Haqiqiy hujumlarda zaifliklarning atigi 5,5 foizidan foydalaniladi
2009 yildan 2018 yilgacha aniqlangan 76 000 ta xatodan faqat 4 183 tasi zararli kampaniyalarda foydalanilgan.
Virginia Tech, RAND tahlil markazi va Cyentia instituti tadqiqotchilarining qo’shma jamoasi so’nggi o’n yil ichida aniqlangan qancha zaifliklarning haqiqiy dunyo hujumlarida ishlatilganiga oydinlik kiritadigan ajoyib tadqiqot natijalarini e’lon qildi. Ma’lum bo‘lishicha, 2009-2018 yillar davomida aniqlangan 76 000 ta xatoning atigi 4 183 tasi zararli kampaniyalarda foydalanilgan. Bundan tashqari, tadqiqotchilar zaifliklar uchun kontseptsiyani isbotlovchi kodni ommaga e’lon qilish va ekspluatatsiyaga urinishlarning boshlanishi o’rtasida hech qanday bog’liqlik topmadilar. Masalan, ekspluatatsiya qilingan 4183 zaiflikning faqat yarmida ochiq foydalanish mumkin edi.
Hisobotga ko’ra, hujumlarda foydalaniladigan zaifliklarning aksariyati CVSSv2 shkalasi bo’yicha 9-10 ball jiddiylik darajasiga ega bo’lgan muammolardir (maksimal 10 ball foydalanish oson bo’lgan eng xavfli zaifliklarga beriladi).
Tadqiqotchilar o’zlarining tadqiqotlari ma’lum bir zaiflikdan foydalanish xavfi haqida yangi ma’lumotlarni taqdim etish orqali CVSS tizimi samaradorligini oshirishga yordam beradi, deb umid qilmoqdalar, bu esa CVSS-ga tayanadigan tashkilotlarga o’z tizimlarining xavfsizligini yaxshilash uchun yamoqlarga ustuvor ahamiyat berishga imkon beradi.
Eslatib o‘tamiz, may oyida Google Project Zero jamoasi ommaga yoki ishlab chiqaruvchilarga ma’lum bo‘lgunga qadar foydalanilgan zaifliklarni kuzatish imkonini beruvchi 0Day “In the Wild” loyihasini ishga tushirgan edi.
