via HERE
Atlantic Council 于2023年9月6日发布一份报告,由Dakota Cary和Kristin Del Rosso撰写,探讨了中国如何利用新的漏洞管理系统武器化软件漏洞。
报告揭示,中国2021年《软件漏洞管理办法》要求研究人员和公司在48小时内向国家漏洞数据库(NVDB)报告漏洞。报告确定了一些表现出色的公司遵守了法律,并暗示可能有更多外国公司参与其中。报告指出,向NVDB报告的漏洞很可能被中国的攻击团队利用。
报告还强调,与工业和信息化部(MIIT)共享的漏洞信息被传递给具有攻击任务或与过去黑客攻击有关的实体,如国家安全部第13局(CNITSEC)的北京局、上海交通大学和北京天融信。报告认为,这些实体有可能将接收到的漏洞报告用于攻击目的。
报告还指出,在2021年规定之前,公司向国家安全部的中国国家漏洞数据库(CNNVD)报告漏洞,并且在向MIIT提交漏洞报告的公司中存在重叠。报告得出结论,中国的新漏洞管理系统存在重大风险,并引发了对漏洞报告被用于攻击性网络行动的担忧。
报告要点:
- 《网络产品安全漏洞管理规定》(RSMV)于2021年9月在中国实施,要求在发现漏洞后的48小时内向工业和信息化部(MIIT)报告软件漏洞。
- 这些规定还禁止在补丁发布之前公开漏洞信息,发布概念验证代码以及夸大漏洞的严重性。
- MIIT的新漏洞数据库与中国国家计算机网络应急响应技术协调中心(CNCERT/CC)和公安部(MPS)共享数据,使它们能够访问漏洞报告并有可能将其用于攻击行动。
- 在实施这些规定时出现了官僚主义问题,导致漏洞披露减少到其他政府管理的数据库。目前尚不清楚CNCERT/CC是否能够通过与其他国家的事件响应合同收集漏洞信息。
- MIIT正在资助研究项目以改进产品安全标准,并从网络安全公司那里接收软件漏洞。这些漏洞很可能会被国家安全部门用于攻击行动的评估。
- 中国的规定与美国的分散、自愿报告系统存在显著差异。
完整报告: https://www.atlanticcouncil.org/in-depth-research-reports/report/sleight-of-hand-how-china-weaponizes-software-vulnerability/
没有评论:
发表评论