Virginia Tech, Cyentia жана RAND изилдөөчүлөрүнүн тобу,
Бирок, эксплуатациянын прототиптерин коомдук доменде жарыялоо менен алсыздыкты пайдалануу аракеттеринин ортосунда эч кандай байланыш табылган жок. Изилдөөчүлөргө белгилүү болгон аялуу жерлерди эксплуатациялоонун бардык фактыларынын ичинен маселенин жарымында гана мурда ачык булактарда жарыяланган эксплуатациянын прототиби болгон. Эксплойттун прототипинин жоктугу чабуулчуларды токтотпойт, алар керек болсо өз алдынча эксплойт түзүшөт.
Башка тыянактар CVSS классификациясына ылайык кооптуулуктун жогорку деңгээлине ээ болгон аялуу жерлерди эксплуатациялоо талабын камтыйт. Кол салуулардын дээрлик жарымы салмагы кеминде 9 болгон аялуу жерлерди колдонушкан.
Каралып жаткан мезгилде жарыяланган эксплуатациялардын прототиптеринин жалпы саны 9726 XNUMX деп бааланган
коллекциялар Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs жана Secureworks CTU.
Алсыздыктар тууралуу маалымат базадан алынды
Изилдөө ар кандай кемчиликтерди аныктоо жана эң коркунучтуу көйгөйлөрдү жоюу үчүн жаңыртууларды колдонуунун ортосундагы оптималдуу балансты аныктоо үчүн жүргүзүлгөн. Биринчи учурда, коргоонун жогорку натыйжалуулугу камсыз кылынат, бирок инфраструктураны кармап туруу үчүн чоң ресурстар талап кылынат, алар негизинен маанилүү эмес көйгөйлөрдү оңдоого жумшалат. Экинчи учурда, чабуул үчүн колдонула турган алсыздыкты өткөрүп жиберүү коркунучу жогору. Изилдөө көрсөткөндөй, алсыздыкты жок кылган жаңыртууну орнотууну чечүүдө сиз жарыяланган эксплуатациянын прототипинин жоктугуна ишенбешиңиз керек жана эксплуатация мүмкүнчүлүгү алсыздыктын оордук деңгээлинен түздөн-түз көз каранды.
Source: opennet.ru