据外媒报道,本周公布的一项新研究揭示了过去10年中实际利用的安全漏洞数量。据报道,这项被认为是迄今为止同类研究中最广泛的研究发现,在2009年至2018年发现的76,000个安全漏洞中,只有4,183个被利用。
更有趣的是,研究人员发现,在公共网站上发布PoC攻击代码与网络攻击企图之间没有相关性。
根据研究团队的数据,从2009年到2018年,在4183个安全漏洞中,只有一半是在公共网站上发现的。
这意味着公共PoC的缺乏并不一定会阻止攻击者利用某些漏洞——一些黑客会在必要时利用自己的漏洞。
严重缺陷使用最多。
指出外界利用的漏洞大多是安全漏洞,且都有较高的CVSSv2严重度评分(从1到10,其中10分分配给最危险、最脆弱的漏洞)。
研究团队表示:“近一半被利用的漏洞的CVSS评分为9分或更高。”
研究来源
据报道,这项研究的核心数据是从各种来源汇编的。例如,从NIST国家漏洞数据库(NVD)中提取了所有安全漏洞、分数和漏洞特征的列表。另一方面,与外部发现的攻击相关的数据是从防御工事实验室收集的,关于攻击的证据是从SANS互联网风暴中心、Secureworks CTU和Alienvault的OSS SIM元数据和反向实验室元数据收集的。关于编译的利用代码的信息来自利用数据库、利用框架(Metasploit、D2安全和画布利用框架的Elliot Kit)、Contagio、Reversing Labs和Secureworks CTU。研究团队发现,2009年至2018年发布的POC数量为9726个。
此外,通过jddzt Security,安全研究人员还可以从扫描数百个公司网络的漏洞扫描器的信息中获取每个漏洞的受欢迎程度。
将来的
研究人员希望他们对安全漏洞的研究能够帮助企业优先考虑他们首先想到的漏洞和最有可能受到攻击的漏洞。
这项研究表明,漏洞的CVSSv2得分越高,就越有可能被严重利用——无论利用代码是否开放。
此外,被利用的漏洞数量是1/20,而不是之前研究显示的1/10。
此外,研究团队还希望他们的工作将增强整个CVSS框架,并提供关于可能利用特定漏洞的新信息,从而帮助依赖CVSS分数的组织评估和优先修补,以提供更好的指导。