研究:超80%漏洞获得CVE编号前就公布了利用代码

  • A+
所属分类:安全闲碎

研究:超80%漏洞获得CVE编号前就公布了利用代码

随着补丁的发布,机器被黑的可能性就变大了,因此建议用户在补丁发布后尽快更新和修复。


Exploit Database


研究:超80%漏洞获得CVE编号前就公布了利用代码

Exploit Database 是最大的公开漏洞利用库。截至目前,Exploit Database中有45450个漏洞利用。图1左是按照漏洞利用类型分类的漏洞利用数和公布时间,图1右是按照平台分布的漏洞利用。统计数据表明web应用是2003之后最流行的漏洞利用。

研究:超80%漏洞获得CVE编号前就公布了利用代码

图1(左)按照漏洞利用类型分类的漏洞利用数和公布时间

     (右)按照平台分布的漏洞利用


图2是CVSS 2.0评分和漏洞利用的严重等级。49%的漏洞利用为严重等级为high(CVSS >=7),45%的漏洞利用为严重等级为medium(7>CVSS>=4)。

研究:超80%漏洞获得CVE编号前就公布了利用代码

图2. 2000年后公布的漏洞按严重等级划分

漏洞、补丁和漏洞利用之间的时间差


研究:超80%漏洞获得CVE编号前就公布了利用代码


为更好地理解公开漏洞利用的影响,研究人员分析了漏洞利用和相关的CVE编号。此外,还有的漏洞利用没有对应的CVE编号,有些漏洞利用的CVE编号可能还没有公布。目前,Exploit Database中有11079(约26%)的漏洞利用有对应的CVE编号。本研究只关注那些有CVE编号的公开漏洞利用,并分析了漏洞发现、公开漏洞利用以及发布补丁的时间。


图3 是漏洞发现到公开CVE编号的时间线。精确的漏洞发现时间一般是不知道的,但分配CVE-ID的时间和CVE在CVE数据库中发布的时间是可以查到的。一般来说,CVE公布的时间就在厂商发布补丁之后的。一旦补丁发布,攻击者就可以通过逆向补丁来恢复出漏洞。从中可以看出,大多数的漏洞利用开发和公布的时间在补丁发布后的一周内。一些厂商可能会选择延迟CVE发布的时间来给用户更多的时间去更新补丁。


当CVE正式公布后,与漏洞相关的信息就会全部公开。此时,安全厂商开始开发漏洞签名和保护策略。大多数的攻击者也开始进行漏洞利用。在这场攻防对抗的游戏中,速度决定成败。也就是说CVE公布的时间、补丁和漏洞利用发布的时间对安全来说都是非常重要的。


研究:超80%漏洞获得CVE编号前就公布了利用代码

图3. 漏洞发现/公布、补丁发布和漏洞利用公布的时间

研究:超80%漏洞获得CVE编号前就公布了利用代码

图4. 补丁发布后几周内漏洞利用公布的数量


图4是补丁发布后每周漏洞利用公布的数量。Week 1表示漏洞补丁发布后1周内漏洞利用公布的数量。对0 day漏洞,补丁发布日期前公布漏洞利用的week为负值。因为漏洞补丁发布的时间不在Exploit Database和CVE库中,因此研究人员对2015年以来的500个高危漏洞利用作为样本进行了分析。分析发现,14%的漏洞利用在补丁发布前公开,23%的漏洞利用是在补丁发布后1周内公开的,有50%的漏洞利用是在补丁发布后一个月公开的。平均情况下,漏洞利用是在补丁发布后37天公开的。


图5是CVE公布后几周内漏洞利用公开的数量。与图4类似,漏洞利用公布时间早于CVE编号发布时间的week数为负。研究人员发现,有80%的漏洞利用公布时间早于CVE发布时间。一般来说,漏洞利用的发布时间比CVE的发布时间早23天。此外,还有75%的漏洞利用没有对应的CVE编号。


研究人员分析CVE数据库后发现,并不是所有的CVE都是在补丁发布后立刻公布的。因此,CVE发布后,漏洞利用已经发布了,这也说明攻击者比安全研究人员快一步。

研究:超80%漏洞获得CVE编号前就公布了利用代码

图 5. CVE公布后几周内漏洞利用公开的数量


CVE编号分配后,CVE的状态就会变成reserved(预留)。预留的CVE的详细信息在CVE官方发布后不会公开。截至目前,研究人员分析了CVE列表中的177043条记录,并计算了预留的CVE数。


图6是1999年以来公布的CVE和预留CVE数量。平均来看,在CVE-ID分配40天后,CVE就会公布。但仍有超过10000个CVE的预留状态超过2年。这表明漏洞发现和CVE公布之间有很长的时间延迟。虽然有很多厂商会在补丁发布后尽快公布CVE,但仍有厂商没有及时更新CVE 状态。这些数也解释了为什么又这么多的漏洞利用在CVE官方发布之前就公开了。


研究:超80%漏洞获得CVE编号前就公布了利用代码

图6. 公布的CVE和预留的CVE数量(按年)

结论


研究:超80%漏洞获得CVE编号前就公布了利用代码

研究人员分析的这45450个公开的漏洞利用只是漏洞利用中的一小部分。许多漏洞利用其实并没有公开,只私人拥有或在黑市交易。研究中并没有将这些数量纳入。研究再次确认了及时修复补丁和更新的重要性。随着补丁的发布,机器被黑的可能性就变大了,因此建议用户在补丁发布后尽快更新和修复。


参考及来源:

https://unit42.paloaltonetworks.com/state-of-exploit-development/

转自:嘶吼roartalk



本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。

研究:超80%漏洞获得CVE编号前就公布了利用代码
安全帮®大讲堂经典回顾


大讲堂—浅析《信息安全保障》

大讲堂—速读《网络安全法》

大讲堂—分布式流处理平台:KAFKA

大讲堂—网络协议安全,这些你不可不知

大讲堂—当威胁检测技术跟上了AI的脚步

大讲堂—企业求生之道:如何有效进行安全风险管理

大讲堂—逆向分析技术知多少?

大讲堂—关于Spark的那些事

大讲堂—浅析Hadoop!

大讲堂—MyBatis简介与入门

大讲堂—LSTM算法原理及应用

研究:超80%漏洞获得CVE编号前就公布了利用代码


关于安全帮®


安全帮®,是中国电信网络与信息安全研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系方式:微信公众号留言或联系客服QQ3025437891




研究:超80%漏洞获得CVE编号前就公布了利用代码

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: