AusCERTセキュリティ担当者 David Jorm 氏は、MITRE が重要なバグに Common Vulnerabilities and Exposures (CVE) 番号を割り当てないことから、重要なバグに名前、ロゴ、さらには Web サイトの付与を開始した。
CVE番号はバグに割り当てられるタグであり、セキュリティ業界が同一の問題を確実に修正できるようにするために設計されています。Console(以前はRed Hat)に所属し、現在は米国政府機関MITREからCVEを取得できないのは、Jorm氏だけではありません。
彼の命名活動は、フラストレーションから生まれた。著名人も無名人も含め、数十人のセキュリティ研究者がEl Regの記者に対し、MITREのCVEのセキュリティ確保に苦労していると語っている。
筆者は今週、AusCERTカンファレンスに出席しており、多くの研究者がこの問題について訴えています。しかし、大手テクノロジー企業の研究者たちは、MITREが彼らの要望に応えてくれていると繰り返し報告しています。
セキュリティ専門家によると、2015年にMITREでリーダーシップが交代したことと、当時の手動の電子メールベースのバグトリアージシステムが単純に圧倒されていたことが原因だという。
それでも、MITRE は CVE のバックログと重要な脆弱性に数字を割り当てられなかったことに対する責任の一部を負っている。
The Register がMITRE の CVE システムの問題を明らかにした後、CVE 割り当ての停滞を解消することを期待して新しいトリアージ システムを立ち上げましたが、すぐに廃止しました。
デビッド・ヨーム。写真:ダレン・パウリ、The Register。
これらの問題により、重大な脆弱性が CVE なしで放置される事態が発生し、一方で、偽アカウント「ジャスティン・ティンバーレイク」の研究者が、存在しないソフトウェアに対して意図的に偽装した明らかにジャンクな脆弱性に対して CVE 番号を取得することに成功した例も複数ありました。
Jorm (@djorm) は、ほとんどのセキュリティ研究者と同様に、Heartbleed のようなバッジやバナーで示されるセキュリティ脆弱性を軽視していますが、その知名度が上がり、CVE 番号が付与される可能性が高まることを期待して、この戦術を採用しています。また、MITRE の欠陥のあるプロセスを強調したいとも考えています。
「私が発見した脆弱性すべてにウェブサイト、名前、ロゴを与えるつもりです」とヨルム氏は本日AusCERTに語った。
「私は Rocket Overloaded Flags Liability (ROFL) と PHWNED から始めました。」
彼のコメディ的な取り組みは、MITRE の代替モデル、つまり一部の業界関係者と MITRE 役員会メンバーが作成した Distributed Weakness Filing (DWF) プロジェクトに研究者を引き付けようとする試みでもあります。
「次にバグを見つけたときは、CVE とともに DWF ID 番号も含めるようにしてください」と Jorm 氏は促した。
彼はまた、廃止されたものの高く評価されているオープンソース脆弱性データベースを DWF にロードすることは、興味を持つハッカーにとって価値のある取り組みになるかもしれないと示唆しました。®
