繼群暉、威聯通之後,近期臺廠Zyxel也獲得MITRE授權,成為CVE編號管理者(CNA),可針對自家產品指派CVE編號,強化業者本身產品安全性與掌控CVE資訊的揭露。然而,加入CNA成員的單位,不只是產品供應商,也包含來自全球各國或產業的CERT組織,以及研究機構、漏洞提報組織等,例如,台灣電腦網路危機處理暨協調中心(TWCERT/CC)也是一員,他們在2018年9月申請通過成為CNA。

事實上,TWCERT/CC近年已發布不少國內廠商產品的CVE漏洞(近200個),而且,更特別的是,今年7月中旬又傳來捷報,因為該單位發布的CVE資安漏洞品質,獲美國NIST/NVD評定為最高Provider等級。

目的為提升臺灣廠商產品漏洞修補意識

不同於產品供應商CNA,只能管理自家產品有關的漏洞,TWCERT所獲得的權限較廣,目前可負責其他所有臺灣資通訊產品的CVE漏洞審核。

TWCERT/CC當初為何加入CNA計畫?該機構的組長林志鴻表示,起初他們是參考JPCERT的做法,因此申請成為一員,而最關鍵的原因,是因為臺灣業者之前在產品漏洞修補的觀念較不足,希望藉此讓這些公司能慢慢接受,提升臺灣產品的安全。

而在TWCERT/CC加入CNA之後,一旦有研究人員發現臺灣產品漏洞並向CNA通報後,TWCERT/CC將與廠商聯繫,請他們修補,一旦廠商完成修補,將請通報者驗證,若修補有效後,即公開CVE。在此期間,林志鴻表示,有些國內廠商確實這方面的觀念不足,使得他們需要花很大力氣說服對方,讓這些業者收到通報,並要做好產品漏洞修補。

事實上,過去就曾出現一些狀況,例如研究人員發現漏洞卻無法聯繫到臺灣原廠。而早在2015年,臺灣就有資安社群打造漏洞通報平臺HITCON ZeroDay,讓研究人員一旦發現網站或廠商產品有漏洞,可以此幫助企業與通報者,使彼此之間有互信的溝通管道,近年並衍生漏洞獎勵計畫與企業徵才等功能。

而對於TWCERT/CC而言,取得MITRE CNA單位身分後,研究人員發現廠商產品漏洞時,現在多了這個通報管道,他們同樣能認可通報人員的貢獻,在漏洞資訊頁面公布漏洞通報者,但最特別之處,還是可以發布CVE。

而經過這幾年以來,TWCERT/CC已經發布近200個CVE漏洞。這項工作從2019年開始,當時只發布27個CVE漏洞;到了2020年,他們發布58個,今年數量更是大增,光是上半年就有71個,若單就7月這一個月內(至23日止)來看,他們就已經發布多達39個CVE漏洞。

而在TWCERT/CC成為CNA之後,也提供通報上的協助,可因應之前研究人員發現國內外產品CVE漏洞,但因找不到通報管道而公開漏洞的狀況,減少後續的困擾。

無論如何,產品漏洞問題一直是實際存在,擔心反而不如坦然面對,儘管CNA單位與產品廠商往往有意見分歧的狀況,隨著TWCERT/CC今年指派CVE數量大增,似乎也反映臺灣廠商多多少少對於漏洞揭露有更正向看法。而且,現在已有越來越多企業看重CVE計畫帶來的價值,甚至主動申請成為CNA成員。 

台灣電腦網路危機處理暨協調中心(TWCERT/CC)在2018年9月發布成為CVE 編號管理者(CNA)的消息,並建置了台灣漏洞紀錄(TVN)平臺,至今已經指派205個CVE漏洞。

 

 

在台灣漏洞紀錄(TVN)平臺上,可以看到所有TWCERT/CC指派的國內產品CVE漏洞,當中描述各別漏洞的CVSS、影響範圍,以及原廠的修補,並會公布該漏洞的通報者,認可其貢獻。而在此平臺的通報者,除了有獨立研究人員,也有許多國內資安業者的研究人員,舉例來說,包括戴夫寇爾(DEVCORE)、中華資安國際(CHT)、如梭世代(ZUSO Generation)等,特別的是,也有廠商產品是來自業者自身的通報到此平臺,例如,華碩(ASUS)。

對於CVE漏洞的認定與嚴重度獲認可

除了CNA成員的身分,特別的是,最近TWCERT/CC也在這方面的努力上獲得肯定。因為他們發布的CVE資安漏洞品質,在CVSS 3.1與CWE項目,都獲美國NIST/NVD評選為最高的Provider等級。

對此,林志鴻說明,這項評估全球CNA發布品質的方式,主要有兩大類別,一是對漏洞的認定是否正確,也就是CWE的歸納,另一是對漏洞嚴重度的評估是否正確,也就是CVSS評分。

而且,這項評核會持續調整,例如,今年3月,TWCERT/CC在這兩項拿到第二高的Contributor等級,到了7月11日,他們在CWE、CVSS等兩項,都獲得了最高的Provider等級,在目前(至23日止)取得CAN資格的179個組織中,CWE項目有14個廠商或機構取得Provider,CVSS項目有5個廠商或機構取得Provider,而兩項都保持在Provider等級,只有Adobe與TWCERT/CC。

臺灣現在其他CNA成員的狀況如何?舉例來說,NAS廠商群暉科技於6月30日的評核中,在CWE項目獲得Provider等級,在CVSS 3.1獲得Contributor等級;另一家NAS廠商威聯通於7月8日,也在CWE項目獲得Provider等級,分類在日本的趨勢科技旗下ZDI,也在7月2日於CWE項目獲得Provider等級,至於Zyxel因為才剛加入,還沒有相關評核結果。

TWCERT/CC在2018年取得MITRE授權成為CNA成員,近期他們發布的CVE漏洞品質,獲美國NIST/NVD評選為最高的Provider等級。基本上,這項對CNA成員的評分,從高至低分成提供者(Provider)、貢獻者(Contributor)與參考者(Reference)三個等級。根據TWCERT/CC的說明,Provider等級需與NIST/NVD審核結果達到95%以上的匹配率,而Contributor等級則是70%以上的匹配率。


熱門新聞

Advertisement