Une équipe de chercheurs de Virginia Tech, Cyentia et RAND, résultats de l’analyse des risques lors de l’application de diverses stratégies de correction de vulnérabilité. Après avoir étudié 76 2009 vulnérabilités découvertes entre 2018 et 4183, il a été révélé que seules 5.5 1.4 d'entre elles (XNUMX %) ont été utilisées pour mener de véritables attaques. Le chiffre qui en résulte est cinq fois supérieur aux prévisions publiées précédemment, qui estimaient le nombre de problèmes exploitables à environ XNUMX %.
Cependant, aucune corrélation n'a été trouvée entre la publication de prototypes d'exploit dans le domaine public et les tentatives d'exploitation de la vulnérabilité. Parmi tous les faits d'exploitation des vulnérabilités connus des chercheurs, seulement dans la moitié des cas, le problème était un prototype de l'exploit publié auparavant dans des sources ouvertes. L’absence de prototype d’exploit n’arrête pas les attaquants qui, si nécessaire, créent eux-mêmes des exploits.
D'autres conclusions incluent la demande d'exploitation principalement de vulnérabilités qui présentent un niveau de danger élevé selon la classification CVSS. Près de la moitié des attaques utilisaient des vulnérabilités d’un poids d’au moins 9.
Le nombre total de prototypes d'exploits publiés au cours de la période sous revue a été estimé à 9726 XNUMX. Les données sur les exploits utilisés dans l'étude ont été obtenues à partir de.
collections Exploit DB, Metasploit, Elliot Kit de D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs et Secureworks CTU.
Les informations sur les vulnérabilités ont été obtenues à partir de la base de données (Base de données nationale sur la vulnérabilité). Les données opérationnelles ont été compilées à l'aide des informations provenant de FortiGuard Labs, de SANS Internet Storm Center, de Secureworks CTU, d'Alienvault's OSSIM et de ReversingLabs.
L'étude a été menée pour déterminer l'équilibre optimal entre l'application de mises à jour pour identifier les vulnérabilités et l'élimination uniquement des problèmes les plus dangereux. Dans le premier cas, une efficacité de protection élevée est assurée, mais la maintenance de l'infrastructure nécessite des ressources importantes, qui sont principalement consacrées à la correction de problèmes sans importance. Dans le second cas, il existe un risque élevé de manquer une vulnérabilité pouvant être utilisée pour une attaque. L'étude a montré que lorsqu'on décide d'installer une mise à jour qui élimine une vulnérabilité, il ne faut pas se fier à l'absence d'un prototype d'exploit publié et que les chances d'exploitation dépendent directement du niveau de gravité de la vulnérabilité.
Source: opennet.ru