本周，研究人员发布了这十年来，究竟有多少比例的漏洞遭利用的情况。

研究基于迄今为止最大规模的数据，结果发现，在2009年至2018年期间发现的总计7.6万个漏洞中，仅有4,183个漏洞遭在野利用。

更有意思的是，研究人员发现，公开 PoC 利用代码和利用尝试开始之间并不存在关联。

研究团队指出，在遭利用的 4,183 个漏洞中，仅有一半比例的漏洞利用代码遭公开。也就是说，缺少公开的 PoC 并不一定阻止攻击者利用某些漏洞。必要时，攻击者会自己构造利用代码。

另外，研究还发现多数遭在野利用的漏洞的 CVSS v2 评分极高，近一半的漏洞评分为9分或更高。

数据来源

该研究的数据编译自多个来源。

例如，所有安全缺陷、评分和漏洞特征都是从美国国家标准与技术研究所的国家漏洞数据库 (NVD) 中提取的。和在野出现的利用代码相关的数据源自 FortiGuard 实验室，利用证据收集自 SANS 互联网风暴中心、Secureworks CTU、Alienvault 的 OSSIM 元数据和 Reversing Labs 元数据。

编写的利用代码信息源自 Exploit DB、多个利用框架（Metasploit、D2 Security 公司的 Elliot Kit 和 Canvas 利用框架）、Contagio、Reversing 实验室和 Secureworks CTU，研究团队在2009年至2018年期间发现了9,726个 PoC。

另外，安全研究员通过 Kenna Security 公司获得从漏洞扫描程序信息派生的数百家公司（客户）网络扫描得到的每个漏洞的热度。

未来方向

研究人员希望通过迄今为止对安全缺陷及其利用的研究工作能够帮助企业排列好最想修复的漏洞的优先顺序，因为这些漏洞很可能遭攻击。

这项研究结果表明，漏洞的 CVSS v2 分值越高，其遭利用的可能性就越大，不管利用代码是否已遭公开皆是如此。

另外，遭攻击的漏洞数量是每20个就有1个遭利用，而非每100个有1个遭利用，这和此前的研究结论是不同的。

另外，该研究团队还希望自己的工作将为CVSS 整体框架增加关于某个漏洞遭利用的可能性信息，以更好地促进依靠 CVSS 评分的组织机构能够评估并排列好补丁的优先顺序。

研究人员在昨天波斯顿举办的2019年信息经济研讨会上公布了自己的研究成果《通过更好的利用预测改进漏洞修复工作》。

研究论文见：https://weis2019.econinfosec.org/wp-content/uploads/sites/6/2019/05/WEIS_2019_paper_53.pdf。

原文链接

https://www.zdnet.com/article/only-5-5-of-all-vulnerabilities-are-ever-exploited-in-the-wild/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。