Վիրջինիա Tech, Cyentia և RAND-ի հետազոտողների թիմը,
Այնուամենայնիվ, ոչ մի փոխկապակցվածություն չի հայտնաբերվել հանրային տիրույթում շահագործման նախատիպերի հրապարակման և խոցելիությունը շահագործելու փորձերի միջև: Խոցելիության օգտագործման բոլոր փաստերից, որոնք հայտնի են հետազոտողներին, խնդրի միայն կեսում էր նախկինում բաց աղբյուրներում հրապարակված շահագործման նախատիպը: Exploit-ի նախատիպի բացակայությունը չի կանգնեցնում հարձակվողներին, որոնք, անհրաժեշտության դեպքում, ինքնուրույն են ստեղծում շահագործում:
Այլ եզրակացությունները ներառում են հիմնականում խոցելի վայրերի շահագործման պահանջը, որոնք ըստ CVSS դասակարգման ունեն բարձր վտանգի մակարդակ: Գրոհների գրեթե կեսն օգտագործել է խոցելիություն՝ առնվազն 9 քաշով:
Վերանայվող ժամանակահատվածում հրապարակված շահագործման նախատիպերի ընդհանուր թիվը գնահատվել է 9726
հավաքածուներ Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs և Secureworks CTU:
Խոցելիության մասին տեղեկատվությունը ստացվել է տվյալների բազայից
Հետազոտությունն իրականացվել է ցանկացած խոցելիությունը բացահայտելու համար թարմացումների կիրառման և միայն ամենավտանգավոր խնդիրները վերացնելու օպտիմալ հավասարակշռությունը որոշելու համար: Առաջին դեպքում ապահովված է պաշտպանության բարձր արդյունավետություն, սակայն ենթակառուցվածքները պահպանելու համար պահանջվում են մեծ ռեսուրսներ, որոնք հիմնականում ծախսվում են անկարեւոր խնդիրների շտկման վրա։ Երկրորդ դեպքում կա խոցելիությունը բաց թողնելու մեծ ռիսկ, որը կարող է օգտագործվել հարձակման համար: Ուսումնասիրությունը ցույց է տվել, որ խոցելիությունը վերացնող թարմացում տեղադրելու որոշում կայացնելիս չպետք է ապավինեք հրապարակված շահագործման նախատիպի բացակայությանը, և շահագործման հնարավորությունն ուղղակիորեն կախված է խոցելիության աստիճանից:
Source: opennet.ru