Virginia Tech, Cyentia va RAND tadqiqotchilari guruhi,
Biroq, ekspluatatsiya prototiplarini jamoat mulkida nashr etish va zaiflikdan foydalanishga urinishlar o'rtasida hech qanday bog'liqlik topilmadi. Tadqiqotchilarga ma'lum bo'lgan zaifliklardan foydalanishning barcha faktlaridan faqat yarmida muammoning ochiq manbalarida nashr etilgan ekspluatatsiya prototipi bo'lgan. Ekspluatatsiya prototipining yo'qligi tajovuzkorlarni to'xtata olmaydi, agar kerak bo'lsa, o'zlari ekspluatatsiya yaratadilar.
Boshqa xulosalar, asosan, CVSS tasnifiga ko'ra yuqori xavf darajasiga ega bo'lgan zaifliklardan foydalanish talabini o'z ichiga oladi. Hujumlarning deyarli yarmi og'irligi kamida 9 bo'lgan zaifliklardan foydalangan.
Ko'rib chiqilayotgan davrda nashr etilgan ekspluatatsiya prototiplarining umumiy soni 9726 XNUMX taga baholandi
to'plamlar Exploit DB, Metasploit, D2 Security's Elliot Kit, Canvas Exploitation Framework, Contagio, Reversing Labs va Secureworks CTU.
Zaifliklar haqida ma'lumotlar ma'lumotlar bazasidan olingan
Tadqiqot har qanday zaifliklarni aniqlash va faqat eng xavfli muammolarni bartaraf etish uchun yangilanishlarni qo'llash o'rtasidagi optimal muvozanatni aniqlash uchun o'tkazildi. Birinchi holda, yuqori himoya samaradorligi ta'minlanadi, lekin infratuzilmani saqlash uchun katta resurslar talab qilinadi, ular asosan ahamiyatsiz muammolarni tuzatishga sarflanadi. Ikkinchi holda, hujum uchun ishlatilishi mumkin bo'lgan zaiflikni yo'qotish xavfi yuqori. Tadqiqot shuni ko'rsatdiki, zaiflikni yo'q qiladigan yangilanishni o'rnatishga qaror qilishda siz nashr etilgan ekspluatatsiya prototipining yo'qligiga tayanmasligingiz kerak va ekspluatatsiya ehtimoli bevosita zaiflikning zo'ravonlik darajasiga bog'liq.
Manba: opennet.ru