Les sociétés de sécurité feraient bien de construire leurs produits autour du code du médecin : « Premièrement, ne pas nuire ». Le corollaire de ce serment emprunte à un autre mantra médical : « Vendeur de sécurité, guéris-toi toi-même. Et ne prenez pas une éternité pour le faire ! ”
Jeudi, Symantec tranquillement libéré mises à jour de sécurité pour corriger de graves vulnérabilités dans son Passerelle Web Symantec, une gamme populaire d’appliances de sécurité conçues pour aider à « protéger les organisations contre plusieurs types de logiciels malveillants transmis par le Web ». Symantec a publié les mises à jour plus de cinq mois après avoir reçu l’avis des failles de Vienne, en Autriche. SEC Consult Vulnerability Labqui a déclaré que les attaquants pourraient enchaîner plusieurs des failles pour compromettre complètement les appliances.
« Un attaquant peut obtenir un accès non autorisé à l’appliance et aux portes dérobées de l’usine ou accéder aux fichiers de configuration contenant les informations d’identification d’autres systèmes (par exemple, les informations d’identification Active Directory/LDAP) qui peuvent être utilisées dans d’autres attaques », a averti SEC Consult dans un avis publié en coordination avec les correctifs de Symantec. « Étant donné que tout le trafic Web passe par l’appliance, l’interception de HTTP ainsi que la forme de texte brut du trafic HTTPS (si la fonction SSL Deep Inspection est utilisée), y compris des informations sensibles telles que les mots de passe et les cookies de session, est possible. »
Big Yellow a presque certainement esquivé une balle avec cette divulgation coordonnée, et il devrait être heureux que les bogues n’aient pas été trouvés par chercheur à l’OTAN, par exemple; Plus tôt ce mois-ci, le fournisseur de sécurité McAfee divulgué multiples vulnérabilités dans son ePolicy Orchestrator, un produit de gestion centralisée de la sécurité. Le chercheur dans cette affaire a déclaré qu’il divulguerait ses conclusions dans les 30 jours suivant la notification à l’entreprise, et McAfee a rendu un avis en moins d’une semaine.
Fait intéressant, l’équipe de sécurité de Google soutient un nouveau délai de sécurité de sept jours cela permettrait aux chercheurs de rendre publiques les vulnérabilités graves une semaine après en avoir notifié une entreprise. Google affirme qu’un délai de divulgation d’une semaine est approprié pour les vulnérabilités critiques qui sont activement exploitées, et que sa recommandation permanente est que les entreprises corrigent les vulnérabilités critiques dans les 60 jours ou, si une correction n’est pas possible, qu’elles informent le public de le risque et proposer des solutions de contournement.
Il me semble que nous devrions tenir les entreprises qui fabriquent des logiciels et du matériel de sécurité à un niveau plus élevé et attendre d’elles une réponse beaucoup plus rapide. Il est vrai que les produits largement déployés nécessitent des tests plus approfondis pour s’assurer que les correctifs n’introduisent pas de problèmes supplémentaires. Mais à mon avis, 30 jours sont plus que suffisants pour remédier à ces vulnérabilités.
Johannes Greilresponsable du SEC Consult Vulnerability Lab, a déclaré que les entreprises de sécurité devaient investir davantage dans la sécurisation de leurs propres produits.
« Nous n’avons fait qu’un court test de collision et avons trouvé ces vulnérabilités critiques », a déclaré Greil. « Je ne pense pas qu’il soit acceptable de prendre autant de temps car les utilisateurs ne sont pas protégés pendant ce temps. Je comprends cependant que tester les correctifs est nécessaire et peut prendre plus de temps. Au moins, ils ne prennent pas des années comme Oracle le fait parfois.