Архив метки: packetstorm

Про ссылки на эксплоиты в NVD

Добавить комментарий

Про ссылки на эксплоиты в NVD

Про ссылки на эксплоиты в NVD. Весьма подбешивает, что в NVD ставят ссылки на эксплоиты (в частности на Pack­et Storm) без тега, что это эксплоит. Для двух уязвимостей из предыдущего поста это так.

Казалось бы, а зачем нужен тег? Раз видишь Pack­et Storm — учитывай это автоматом как эксплоит. Но беда в том, что на Pack­et Storm также публикуются и другие материалы (advi­so­ry, описания утилит, статьи) и ссылки на них выглядят также. 🤦‍♂️ Нужно переходить по ссылке и смотреть теги уже на Pack­et Storm. 😣 Или как-то хитро по URL‑у фильтровать. Для других открытых сплоит-паков ситуация схожая.

Частенько бывает и наоборот: тег "exploit" лепят на ссылки, по которым есть только очень приблизительное описание PoC‑а или указание на то, что он где-то есть.

Так что и отсутствию тега, и присутствию верить полностью нельзя. 🤷‍♂️

Классная была задумка в NVD добавлять лейблы к ссылкам

Добавить комментарий

Классная была задумка в NVD добавлять лейблы к ссылкам

Классная была задумка в NVD добавлять лейблы к ссылкам. Чтобы сразу было видно на какой объект ссылаются: почтовая рассылка, бюллетень вендора, бюллетень третьих лиц, патч, а самое ценное — эксплоит. То есть можно было бы только на основе NVD делать достаточно неплохую приоритизацию уязвимостей. Но реальность, к сожалению, грустнее:

1. На простановку лейблов всем так-то пофигу. На скриншоте log4shell. Для части ссылок на pack­et­storm проставлено, что это эксплоиты. Для части нет. Может это на самом деле не эксплоиты? Да нет, все верно, я обкликал и проверил. Просто ошибка операциониста, который ссылку добавлял.
2. Заинтересован ли кто-то быстро добавить в NVD ссылку на эксплоит, когда он появляется в паблике? Да видимо не особо. Разве что для очень громких уязвимостей.
3. Это общая беда, но в описании CVE могут писать про один тип уязвимости, допустим RCE, а эксплоит будет демонстрировать другую уязвимость, допустим DoS.

Выводы? Спасибо, что хотя бы так и бесплатно. 🙂 Но исключительно на данные из NVD лучше не полагаться.