CVE/БДУ

Последовательность действий при обнаружении уязвимости в каком-либо продукте

При обнаружении уязвимости и желании ее зарегистрировать в MITRE (CVE) или ФСТЭК (БДУ) необходимо действовать по следующему алгоритму:

  1. Считаем CVSS для уязвимости и убеждаемся, что он не равен 0.

  2. Идем в https://cve.mitre.org/cve/search_cve_list.html и пробуем искать не зарегистрировал ли кто-то ранее обнаруженную уязвимость. Также идем сюда https://bdu.fstec.ru/ и делаем тоже самое.

  3. Далее необходимо выяснить может ли вендор сам регистрировать CVE? Можно глянуть тут https://www.cve.org/ProgramOrganization/CNAs

  4. Далее необходимо уведомить вендора об уязвимости в его продукте. В первую очередь нужно искать что-то связанное с PSIRT (Product Security Incident Response Team) или около этого. Если не получается обнаружить, то пробуем смотреть на уже зарегистрированные уязвимости на продукты вендора и особенно внимательно смотреть на их раскрытие, там могут быть указаны контакты куда писал человек для связи. Если совсем ничего нет, то пишем в support.

  5. Тема письма Vulnerability in the product. Пример письма вендору:

Hello!  
I am a security researcher.  
I'm from "Company name".  
I have discovered two vulnerabilities in your product AV-04SD. In framework version 1.6.0 20220402.  
I am ready to provide all the necessary information about vulnerabilities to eliminate them. 
Now I suppose that we take some steps together for coordinated vulnerabilities disclosure, so please email me to let me know that you're interested in correcting the issues  
  
1. CVSS v3: (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)  
Base Score (BS): 6.8  
When making a GET request to /api/v1/device/sip/settings  
In response, a message comes containing the password in clear text for connecting to SIP.  
The password must be stored in hashed form. Neither the hash nor the password should be sent in a GET request.  
  
2.  
CVSS v3: (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)  
Base Score (BS): 6.8  
When making a GET request to /api/v1/device/settings/rtsp  
In response, a message is received containing the password in clear text for connecting to RTSP.  
The password must be stored in hashed form. Neither the hash nor the password should be sent in a GET request.  
  
  
Thank you!  
Vladislav Driev

  1. Далее ситуация может развиваться двумя путями, либо вендор отрицает наличие уязвимости, либо он согласен с наличием уязвимости и готов сотрудничать для ее устранения и совместного раскрытия, тогда спрашиваем разрешение зарегистрировать CVE:

Hello!

I act on behalf of the company.  
Information about me: Vladislav Driev from "Company name".  
Company website: (site.com)  
  
I would like to know if I can register a CVE?  
I also want to clarify when can I publish data about a discovered vulnerability?  

Thank you!  
Vladislav Driev

  1. С этого момента вы можете обратиться в MITRE для регистрации CVE. https://cveform.mitre.org/ . Также настоятельно рекомендую ознакомиться с гайдом по заполнению заявки на регистрацию https://cveproject.github.io/docs/content/key-details-phrasing.pdf . Пример заполнения пунктов:

[Suggested description] BAS-IP AV-01D, AV-01MD, AV-01MFD, AV-01ED, AV-01KD, AV-01BD, AV-01KBD, AV-02D, AV-02IDE, AV-02IDR, AV-02IPD, AV-02FDE, AV-02FDR, AV-03D, AV-03BD, AV-04AFD, AV-04ASD, AV-04FD, AV-04SD, AV-05FD, AV-05SD, AA-07BD, AA-07BDI, BA-04BD, BA-04MD, BA-08BD, BA-08MD, BA-12BD, BA-12MD, CR-02BD before firmware v3.9.2 allows authenticated attackers to read SIP account passwords via a crafted GET request.

[Additional Information] The vulnerability is not a duplicate of CVE-2024-37654.

  • These are two different modules of the system.

  • Operation requires a completely different HTTP GET request.

  • The vendor clearly indicated that the fix addresses many problems, not just one

[VulnerabilityType Other] CWE-522

[Vendor of Product] BAS-IP

[Affected Product Code Base] AV-01D, AV-01MD, AV-01MFD, AV-01ED, AV-01KD, AV-01BD, AV-01KBD, AV-02D, AV-02IDE, AV-02IDR, AV-02IPD, AV-02FDE, AV-02FDR, AV-03D, AV-03BD, AV-04AFD, AV-04ASD, AV-04FD, AV-04SD, AV-05FD, AV-05SD, AA-07BD, AA-07BDI, BA-04BD, BA-04MD, BA-08BD, BA-08MD, BA-12BD, BA-12MD, CR-02BD - before 3.9.2

[Affected Component] RTSP module

[Attack Type] Remote

[Impact Information Disclosure] true

[Attack Vectors] To exploit the vulnerability, attackers must send HTTP GET request

[Reference] https://bas-ip.com/bsa-000001

[Has vendor confirmed or acknowledged the vulnerability?] true

[Discoverer] Vladislav Driev

  1. После этого в течении примерно 14 дней вам дадут ответ о статусе присвоения CVE. После регистрации мы должны дождаться исправления уязвимости и после этого сделать раскрытие, самый простой способ это GitHub. Пример https://github.com/DrieVlad/BAS-IP-vulnerabilities

  2. Далее вы заполняете заявку на публикацию CVE, прикладывая ссылки на ваш GitHub и информацию по исправлению уязвимости. https://cveform.mitre.org/

  3. Через несколько дней (на практике до 7) вам придет на почту письмо, что уязвимость зарегистрирована и этим уже можно поделиться со всеми.

Случай, когда вендор отрицает наличие уязвимости будет разобран позже.

Если я допустил ошибки или неточности, буду рад issues или PR.

Previous802.1xNextgithub

Last updated