El aviso de seguridad que expone accidentalmente los sistemas vulnerables

Un aviso de seguridad para una vulnerabilidad (CVE) publicado por MITRE ha estado exponiendo accidentalmente enlaces a consolas de administración remotas de más de una docena de dispositivos IP vulnerables desde al menos abril de 2022.

BleepingComputer se dio cuenta de este problema ayer después de recibir un aviso de un lector que prefiere permanecer en el anonimato. El lector quedó desconcertado al ver varios enlaces a sistemas vulnerables enumerados en la sección de "referencias" del aviso de CVE.

Los avisos de CVE publicados por MITRE se distribuyen palabra por palabra en una gran cantidad de fuentes públicas, feeds, sitios de noticias de seguridad informática y proveedores que brindan estos datos a sus La sección de "referencias" de estos avisos generalmente enumera enlaces a la fuente original (un artículo, una publicación de blog, una demostración de PoC) que explica la vulnerabilidad. Sin embargo, incluir enlaces a sistemas sin parches expuestos públicamente puede permitir potencialmente que los actores de amenazas apunten ahora a estos sistemas y lleven a cabo sus actividades maliciosas.

BleepingComputer realizó una investigación adicional sobre cómo pudo haber ocurrido este problema y se comunicó con MITRE y con algunos expertos en seguridad para comprender mejor si se trata de una práctica normal o incluso aceptable.

El aviso de seguridad derrama los frijoles

Un aviso de vulnerabilidad publicado por MITRE para una vulnerabilidad de divulgación de información de alta gravedad en abril reveló irónicamente enlaces a más de una docena de dispositivos IoT en vivo vulnerables a la falla.

No es inusual que los avisos de seguridad incluyan una sección de "referencia" con varios enlaces que validan la existencia de una vulnerabilidad. Sin embargo, dichos enlaces generalmente conducen a una demostración de prueba de concepto (PoC) o a informes que explican la vulnerabilidad en lugar de a los sistemas vulnerables en sí mismos.

Una vez que las vulnerabilidades se hacen públicas, los atacantes usan motores de búsqueda de IoT públicos como Shodan o Censys para buscar y apuntar a dispositivos vulnerables.

Todo lo cual hace que este sea un caso particularmente extraño para que un boletín de seguridad pública enumere no uno, sino las ubicaciones de varios dispositivos vulnerables que aún están conectados a Internet.

Debido a que una gran cantidad de fuentes confían en MITRE y NVD/NIST para recibir fuentes de vulnerabilidad, el aviso de CVE (redactado a continuación) ya ha sido sindicado por varios proveedores, fuentes públicas y servicios que proporcionan datos de CVE, según lo observado por BleepingComputer.clientes.


Hacer clic en cualquiera de los enlaces de "referencia" anteriores llevaría al usuario a un panel de administración remota de las cámaras IP o dispositivos de video (vulnerables), lo que podría permitirles ver la transmisión de la cámara en vivo o aprovechar la vulnerabilidad.

Tenga en cuenta que BleepingComputer no realizó ningún tipo de prueba de penetración ni se comprometió más con estos enlaces, aparte de asegurarse de que estuvieran activos y notificó de inmediato a MITRE sobre el problema.

MITRE: ¿Qué pasa? lo hemos hecho antes

BleepingComputer notificó a MITRE ayer sobre este problema y por qué podría ser un problema de seguridad.

Sorprendentemente, MITRE nos preguntó por qué "pensamos que estos sitios no deberían incluirse en el aviso", y además nos dijeron que MITRE había, en el pasado, "a menudo enumerado URL u otros puntos que pueden ser vulnerables" de manera similar. entradas CVE.

La respuesta de MITRE llevó a BleepingComputer a ponerse en contacto con expertos en seguridad.

Will Dormann , un analista de vulnerabilidades en el Centro de Coordinación CERT (CERT/CC) llamó a esto "tanto no normal como algo muy MALO". Y el investigador de seguridad Jonathan Leitschuh  dijo más o menos lo mismo en una declaración a BleepingComputer.

"Es una falta de respeto para las partes afectadas enumerar instancias vulnerables en vivo dentro de una entrada CVE", le dice Dormann a BleepingComputer.

"Las partes involucradas en la creación de entradas CVE deberían saberlo mejor. Sorprendentemente, según el repositorio de GitHub para CVE-2022-25584, el autor fue MITRE".

Es cierto que el aviso de CVE en sí mismo fue publicado por MITRE, la organización matriz del proyecto CVE que suele ser el primer punto de contacto para los usuarios que informan vulnerabilidades de seguridad en sistemas de terceros y solicitan identificadores de CVE.

Pero BleepingComputer descubrió que la fuente original del percance era un informe de seguridad publicado por uno o más investigadores de seguridad chinos en GitHub, mientras que la entrada CVE de MITRE para la vulnerabilidad había sido "reservada" y en espera de producción.

Es en esta versión de GitHub del aviso que varios enlaces a dispositivos vulnerables se enumeraron como "ejemplos". Y esta información parece haber sido copiada y pegada en la entrada CVE de MITRE que luego se distribuyó en varios sitios:


Irónicamente, el aviso original publicado en GitHub se eliminó hace mucho tiempo.

Dormann agregó además: "Acabo de copiar y pegar el trabajo de otra persona" no es realmente una excusa válida y "no está a la altura de los estándares de MITRE".

Parece que esta no es la única vez que la base de datos CVE de MITRE no ha validado los enlaces proporcionados en sus avisos o eliminado retroactivamente los enlaces inactivos :


Tenga en cuenta que, a las pocas horas de nuestro correo electrónico a MITRE, el aviso de CVE se actualizó rápidamente para eliminar todos los enlaces de "referencia" que apuntan a dispositivos IoT vulnerables, tanto del  repositorio CVEProject GitHub de MITRE como de la base de datos. Pero es posible que esta actualización no elimine esta información de fuentes de terceros que ya recuperaron y publicaron una copia anterior de la entrada.

Al publicar boletines de seguridad y avisos de vulnerabilidad, se debe tener cuidado para garantizar que solo se revele la información necesaria sobre una vulnerabilidad para ayudar a los defensores a actuar contra las fallas de seguridad, sin ayudar inadvertidamente a los actores malintencionados.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta