Kebijakan pengungkapan 90 hari sudah mati

 (blog.himanshuanand.com)
1 poin oleh GN⁺ 3 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Pengungkapan bertanggung jawab 90 hari kehilangan efek perlindungannya karena LLM meningkatkan jumlah penemu dan kecepatan pembuatan exploit
  • Dalam 6 minggu, 11 orang melaporkan bug verifikasi pembayaran kritis yang sama, menunjukkan penemuan ulang secara bersamaan
  • Diff patch React diubah menjadi exploit yang berfungsi hanya dalam 30 menit dengan bantuan AI
  • Copy Fail dan Dirty Frag berujung pada PoC publik dan eksploitasi nyata, sehingga embargo runtuh
  • Isu kritis harus ditangani segera sebagai P0, dan LLM perlu dimasukkan ke dalam pipeline keamanan

Latar belakang runtuhnya model pengungkapan bertanggung jawab 90 hari

  • Periode pengungkapan bertanggung jawab 90 hari dibuat dengan asumsi lingkungan di mana penemu bug jarang dan pengembangan exploit berjalan lambat
  • Dalam 12 bulan terakhir, alat yang digunakan tim keamanan, penyerang, dan peneliti menjadi lebih cerdas dengan kecepatan yang hampir sama, dan LLM dinilai memangkas waktu penemuan kerentanan serta pengembangan exploit hingga mendekati nol
  • Dalam model era 2019, seperti gaya Google Project Zero, vendor diberi waktu 90 hari dengan asumsi berikut selama periode itu
    • Hampir tidak ada orang lain yang menemukan bug yang sama
    • Kalaupun orang lain menemukannya, akan butuh waktu
    • Vendor memiliki cukup waktu awal untuk menulis patch
    • Setelah patch dipublikasikan, penyerang akan memerlukan beberapa hari atau minggu untuk melakukan reverse engineering dan membuat exploit yang berfungsi
  • Semua asumsi ini ternyata salah, dan jendela 90 hari berubah menjadi struktur yang bukan melindungi pengguna, tetapi memberi waktu unggul 90 hari kepada pihak yang sudah memiliki bug tersebut

Kasus 1: 11 orang melaporkan bug kritis yang sama dalam 6 minggu

  • Pada akhir April, sebuah bug serius dilaporkan ke satu perusahaan, tetapi tim triage menjawab bahwa bug itu pertama kali dilaporkan pada Maret dan pelapor tersebut adalah pelapor ke-11
  • Bentuk bug-nya adalah setelah membeli barang di situs web, penyerang bisa mengirim kembali respons yang telah dimanipulasi sendiri ke server, dan karena tidak ada verifikasi tanda tangan atas respons itu, server menerimanya begitu saja
    • Misalnya, barang seharga 5.000 dolar bisa dibeli seharga 0 dolar, atau pembelian bisa diselesaikan tanpa pembayaran nyata
  • Fakta bahwa 11 orang berbeda menemukan bug kritis yang sama dalam sekitar 6 minggu menunjukkan pola para pemburu bug berbantuan LLM yang hampir bersamaan mengerucut ke kerentanan yang sama
  • Seorang kenalan dari BlueWater CTF sudah menyoroti beberapa bulan sebelumnya bahwa reporter dan workflow yang tidak saling terkait mulai berkumpul pada bug yang sama dengan bantuan LLM
  • Pihak triage juga mengamati fenomena yang sama
    • @d0rsky menulis bahwa ketika kerentanan baru ditemukan lewat prompt LLM, skill, dan otomasi, laporan duplikat dengan akar masalah yang sama akan berdatangan dalam hitungan hari
    • Jika peneliti bisa mereproduksinya secepat ini, maka kekhawatiran bahwa black hat bisa melakukan hal yang sama sebelum patch dirilis pun membesar
  • Jika 10 orang melaporkannya, bisa jadi ada orang lain yang tidak melaporkannya, dan LLM yang sama terbuka bukan hanya bagi peneliti yang berniat baik, tetapi juga bagi siapa pun
  • Kredit CVE dan bug bounty hanya bisa diberikan kepada 1 orang, sehingga 9 orang sisanya atau orang yang sejak awal tidak melapor tidak terikat pada jam 90 hari
  • Jendela pengungkapan 90 hari dalam situasi ini tidak melindungi pengguna, melainkan menjadi alat yang memberi waktu tambahan kepada pihak yang sudah memiliki bug tersebut

Kasus 2: Dari patch React ke exploit yang berfungsi dalam 30 menit

  • React menambal beberapa isu keamanan dan menerbitkan posting blog publik
  • Dibutuhkan 30 menit untuk membaca patch dan membuat exploit yang berfungsi terhadap aplikasi uji lokal
  • Isu publik tersebut adalah denial-of-service (DoS), dan AI menangani sebagian besar pekerjaan memahami diff, mengidentifikasi jalur kode yang rentan, dan menulis PoC
  • Di masa lalu, mengubah patch publik menjadi exploit n-day yang berfungsi membutuhkan reverse engineer berpengalaman selama beberapa hari hingga beberapa minggu, dan selisih waktu ini menjadi jaring pengaman agar admin bisa memperbarui sistem
  • Kini bug sederhana bisa memakan waktu beberapa menit, dan bug kompleks pun bisa turun menjadi hitungan jam, sehingga reverse engineer berpengalaman tidak lagi wajib
  • Harus diasumsikan bahwa begitu patch keluar, exploit juga sudah ada, dan pendekatan menunda deployment hingga jendela maintenance berikutnya sudah tidak cocok

Kasus 3: Copy Fail dan Dirty Frag yang meledak beruntun di kernel Linux

  • Dalam 2 minggu terakhir, dua kerentanan kritis muncul berurutan di kernel Linux, dan keduanya memiliki exploit publik serta berdampak pada distro utama

  • Copy Fail

    • Pada 29 April, Xint Code mempublikasikan Copy Fail
    • Xint Code adalah tim di balik Theori, yang diperkenalkan sebagai tim pemenang DEF CON CTF sebanyak 9 kali
    • Copy Fail adalah CVE-2026-31431, dijelaskan sebagai cacat logika yang lurus dan sederhana di subsistem crypto kernel
    • Tanpa race condition, 100% andal, dan diklaim bisa memperoleh hak akses root pada semua distro Linux yang dirilis sejak 2017 dengan skrip Python 732 byte
    • Distro besar seperti Ubuntu, RHEL, Amazon Linux, dan SUSE terdampak
    • Kerentanan ini ditemukan dengan AI yang memindai otomatis subsistem kernel crypto/ selama sekitar 1 jam, dan disebut telah terekspos selama 9 tahun
    • Analisis teknis ada di tulisan Xint
    • Patch dirilis melalui commit mainline a664bf3d603d, dan ada pula mitigasi berupa menonaktifkan modul algif_aead
    • Setelah itu, dilaporkan ada indikasi penyerang Iran memanfaatkan kerentanan ini untuk membobol server Ubuntu dan memanfaatkannya kembali sebagai node kampanye DDoS
    • Hanya butuh beberapa hari dari kerentanan eskalasi hak akses kernel yang ditemukan AI hingga PoC publik dan weaponization oleh penyerang tingkat negara

  • Dirty Frag

    • Sekitar seminggu kemudian, pada 7 Mei, Hyunwoo Kim(@v4bel) mempublikasikan Dirty Frag
    • Dirty Frag adalah kerentanan yang merangkai CVE-2026-43284 dan CVE-2026-43500
    • Kerentanan ini menggabungkan dua bug di modul jaringan IPSec ESP (esp4/esp6) dan RxRPC pada kernel
    • Masih satu keluarga bug seperti Copy Fail dan Dirty Pipe, menggunakan teknik page-cache corruption yang sama, tetapi jalur serangannya berbeda
    • Dirty Frag tetap berfungsi meski mitigasi Copy Fail diterapkan
      • Walaupun algif_aead dimasukkan ke blacklist, Dirty Frag tidak menggunakan modul tersebut
    • Diklaim bisa secara deterministik naik dari pengguna tanpa hak istimewa ke root, dan berfungsi di distro utama seperti Ubuntu, RHEL 10.1, openSUSE, CentOS Stream, AlmaLinux, dan Fedora 44
    • Kompilasi dan eksekusi bisa dilakukan dengan perintah satu baris

  • Proses pengungkapan Dirty Frag dan runtuhnya embargo

    • Hyunwoo Kim melaporkannya ke [email protected] pada 29–30 April, dan mengirim patch secara publik
    • Pada 7 Mei, ia berkoordinasi dengan mailing list linux-distros dan disepakati embargo 5 hari
    • Pada hari yang sama, dalam hitungan jam, pihak ketiga yang tidak terkait mempublikasikan detail exploit untuk kerentanan ESP, sehingga embargo pun runtuh
    • Setelah berdiskusi dengan para maintainer distro, Hyunwoo mempublikasikan analisis lengkap Dirty Frag, kode exploit, dan PoC yang berfungsi
    • Pada saat itu, tidak ada satu pun distro Linux yang menyediakan patch
    • Sampai saat ini, hanya CVE-2026-43284, yaitu sisi ESP, yang memiliki perbaikan mainline, sedangkan CVE-2026-43500, yaitu komponen RxRPC, disebut belum memiliki patch upstream
    • Ubuntu, Red Hat, dan Tenable telah menerbitkan advisori masing-masing

  • Eksploitasi nyata Dirty Frag

    • Tim Microsoft Defender mengonfirmasi adanya eksploitasi nyata terbatas dalam 24 jam setelah publikasi
    • Penyerang dilaporkan memperoleh akses SSH, mendistribusikan biner ELF, mendapatkan hak root dengan su, mengubah konfigurasi autentikasi, menghapus file sesi, dan melakukan lateral movement
    • CTS(@gf_256) merangkum situasi itu dengan kalimat “responsible disclosure is dead🤦”

Hal-hal yang benar-benar mati

  • Jendela pengungkapan 90 hari bukan lagi masalah yang bisa diperbaiki, melainkan model yang sudah berakhir
  • Model ini cocok untuk dunia ketika penemu kerentanan jarang dan pengembangan exploit lambat, tetapi LLM membuat penemu menjadi banyak dan pengembangan exploit menjadi cepat
  • Jika 10 orang yang tidak saling terkait bisa menemukan bug yang sama dalam 6 minggu, dan AI bisa mengubah patch diff menjadi exploit yang berfungsi dalam 30 menit, maka jendela 90 hari tidak lagi melindungi siapa pun
  • Copy Fail bergerak dari pemindaian AI ke PoC publik hingga weaponization oleh penyerang tingkat negara hanya dalam beberapa hari
  • Dirty Frag membuat embargo runtuh dalam hitungan jam karena pihak ketiga secara independen menemukan keluarga bug yang sama
  • Dalam lingkungan di mana kerentanan yang sama ditemukan ulang secara independen dan bersamaan oleh banyak peneliti serta alat AI, koordinasi pengungkapan sulit dipertahankan
  • Siklus patch bulanan juga sudah berakhir
    • Jendela 30 hari antara kerentanan dan perbaikannya berasumsi bahwa penyerang bergerak lebih lambat daripada release train
    • Dalam situasi saat Microsoft melihat eksploitasi nyata Dirty Frag dalam 24 jam, jendela maintenance bulanan bukan lagi margin aman, melainkan jendela serangan
  • Pendekatan menunggu advisori juga sudah berakhir
    • Saat defender membaca deskripsi CVE, penyerang sedang membaca git log --diff-filter=M
    • Advisori adalah keluaran downstream, sedangkan patch diff adalah sinyalnya

Respons yang harus diubah industri

  • Kesimpulannya, semua isu keamanan kritis harus diperlakukan sebagai P0 dan segera diperbaiki
  • Bukan “dalam 24 jam”, “di sprint berikutnya”, atau “setelah penilaian dampak”, melainkan pada tingkat menghentikan pekerjaan yang sedang berjalan dan langsung memperbaikinya
  • Ada alasan mengapa deployment produksi rumit dan membutuhkan change management, tetapi lanskap ancaman tidak menunggu prosedur change management

  • Vendor

    • Waktu mulai berjalan sejak laporan bug kritis masuk
    • Patokannya bukan saat triage selesai atau saat engineering mengambil alih, tetapi saat laporan diterima
    • Jika seseorang sudah melaporkannya, harus diasumsikan 10 orang lain sudah memilikinya dan setidaknya 1 di antaranya tidak bersahabat

  • Peneliti

    • Jangan menahan bug kritis terlalu lama, dan dorong jendela pengungkapan sesingkat mungkin
    • Jika vendor tidak bisa memperbaikinya dalam 1 minggu, itu bukan masalah pengungkapan, melainkan masalah vendor
    • Kesopanan lama berupa “memberi waktu” hanya masuk akal ketika Anda adalah satu-satunya penemu, tetapi sekarang besar kemungkinan Anda bukan satu-satunya penemu

  • Manajemen kerentanan

    • Manajemen kerentanan harus berjalan secara real-time
    • “Scan mingguan, triage di sprint, patch sesuai siklus” adalah timeline ketika penyerang sudah pergi lebih dulu
    • Waktu respons maksimum baru untuk isu kritis bukan lagi hitungan hari, melainkan hitungan jam, dan itu pun mungkin masih terlalu lambat

Mengapa blue team harus memasukkan LLM ke pipeline pertahanan

  • Penyerang sudah mengintegrasikan LLM ke pipeline exploit, dan pihak bertahan harus bergerak dengan kecepatan yang sama
  • LLM harus diintegrasikan pada saat code push
    • Pada setiap pull request, merge, dan deploy, review keamanan berbantuan AI harus dijalankan sebagai bagian dari pipeline CI
    • Ini harus berjalan pada saat push seperti linter dan unit test, bukan audit triwulanan atau pemeriksaan setelah kejadian
    • Jika ada kerentanan, itu harus ditangkap sebelum mencapai produksi, dan biaya memperbaikinya saat review PR jauh lebih rendah daripada setelah CVE dipublikasikan
  • LLM juga harus diintegrasikan ke analisis patch
    • Saat dependensi upstream merilis patch keamanan, pipeline harus otomatis mengambil diff, menganalisis perubahannya, menentukan apakah codebase internal terdampak, dan menaikkan flag
    • Ini harus terjadi secara otomatis dalam hitungan menit setelah patch masuk ke repositori publik, tanpa bergantung pada manusia membaca mailing list lalu membuka tiket Jira
    • Jika Xint Code bisa menemukan Copy Fail dengan pemindaian otomatis 1 jam, maka dependensi internal juga harus dipindai dengan cara yang sama
  • LLM juga harus dipakai untuk pemindaian dependensi
    • Supply chain hanya sekuat dependensi transitif yang paling lemah
    • Pemindai dependensi berbasis AI dapat melacak dampak kerentanan dalam dependency tree, menandai versi yang terdampak, dan bahkan menyarankan jalur upgrade
    • Ini harus berjalan terus-menerus, bukan mingguan
  • Patch harus diuji dengan AI sebelum dirilis
    • Jika seperti kasus React, LLM bisa mengubah patch menjadi exploit dalam 30 menit, maka defender harus memverifikasinya terlebih dahulu dengan alat yang sama sebelum patch dipublikasikan
    • Harus dipastikan apakah patch benar-benar memperbaiki masalah dan tidak menimbulkan masalah baru
    • Ini juga perlu digunakan untuk membuat regression test dan memeriksa apakah pola yang sama ada di bagian lain codebase
  • Jendela antara “kerentanan ada” dan “kerentanan dieksploitasi” mendekati nol, dan pihak bertahan juga harus mengotomatisasi dengan kecepatan yang sama seperti pihak penyerang
  • Lebih banyak zero-day akan dieksploitasi lebih cepat di lingkungan nyata, dan alasannya adalah alat yang sama, hambatan masuk yang lebih rendah, lebih banyak penemu, dan timeline yang lebih pendek
  • Tim yang akan selamat dari transisi ini adalah tim yang menjadikan AI sebagai komponen kelas satu dalam pipeline keamanan sebelum dipaksa oleh keadaan

Kesimpulan

  • Realitas baru adalah admin sistem yang membaca advisori Dirty Frag harus menghadapi kondisi di mana patch belum ada, exploit sudah dipublikasikan, Microsoft sudah melihat eksploitasi nyata, mitigasinya adalah menonaktifkan modul IPSec, dan ia harus menangani 400 server
  • Kebijakan pengungkapan 90 hari, siklus patch bulanan, dan asumsi bahwa ada jeda waktu antara pengungkapan dan eksploitasi semuanya sudah mati
  • Yang masih tersisa adalah kemampuan untuk bergerak cepat, mengotomatisasi secara agresif, dan memperlakukan bug kritis seperti keadaan darurat sungguhan
  • Gelombang AI yang meruntuhkan model lama ini sekaligus memungkinkan model baru seperti patch cepat, pemindaian otomatis, threat intelligence real-time, dan code review berbantuan AI
  • Alatnya sudah ada; yang menjadi inti adalah apakah defender akan memakainya lebih dulu daripada penyerang, dan saat ini penyerang sedang unggul dalam perlombaan itu

Bacaan terkait

1 komentar

 
GN⁺ 3 jam lalu
Pendapat Lobste.rs

  • Mau tak mau saya harus setuju. Di perusahaan kami juga pernah meneliti topik ini, dan waktu dari patch ke exploit nyaris seketika

  • Kebijakan pengungkapan yang bertanggung jawab dari awal memang cuma fiksi yang pura-pura dipercaya orang demi sopan santun. Sejak awal hanya ikut arus suasana, dan alat penemuan kerentanan berbasis LLM cuma membongkar kenyataan itu

  • Cukup ironis juga bahwa tulisan ini sendiri terasa seperti ditulis LLM

    • Masuk akal juga. Kalau punya ide orisinal, harus dipublikasikan sebelum orang lain melakukannya. Berpikir kritis dan refleksi diri sudah mati, dan kalau 39 menit setelah dapat ide belum juga diposting ke blog, orang lain akan lebih dulu :P
    • Buat saya tidak begitu. Gaya penulisan seperti ini sudah lama ada di tulisan teknis sebelum era LLM, dan LLM utama biasanya menulis dengan cara yang agak berbeda dari artikel ini
    • Terasa seperti iklan yang menjual ketakutan
    • Entah baik atau buruk, sekarang memang rasanya semuanya mengalir ke arah seperti ini

  • Mungkin yang benar-benar mati adalah era program C butik buatan tangan ala pengrajin yang dipakai untuk situasi mission-critical