Сводная группа исследователей из Cyentia, RAND Corporation и Virginia Tech подсчитала, что практическое применение в руках преступников находит малое количество уязвимостей, зато большинство из них оцениваются в 9-10 баллов по десятибалльной шкале CVSS.

Данные для столь масштабной аналитики были собраны из множества источников. Так, информацию об уязвимостях, степени их опасности и характеристиках собрали из Национальной базы данных уязвимостей NIST. Информацию об эксплоитах, встречающихся на практике, взяли у FortiGuard Labs, а данные о признаках эксплуатации предоставили SANS Internet Storm Center, Secureworks CTU, Alienvault OSSIM, а также ReversingLabs. С помощью Kenna Security исследователи также получили данные о распространенности каждой уязвимости, полученные в результате сканирования сотен корпоративных сетей.

В свою очередь, информацию об уже существующих эксплоитах и их коде черпали с Exploit DB, а также из Metasploit, D2 Security’s Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs и Secureworks CTU. В итоге эксперты изучили 9726 эксплоитов, написанных и опубликованных с 2008 по 2018 год.

Согласно докладу экспертов, из 76 000 уязвимостей, обнаруженных в 2009-2018 годах, лишь 4183 проблемы фактически эксплуатировали преступники. По сути, атакам подвергается каждая 20 уязвимость, но не каждая 100, как гласили прошлые исследования на эту тему.

Интересен и тот факт, что исследователи не выявили прямой взаимосвязи между опубликованными в открытых источниках экалоитами и числом попыток эксплуатации уязвимостей. Это означает, что отсутствие публично доступного PoC-эксплоита не останавливает преступников, и если нужно, хакеры создают собственные инструменты.

Статистика, собранная экспертами, гласит, что более половины используемых злоумышленниками уязвимостей оцениваются в 9 баллов по шкале CVSS и выше. Фактически, чем выше балл CVSS для уязвимости, тем выше вероятность того, что проблема подвергнется интенсивной эксплуатации, и неважно, доступен эксплоит публично или же нет.

Исследователи надеются, что их работа по составлению крупнейшего на сегодняшний день исследования уязвимостей и эксплоитов для них поможет компаниям правильно расставить приоритеты и понять, какие уязвимости нужно исправить первыми, и какие именно бреши могут подвергнутся атаке.

1 комментарий

  1. Аватар

    omepta.cc

    07.06.2019 at 11:54

    по теме , многие уязвимости в одних руках,
    а статистику делают киддисы ,в т.ч. из АНБ =))
    не по теме.
    почему пишут ТЫ залогинен,леща?

Оставить мнение