programas de Bug Bounty para manter sua aplicação segura. Não se sinta intimidado caso alguém reporte uma vulnerabilidade, sinta-se intimidado se vocês forem invadidos por uma brecha de segurança.

Reportando um 0day e gerando sua CVE

Quando falamos de reportar uma vulnerabilidade para gerar uma CVE, as coisas são um pouco diferentes, principalmente por se tratar de um 0day em algum equipamento, componente ou aplicação.

Em termos gerais uma CVE é uma referência para vulnerabilidades públicas e conhecidas, encontradas por pesquisadores para servir como um banco de dados com informações relevantes sobre uma vulnerabilidade, assim ajudando na correção após evidenciar a sua existência de fato.

Por isso, na hora de reportar uma vulnerabilidade no Mitre CVE https://cve.mitre.org/, você precisa tomar alguns cuidados:

  • Fazer um report para a fabricante antes de seguir para o Mitre, pois caso eles corrijam a vulnerabilidade, os mesmos atribuem a CVE para você, principalmente se forem uma CNA, assim ela pode ser atribuída a detectarem a efetividade do reporte de uma única vez;

  • Reúna provas de conceito suficientes para garantir que é uma vulnerabilidade explorável para auxiliar a empresa no tratamento da vulnerabilidade;

  • Tomar cuidado com os detalhes desnecessários, ser bem objetivo na hora de reportar para o Mitre, pois não é apenas ter uma CVE gerada que já basta, afinal é com base nisso que a empresa responsável pelo produto vai ter que corrigir a vulnerabilidade e caso falte detalhes ou esteja mal explicado pode ser uma dor de cabeça e desqualificarem sua CVE;

  • Na hora do reporte é sempre bom dar bastantes detalhes claros e concisos para que sua CVE seja gerada mais rapidamente, se você seguir todo processo requerido pelo Mitre pode ser que sua vulnerabilidade seja reconhecida em pouco tempo;

  • Quanto maior o impacto da sua vulnerabilidade, maior a nota e a preocupação da fabricante, por isso, certifique-se que você testou outras possibilidades;

  • E claro, não utilize produtos que não seja seu para encontrar brechas de segurança, infelizmente pode dar dor de cabeça se você não tomar os devidos cuidados.

Essas são algumas dicas que eu dou, possuo mais de 15 CVEs e para reportar uma falha é necessário conter bastante informação e não possuir nada que não seja concreto, principalmente para não ter problemas como eu tive. Infelizmente uma vulnerabilidade não tinha o impacto considerável que garantia a CVE ativa naquele estado, sendo assim foi finalizada e atribuída junto à outra. Fora alguns outros problemas que rolam, lamentavelmente é um trabalho chato e você precisa fornecer informações necessárias para garantir que ela continue sendo impactante. Então são casos aprendidos para não errar mais, pois reportar uma falha não tem segredos, só precisa saber abordar, ter propriedade do que está falando e ter paciência ao responder perguntas do responsável pelo produto.

* Joas Antonio dos Santos é colaborador do SocialSec, Security Awareness|Ethical Hacker|OWASP|Wireless Hacking|Cyber Security Consultant|Cyber Security Mentor|Article Writer|Offensive Security

One thought on “Dicas e cuidados ao reportar um Zero Day e gerar sua CVE

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *