Recorded Future 经过一年的调查后指出,俄罗斯的国家漏洞库 (BDU) 索引的安全漏洞数量仅为应索引的正常数量的十分之一,这可能是因为 BDU 的运作原则不同于美国的国家漏洞库 US NVD 所致。

缓慢、马虎且不全的俄罗斯 BDU

US NVD 创建并管理影响所有主要软件类型的所有漏洞,包罗万象;而俄罗斯 BDU 似乎仅索引政府机构和关键基础设施公司使用的硬件和软件中存在的漏洞。

例如,BDU 索引的75%的漏洞和浏览器以及工控系统相关,基本忽视在线 CMS。另外,BDU 对微软、Adobe 和 Linux 漏洞的覆盖率要好于对 IBM 和华为漏洞的收录。

此外,BDU 收录这些缺陷的速度极其缓慢。专家表示,BDU 公开漏洞详情的速度比中国国家漏洞数据库 (CNNVD) 平均慢83天,比 US NVD 平均慢50天,而这些详情对于防御可能存在的攻击的企业和政府机构而言极其重要。

但除了收录不全和收录速度缓慢以外,BDU 对待漏洞的态度也是马马虎虎。在某些情况下,在同一个 BDU ID 下会用不同的 CVE 编号索引多个漏洞,而在其它情况下在多个 BDU ID 下用同样的 CVE 编号索引多个漏洞。

俄罗斯 BDU 旨在保护内部系统

Recorded Future 公司的研究人员认为,这种马虎的工作态度可能和运行 BDU 的机构即俄罗斯联邦技术和出口管制服务 (FSTEC) 而非专门的组织机构有关。FSTEC 是一个军事组织机构,主要负责保护国家机密并支持反情报和反间谍行动。

安全专家指出,和 US NVD 不同,FSTEC 并非公共服务组织机构。FSTEC 的任务非常专注且具体即保护俄罗斯国家和关键基础设施系统的安全并支持反情报行动。这种理论也得到 BDU 做法的佐证:它索引的漏洞是已遭俄罗斯情报机构在外国网络间谍行动中武器化并使用过的漏洞。

安全专家指出,BDU 索引了俄罗斯网络间谍组织使用过的61%的漏洞(使用了49个漏洞中的30个)。专家指出,这要大大高于 FSTEC 的平均收录水平(10%),这说明 FSTEC 似乎优先保护俄罗斯内部网络的安全,而非掩盖由自己国家的黑客所利用的漏洞。

俄罗斯 BDU 只为撑门面?

但关于马虎问题, Recorded Future 专家还有其它理论说法。例如,他们还发现 BDU 人员严重不足,在这个超过1.4亿人口的国家只雇佣了1111个员工。

Recorded Future 表示,FSTEC 似乎并不看重 BDU (接受人员不足问题以及索引延迟和马虎等情况)并且“发布的内容对于一个国家漏洞库而言‘刚刚好’”。

换句话说,俄罗斯政府设立这样一个三心二意的漏洞数据库只是为了能够说明在意国家安全,但实际上却借漏洞库访问那些想要在俄罗斯边境内出售软件和硬件产品的西方供应商的源代码。

此前有报道称,SAP、迈克菲、赛门铁克和 Micro Focus 等公司允许俄罗斯政府审查其代码,而负责审查代码的就是俄罗斯联邦安全局(FSB) 和 FSTEC。

此前,Recorded Future 分析中国的国家漏洞库后发现它在索引安全缺陷方面速度非常快,但那些重要漏洞以及由某些APT组织使用的漏洞方面是例外。Recorded Future 公司认为这可能是因为 CNNVD 和位于同一建筑内的中国情报机构关系密切而导致的结果。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。