新闻中心

News Center

BCS2022 软件供应链安全论坛回顾|戴嘉润:基于PoC移植的漏洞影响范围评估
发布日期:2022-07-27 作者:北京网络安全大会


    7月27日,由InForSec主办、复旦大学系统软件与安全实验室、中国科学院软件研究所可信计算与信息保障实验室、百度安全、奇安信集团、蚂蚁集团、阿里安全协办的“软件供应链安全”的学术交流会在线上成功召开。


    复旦大学计算机科学与技术学院谈心博士、复旦大学软件学院戴嘉润博士、清华大学(网络研究院)-奇安信联合研究中心谷雅聪、浙江大学&蚂蚁集团潘高宁博士、浙江大学计算机科学与技术学院付丽嫆博士、香港中文大学计算机科学与工程学系李卓华博在会上作了精彩的报告。


    本次会议由清华大学(网络研究院)-奇安信联合研究中心应凌云主持。北京大学、上海交通大学、中国科学技术大学、浙江大学、北京理工大学、四川大学、华中科技大学、信息工程大学、上海大学、西安邮电大学、中科院软件所、中科院信工所等高校和科研院所以及企业界7900余人在线参与了论坛,并通过视频会议与演讲嘉宾互动。


    InForSec将对会议精彩报告进行内容回顾,本文分享的是戴嘉润博士的报告——《基于PoC移植的漏洞影响范围评估》。


    安全运维人员通常依赖于公开的漏洞报告进行供应链安全问题的应急响应与故障修复。然而现有研究表明,公开漏洞报告中披露的漏洞影响范围通常存在漏报和误报现象。其中,广泛存在的漏报现象会导致大量软件在已知漏洞影响范围内而不自知,极大降低了软件产品的安全性。因此,准确地检测漏洞实际影响的版本范围至关重要。

    针对这一问题,戴博士团队通过调研现有相关研究,评估了诸如补丁存在性检测,代码克隆检测技术在该问题上的效果。评估结果表明这些静态分析技术存在非常高的误报,而高误报会导致安全应急人员无法精准确认实际受影响的软件版本,须消耗大量人力进行结果的筛查。为了实现精准定位漏洞影响版本范围这一目标,戴博士团队提出了基于PoC移植的漏洞影响范围评估方案。

    戴博士介绍到,直观来说,可以使用公开的PoC去测试一个开源软件各个版本是否会触发漏洞来确定具体影响范围。但因为一些版本间代码更新/变动,使得实际存在的漏洞无法被触发。因此,仅用一份PoC来确定漏洞影响范围并不可靠。戴博士团队针对这一问题,提出了PoC移植技术,即自适应地为每个版本生成特定PoC来触发同一个漏洞。在30份CVE报告中,该技术总计发现了330个漏报的漏洞影响版本。

    戴博士总结了该方案的核心思想,即在不同版本软件上触发同一个漏洞,其漏洞触发路径是相似的。因此,使PoC在参考版本和目标测试版本上的代码执行路径越来越接近,则有更高的概率触发不同版本上的同一漏洞。

    随后,戴博士介绍了该方案的主要工作流程:

    (1)使用公开的PoC在参考版本和目标测试版本上做攻击复现,得到两个执行路径;

    (2)基于跨版本的路径比对,定位两执行路径之间的不一致点;

    (3)使用基于fuzzing的PoC调整方案来消除路径的不一致点,从而使两版本执行路径越来越接近。

    戴博士团队在30个real-worldCVE上评估了PoC移植技术的效果。在实验中,戴博士团队通过人工验证,发现该方案在数据集上具有0误报的出色效果。同时,该方案成功检测出330个未被CVE披露的漏洞影响版本。最后,戴博士团队向CVE官方提交了检测出的330个遗漏版本和相关PoC,并已全部被接收,再次印证了该PoC移植工作的有效性和必要性。


———— 演讲者简介


    戴嘉润,复旦大学2020级网络空间安全方向博士,师从杨珉教授与张源副教授。主要的研究方向为二进制安全与无人驾驶系统安全,目前以第一作者在CCS和UsenixSecurity发表相关论文两篇。在CTF竞赛方面,作为复旦大学白泽战队主力之一,曾获多项赛事荣誉,如XNUCA2019/2020决赛冠军,CISCN2020决赛冠军,XCTF2021总决赛冠军等。

相关新闻
第六届“蓝帽杯”全国大学生网络安全技能大赛决赛获奖名单公布
第六届“蓝帽杯”全国大学生网络安全技能大赛决赛获奖名单公布
9月21日,第六届“蓝帽杯”全国大学生网络安全技能大赛总决赛圆满结束。长达8小时的赛程中,来自全国各高校的89支战队、265名选手,在24轮次攻防回合比赛中,累计完成了1600余次攻防。经过裁判组的审核,现公布最终获奖名单。一、决赛战队获奖名单二、指导教师获奖名单点击“阅读原文”,登陆大赛官网,了解更多详情,颁奖典礼时间将另行通知第六届蓝帽杯组委会2022年10月10日.

2022-10-10

实战场景锤炼网安精兵 第六届“蓝帽杯”总决赛圆满结束
实战场景锤炼网安精兵 第六届“蓝帽杯”总决赛圆满结束
9月21日,第六届“蓝帽杯”全国大学生网络安全技能大赛总决赛圆满结束。长达8小时的赛程中,来自全国各高校的89支战队、265名选手,在24轮次攻防回合比赛中,累计完成了1600余次攻防。待裁判组审核WP(解题思路)后,将公布最终获奖名单。上午9时,中国人民公安大学团委副书记郑重宣布比赛开始。总决赛首次采取线上AWDP赛制,综合考核参赛战队的漏洞发现、漏洞挖掘、漏洞修复以及即时策略的能力。成功利用漏.

2022-09-22

第六届“蓝帽杯”决赛将于9月21日举办,教师最佳影响力奖申报开启!
第六届“蓝帽杯”决赛将于9月21日举办,教师最佳影响力奖申报开启!
各参赛单位:第六届“蓝帽杯”全国大学生网络安全技能大赛决赛将于9月21日9:00-17:00以线上方式举行具体安排如下:1大赛宗旨以习近平新时代中国特色社会主义思想为指导,全面贯彻落实习近平总书记关于国家安全、网络安全、公安工作、教育工作、人才工作等系列重要论述精神,深入推进落实网络强国战略重大决策部署,开辟网络安全高校实践教学新途径,促进网络安全教学单位与实战部门之间的合作共建,持续为培养、选拔.

2022-09-07

距离大会开幕

2022.5.24-5.26

北京·国家会议中心