Группа исследователей из Политехнического университета Виргинии, а также компаний Cyentia и RAND,
При этом не найдено корреляции между публикацией прототипов эксплоита в открытом доступе и попытками эксплуатации уязвимости. Из всех известных исследователям фактов эксплуатации уязвимостей только в половине случаев для проблемы до этого в открытых источниках публиковался прототип эксплоита. Отсутствие прототипа эксплота не останавливает атакующих, которые при необходимости создают эксплоиты своими силами.
Из других выводов можно отметить востребованность для эксплуатации в основном уязвимостей, имеющих высокий уровень опасности по классификации CVSS. В почти половине атак применялись уязвимости с весом не менее 9.
Общее число опубликованных за рассмотренный период прототипов эксплоитов оценено в 9726. Использованные в исследовании данные об эксплоитах получены из
коллекций Exploit DB, Metasploit, D2 Security’s Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs и Secureworks CTU.
Информация об уязвимостях была получена из базы
Исследование проведено c целью определения оптимального баланса между применением обновлений при выявлении любых уязвимостей и устранением только самых опасных проблем. В первом случае обеспечивается высокая эффективность защиты, но требуются большие ресурсы на сопровождение инфраструктуры, которые тратятся в основном на исправление несущественных проблем. Во втором случае велик риск пропустить уязвимость, которая может быть использована для атаки. Исследование показало, что при принятии решения об установке обновления с устранением уязвимости не стоит полагаться на отсутствие опубликованного прототипа эксплоита и шанс эксплуатации напрямую зависит от уровня опасности уязвимости.
Avots: opennet.ru