Скрывают или недоговаривают? Ivanti и Juniper подверглись критике за неподобающее раскрытие софтверных проблем

Недавно выяснилось , что в крупных технологических компаниях Juniper и Ivanti наблюдаются серьёзные нарушения в процессе регистрации уязвимостей в соответствующих органах. По данным исследователей, эти компании не соблюдают установленные правила при обращении с информацией о проблемах с безопасностью.

В конце прошлого года исследователь безопасности Ализ Хаммонд из watchTowr сообщил представителям Juniper о ряде проблем в их программном обеспечении. Компания провела собственное расследование и попросила эксперта задержать публикацию информации до устранения недостатков.

Позже Хаммонд заявил , что в последнем пакете исправлений Juniper целых четыре уязвимости, которые подробно описал исследователь, не получили уникальных номеров CVE, включая уязвимость, связанную с отсутствием аутентификации.

Примерно в том же обвиняют и Ivanti, которая намеренно объединяет по несколько уязвимостей в один CVE-идентификатор. Так, один из исследователей сообщил, что как минимум пять разных уязвимостей компания зарегистрировала под одним идентификатором.

Вполне возможно, таким образом обе компании стремились искусственно занизить число выявляемых уязвимостей и сократить количество негативных упоминаний в СМИ. Однако теперь, похоже, уловка раскрылась. Едва ли это скажется на их репутации положительно.

Общепринятая практика работы с уязвимостями включает регистрацию каждого отдельного недостатка безопасности под своим уникальным номером CVE, чтобы максимально облегчить идентификацию и управление исправлениями, а также избежать путаницы.

В своё оправдание, Ivanti заявила, что делает это ради упрощения коммуникации с клиентами, а Juniper — во имя безопасности, чтобы дать клиентам время на обновление до актуальных версий софта.

В целом, все исправления обе компании обычно выпускают в срок, и здесь нет явных нарушений правил. Однако вышеописанная практика регистрации CVE была осуждена многими экспертами безопасности.

Адам Пилтон из компании CyberSmart подчеркнул, что, хотя временных ограничений на присвоение номеров CVE нет, рекомендуется регистрировать их как можно скорее и под уникальными идентификаторами, чтобы обеспечить своевременное устранение уязвимостей и избежать путаницы.

Он также отметил, что задержка в сообщении об уязвимостях действительно может быть необходима для обеспечения ответственного раскрытия информации и защиты пользователей, но и здесь нужно чувствовать тонкую грань баланса, чтобы не оставить пользователей в неведении о потенциальных рисках безопасности в их системах.