जीरो डे इनिशिएटिव ने 1 की पहली छमाही में 2023 से अधिक भेद्यता रिपोर्ट प्रकाशित कीं। कमजोरियों में से महत्वपूर्ण Microsoft शून्य-दिन हैं। ज़ीरो डे इनिशिएटिव ट्रेंड माइक्रो के आरंभकर्ता ने अधिक से अधिक दोषपूर्ण या अपूर्ण पैच के बारे में चेतावनी दी है।
ट्रेंड माइक्रो, साइबर सुरक्षा समाधान के दुनिया के अग्रणी प्रदाताओं में से एक, ने घोषणा की है कि उसके जीरो डे इनिशिएटिव (जेडडीआई) ने इस साल आईटी उत्पादों में व्यक्तिगत कमजोरियों पर 1.000 से अधिक सलाह पहले ही प्रकाशित कर दी है। इस पृष्ठभूमि के खिलाफ, कंपनी ने चेतावनी दी है कि दोषपूर्ण या अपूर्ण पैच अधिक से अधिक बार प्रकाशित किए जा रहे हैं, या प्रभावित निर्माता गुप्त रूप से उन्हें रोल आउट कर रहे हैं।
साइलेंट पैचिंग कमजोरियों को छुपाती है
ट्रेंड माइक्रो "साइलेंट पैचिंग" को समाप्त करने की वकालत करता है - एक ऐसी प्रथा जो कमजोरियों और पैच के प्रकटीकरण और दस्तावेज़ीकरण में देरी या कम महत्व देती है। साइबर अपराध से लड़ने में सबसे बड़ी बाधाओं में से एक के रूप में, यह विधि विशेष रूप से बड़े विक्रेताओं और क्लाउड प्रदाताओं के बीच आम है।
“ज़ीरो डे इनिशिएटिव की स्थापना कमजोरियों को साइबर अपराधियों द्वारा शोषण किए जाने से पहले बंद करने के लिए की गई थी। ट्रेंड माइक्रो के बिजनेस कंसल्टेंट रिचर्ड वर्नर बताते हैं, ''नए NIS2 निर्देश द्वारा यूरोपीय संघ में ऐसे उपायों की आवश्यकता पर और जोर दिया गया है।'' “हालांकि, हम विक्रेता पैच से जुड़ी कमजोरियों के प्रकटीकरण में पारदर्शिता की कमी की चिंताजनक प्रवृत्ति देख रहे हैं। यह डिजिटल दुनिया की आईटी सुरक्षा के लिए ख़तरा है, क्योंकि यह ग्राहकों को अपने स्वयं के आगे के उपाय करने के अवसर से वंचित करता है।
कई क्लाउड प्रदाता साइलेंट पैचिंग पर भरोसा करते हैं
ब्लैक हैट यूएसए 2023 सुरक्षा सम्मेलन में, ट्रेंड रिसर्च के प्रतिनिधियों ने दिखाया कि क्लाउड प्रदाताओं के बीच साइलेंट पैचिंग विशेष रूप से आम है। तेजी से, ये सामान्य कमजोरियां और एक्सपोजर (सीवीई) आईडी निर्दिष्ट करने से बचते हैं, जो पता लगाने योग्य दस्तावेज़ीकरण को सक्षम बनाता है, और इसके बजाय गैर-सार्वजनिक प्रक्रियाओं में पैच जारी करते हैं। क्लाउड सेवाओं के लिए पारदर्शिता या संस्करण संख्याओं की कमी जोखिम मूल्यांकन में बाधा डालती है और पारिस्थितिकी तंत्र में सुरक्षा में सुधार के लिए सुरक्षा समुदाय को मूल्यवान जानकारी से वंचित करती है।
पिछले साल की शुरुआत में, ट्रेंड माइक्रो ने अपूर्ण या गलत पैच की बढ़ती संख्या और विक्रेताओं की ओर से पैच के बारे में सरल भाषा में विश्वसनीय जानकारी प्रदान करने में बढ़ती अनिच्छा के बारे में चेतावनी दी थी। इस बीच, यह चलन तेज़ हो गया है, कुछ कंपनियाँ पैचिंग की पूरी तरह से उपेक्षा कर रही हैं। परिणामस्वरूप, उनके ग्राहक और संपूर्ण उद्योग परिहार्य और बढ़ते जोखिमों के संपर्क में हैं। इसलिए, क्लाउड-आधारित सेवाओं को मजबूत करने और उपयोगकर्ताओं को संभावित जोखिमों से बचाने के लिए पैच को प्राथमिकता देने, कमजोरियों को ठीक करने और शोधकर्ताओं, साइबर सुरक्षा विक्रेताओं और क्लाउड सेवा प्रदाताओं के बीच सहयोग को प्रोत्साहित करने के लिए कार्रवाई की तत्काल आवश्यकता है।
1.000 की सूची में 2023 से अधिक कमजोरियाँ
ZDI कार्यक्रम के साथ, ट्रेंड माइक्रो पूरे उद्योग में कमजोरियों की पारदर्शी पैचिंग और सुरक्षा में सुधार के लिए प्रतिबद्ध है। इस प्रतिबद्धता के हिस्से के रूप में, ज़ीरो डे इनिशिएटिव ने हाल ही में कई ज़ीरो-डे कमजोरियों की सूचनाएं प्रकाशित की हैं। एक ट्रेंड माइक्रो जीरो डे इनिशिएटिव (जेडडीआई) द्वारा प्रकाशित भेद्यता सलाह की पूरी सूची अंग्रेजी में उपलब्ध है पहल की वेबसाइट पर। यहां 9.9 या 9.8 के सीवीएसएस मान वाली कमजोरियों का एक अंश दिया गया है। जीरो डे इनिशिएटिव वेबसाइट की सूची में 1.000 से 9.1 के सीवीएसएस मान के साथ 2.5 से अधिक अन्य कमजोरियां सूचीबद्ध हैं।
सीवीएसएस 39 और 9.9 के साथ 9.8 कमजोरियों का अंश
जेडडीआई आईडी | प्रभावित विक्रेता | CVE | सीवीएसएस v3.0 |
जेडडीआई-23-1044 | माइक्रोसॉफ्ट | 9.9 | |
जेडडीआई-23-055 | VMware | CVE-2022-31702 | 9.8 |
जेडडीआई-23-093 | कैक्टस | CVE-2022-46169 | 9.8 |
जेडडीआई-23-094 | netatalk | CVE-2022-43634 | 9.8 |
जेडडीआई-23-115 | VMware | CVE-2022-31706 | 9.8 |
जेडडीआई-23-118 | ओरेकल | CVE-2023-21838 | 9.8 |
जेडडीआई-23-168 | ओरियन | CVE-2022-47506 | 9.8 |
जेडडीआई-23-175 | ओरेकल | CVE-2023-21890 | 9.8 |
जेडडीआई-23-228 | इवन्ति | CVE-2022-44574 | 9.8 |
जेडडीआई-23-233 | Papercut | CVE-2023-27350 | 9.8 |
जेडडीआई-23-444 | श्नाइडर इलेक्ट्रिक | CVE-2023-29411 | 9.8 |
जेडडीआई-23-445 | श्नाइडर इलेक्ट्रिक | CVE-2023-29412 | 9.8 |
जेडडीआई-23-452 | टी.पी.-लिंक | CVE-2023-27359 | 9.8 |
जेडडीआई-23-482 | VMware | CVE-2023-20864 | 9.8 |
जेडडीआई-23-490 | कुंजी दृष्टि | CVE-2023-1967 | 9.8 |
जेडडीआई-23-587 | ट्रेंड माइक्रो | CVE-2023-32523 | 9.8 |
जेडडीआई-23-588 | ट्रेंड माइक्रो | CVE-2023-32524 | 9.8 |
जेडडीआई-23-636 | श्नाइडर इलेक्ट्रिक | CVE-2022-42970 | 9.8 |
जेडडीआई-23-637 | श्नाइडर इलेक्ट्रिक | CVE-2022-42971 | 9.8 |
जेडडीआई-23-672 | डेल्टा इलेक्ट्रॉनिक्स | CVE-2023-1133 | 9.8 |
जेडडीआई-23-674 | डेल्टा इलेक्ट्रॉनिक्स | CVE-2023-1140 | 9.8 |
जेडडीआई-23-679 | डेल्टा इलेक्ट्रॉनिक्स | CVE-2023-1136 | 9.8 |
जेडडीआई-23-680 | डेल्टा इलेक्ट्रॉनिक्स | CVE-2023-1139 | 9.8 |
जेडडीआई-23-681 | डेल्टा इलेक्ट्रॉनिक्स | CVE-2023-1145 | 9.8 |
जेडडीआई-23-683 | डेल्टा इलेक्ट्रॉनिक्स | CVE-2023-1133 | 9.8 |
जेडडीआई-23-687 | विहित | 9.8 | |
जेडडीआई-23-690 | विहित | 9.8 | |
जेडडीआई-23-702 | Linux | CVE-2023-32254 | 9.8 |
जेडडीआई-23-714 | D-लिंक | CVE-2023-32169 | 9.8 |
जेडडीआई-23-716 | D-लिंक | CVE-2023-32165 | 9.8 |
जेडडीआई-23-720 | Moxa | CVE-2023-33236 | 9.8 |
जेडडीआई-23-840 | VMware | CVE-2023-20887 | 9.8 |
जेडडीआई-23-882 | माइक्रोसॉफ्ट | CVE-2023-29357 | 9.8 |
जेडडीआई-23-897 | प्रगति सॉफ्टवेयर | CVE-2023-36934 | 9.8 |
जेडडीआई-23-906 | डेल्टा इलेक्ट्रॉनिक्स | CVE-2023-34347 | 9.8 |
जेडडीआई-23-920 | NETGEAR | CVE-2023-38096 | 9.8 |
जेडडीआई-23-1025 | त्रिभुज माइक्रोवर्क्स | CVE-2023-39457 | 9.8 |
जेडडीआई-23-1046 | प्रेरक स्वचालन | CVE-2023-39476 | 9.8 |
जेडडीआई-23-1047 | प्रेरक स्वचालन | CVE-2023-39475 | 9.8 |
ट्रेंड माइक्रो के बारे में आईटी सुरक्षा के दुनिया के अग्रणी प्रदाताओं में से एक के रूप में, ट्रेंड माइक्रो डिजिटल डेटा एक्सचेंज के लिए एक सुरक्षित दुनिया बनाने में मदद करता है। 30 से अधिक वर्षों की सुरक्षा विशेषज्ञता, वैश्विक खतरा अनुसंधान और निरंतर नवाचार के साथ, ट्रेंड माइक्रो व्यवसायों, सरकारी एजेंसियों और उपभोक्ताओं के लिए सुरक्षा प्रदान करता है। हमारी XGen™ सुरक्षा रणनीति के लिए धन्यवाद, हमारे समाधान अग्रणी-एज वातावरण के लिए अनुकूलित रक्षा तकनीकों के एक क्रॉस-जेनरेशनल संयोजन से लाभान्वित होते हैं। नेटवर्क की खतरे की जानकारी बेहतर और तेज सुरक्षा को सक्षम बनाती है। क्लाउड वर्कलोड, एंडपॉइंट्स, ईमेल, IIoT और नेटवर्क के लिए अनुकूलित, हमारे कनेक्टेड समाधान तेजी से खतरे का पता लगाने और प्रतिक्रिया के लिए पूरे उद्यम में केंद्रीकृत दृश्यता प्रदान करते हैं।