Сколько уязвимостей действительно привело к атакам?
RAND, Виргинский институт и Cyentia Institute выяснили, что из 76 тыс. багов, выявленных за девять лет, только 4 183 эксплуатировались во вредоносных кампаниях. Это 5,5%.
Команда исследователей из Виргинского политехнического института, аналитического центра RAND и компании Cyentia Institute опубликовали результаты проведенного ими недавно исследования, которое показало, что на самом деле следует за сотней новостей о багах.
В период с 2009 по 2018 годы только 4 183 использовались в реальных атаках. К тому же, специалистам не удалось обнаружить прямую связь между публикацией PoC-кодов для уязвимостей в открытом доступе и началом попыток их эксплуатации. Эксплоиты в свободном доступе были только для половины. Это примерно 2091 уязвимости.
По шкале CVSSv2, которая оценивает степень опасности уязвимости, большая часть использованных получила 9-10 баллов. 10 баллов присваивают самым опасным, которые легко проэксплуатировать.
Исследователи надеются, что новые данные о риске эксплуатации той или иной уязвимости помогут улучшить эффективность фреймворка CVSS.
У Google для этого в мае был запущен проект, который позволяет отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям. Он называется 0Day ‘In the Wild’. Правда стоит помнить, что проект не распространяется на все уязвимости нулевого дня, а только на баги, охватываемые исследованиями команды Project Zero. Кроме того, проект не включает уязвимости в продуктах, срок поддержки которых был прекращен к тому времени, как был обнаружен баг, или проблемы, эксплуатировавшиеся в период, когда о них уже было известно, но патч еще не был выпущен.
Источник: securitylab.ru