近日,GitHub刪除了安全研究人員Nguyen Jang發(fā)布的概念驗(yàn)證(PoC)漏洞利用代碼,該漏洞利用了最近成為業(yè)界焦點(diǎn)的微軟Exchange軟件漏洞。
GitHub的決定立即引發(fā)了網(wǎng)絡(luò)安全行業(yè)的爭(zhēng)論,即安全研究人員何時(shí)應(yīng)避免發(fā)布軟件漏洞,以及GitHub之類(lèi)的軟件代碼平臺(tái)應(yīng)如何管理其用戶(hù)。
這是一個(gè)異常敏感的案例:研究人員發(fā)布的是眾多國(guó)家黑客正在利用的Exchange Server中的漏洞,分析人士擔(dān)心,網(wǎng)絡(luò)罪犯在濫用這些漏洞方面也會(huì)“不甘人后”。一些安全分析師擔(dān)心的是,研究人員Nguyen Jang發(fā)布的概念驗(yàn)證漏洞可能使其他惡意攻擊者能夠利用這些漏洞。但Nguyen辯稱(chēng),發(fā)布將促使組織進(jìn)行漏洞修補(bǔ)。
GitHub發(fā)言人表示,刪除代碼是因?yàn)樗`反了平臺(tái)禁止上傳“活動(dòng)”軟件漏洞的政策。
GitHub發(fā)言人說(shuō):“我們知道,概念驗(yàn)證漏洞利用代碼的發(fā)布和分發(fā)對(duì)安全社區(qū)具有教育和研究?jī)r(jià)值,我們的目標(biāo)是在利益與保持更廣泛的生態(tài)系統(tǒng)之間取得平衡。”
但是Luta Security的首席執(zhí)行官Katie Moussouris認(rèn)為,概念驗(yàn)證漏洞利用代碼可能起到敦促組織修補(bǔ)漏洞的作用。其他分析師則反駁說(shuō),一些小型組織沒(méi)有足夠的資源來(lái)快速應(yīng)用這些修復(fù)程序。
一些安全專(zhuān)家說(shuō),這并非零和游戲,研究人員其實(shí)可以在不公開(kāi)利用這些漏洞的情況下對(duì)其進(jìn)行探索。安全公司Red Canary的研究主管Matt Graeber敦促研究人員不要發(fā)布漏洞利用代碼,而應(yīng)根據(jù)他們對(duì)漏洞利用的了解,建議用戶(hù)采取防御措施。