走近俄罗斯国家漏洞库：不全、奇慢还马虎

翻译：360代码卫士团队

Recorded Future 经过一年的调查后指出，俄罗斯的国家漏洞库 (BDU) 索引的安全漏洞数量仅为应索引的正常数量的十分之一，这可能是因为 BDU 的运作原则不同于美国的国家漏洞库 US NVD 所致。

US NVD 创建并管理影响所有主要软件类型的所有漏洞，包罗万象；而俄罗斯 BDU 似乎仅索引政府机构和关键基础设施公司使用的硬件和软件中存在的漏洞。

例如，BDU 索引的75%的漏洞和浏览器以及工控系统相关，基本忽视在线 CMS。另外，BDU 对微软、Adobe 和 Linux 漏洞的覆盖率要好于对 IBM 和华为漏洞的收录。

此外，BDU 收录这些缺陷的速度极其缓慢。专家表示，BDU 公开漏洞详情的速度比中国国家漏洞数据库 (CNNVD) 平均慢83天，比 US NVD 平均慢50天，而这些详情对于防御可能存在的攻击的企业和政府机构而言极其重要。

但除了收录不全和收录速度缓慢以外，BDU 对待漏洞的态度也是马马虎虎。在某些情况下，在同一个 BDU ID 下会用不同的 CVE 编号索引多个漏洞，而在其它情况下在多个 BDU ID 下用同样的 CVE 编号索引多个漏洞。

Recorded Future 公司的研究人员认为，这种马虎的工作态度可能和运行 BDU 的机构即俄罗斯联邦技术和出口管制服务 (FSTEC) 而非专门的组织机构有关。FSTEC 是一个军事组织机构，主要负责保护国家机密并支持反情报和反间谍行动。

安全专家指出，和 US NVD 不同，FSTEC 并非公共服务组织机构。FSTEC 的任务非常专注且具体即保护俄罗斯国家和关键基础设施系统的安全并支持反情报行动。这种理论也得到 BDU 做法的佐证：它索引的漏洞是已遭俄罗斯情报机构在外国网络间谍行动中武器化并使用过的漏洞。

安全专家指出，BDU 索引了俄罗斯网络间谍组织使用过的61%的漏洞（使用了49个漏洞中的30个）。专家指出，这要大大高于 FSTEC 的平均收录水平（10%），这说明 FSTEC 似乎优先保护俄罗斯内部网络的安全，而非掩盖由自己国家的黑客所利用的漏洞。

但关于马虎问题， Recorded Future 专家还有其它理论说法。例如，他们还发现 BDU 人员严重不足，在这个超过1.4亿人口的国家只雇佣了1111个员工。

Recorded Future 表示，FSTEC 似乎并不看重 BDU （接受人员不足问题以及索引延迟和马虎等情况）并且“发布的内容对于一个国家漏洞库而言‘刚刚好’”。

换句话说，俄罗斯政府设立这样一个三心二意的漏洞数据库只是为了能够说明在意国家安全，但实际上却借漏洞库访问那些想要在俄罗斯边境内出售软件和硬件产品的西方供应商的源代码。

此前有报道称，SAP、迈克菲、赛门铁克和 Micro Focus 等公司允许俄罗斯政府审查其代码，而负责审查代码的就是俄罗斯联邦安全局(FSB) 和 FSTEC。

原文链接

https://www.bleepingcomputer.com/news/security/russia-runs-incomplete-slow-sloppy-vulnerability-database/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。