Un team di ricercatori di Virginia Tech, Cyentia e RAND, risultati dell'analisi del rischio durante l'applicazione di varie strategie di correzione della vulnerabilità. Studiando 76mila vulnerabilità riscontrate dal 2009 al 2018, è emerso che solo 4183 di esse (il 5.5%) sono state utilizzate per effettuare veri e propri attacchi. La cifra risultante è cinque volte superiore alle previsioni precedentemente pubblicate, che stimavano il numero di problemi sfruttabili a circa l’1.4%.
Tuttavia non è stata trovata alcuna correlazione tra la pubblicazione di prototipi di exploit di dominio pubblico e i tentativi di sfruttare la vulnerabilità. Di tutti i fatti di sfruttamento delle vulnerabilità noti ai ricercatori, solo nella metà dei casi relativi al problema il prototipo dell'exploit era stato pubblicato in precedenza in fonti aperte. La mancanza di un prototipo di exploit non ferma gli aggressori che, se necessario, creano exploit da soli.
Altre conclusioni includono la richiesta di sfruttamento principalmente delle vulnerabilità che presentano un elevato livello di pericolo secondo la classificazione CVSS. Quasi la metà degli attacchi ha utilizzato vulnerabilità con un peso pari ad almeno 9.
Il numero totale di prototipi di exploit pubblicati durante il periodo in esame è stato stimato a 9726 XNUMX. I dati sugli exploit utilizzati nello studio sono stati ottenuti da
raccolte Exploit DB, Metasploit, Elliot Kit di D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs e Secureworks CTU.
Le informazioni sulle vulnerabilità sono state ottenute dal database (Database nazionale delle vulnerabilità). I dati operativi sono stati compilati utilizzando le informazioni di FortiGuard Labs, SANS Internet Storm Center, Secureworks CTU, OSSIM di Alienvault e ReversingLabs.
Lo studio è stato condotto per determinare l'equilibrio ottimale tra l'applicazione degli aggiornamenti per identificare eventuali vulnerabilità e l'eliminazione solo dei problemi più pericolosi. Nel primo caso è garantita un'elevata efficienza di protezione, ma per mantenere l'infrastruttura sono necessarie ingenti risorse, che vengono spese principalmente per correggere problemi non importanti. Nel secondo caso il rischio di perdere una vulnerabilità che può essere sfruttata per un attacco è elevato. Lo studio ha dimostrato che quando si decide di installare un aggiornamento che elimini una vulnerabilità, non si dovrebbe fare affidamento sulla mancanza di un prototipo di exploit pubblicato e la possibilità di sfruttamento dipende direttamente dal livello di gravità della vulnerabilità.
Fonte: opennet.ru