补丁|注意及时打补丁 | 80%的漏洞利用公开时间早于CVE编号获得时间
Exploit Database
Exploit Database 是最大的公开漏洞利用库 。 截至目前 , Exploit Database中有45450个漏洞利用 。 图1左是按照漏洞利用类型分类的漏洞利用数和公布时间 , 图1右是按照平台分布的漏洞利用 。 统计数据表明web应用是2003之后最流行的漏洞利用 。
本文插图
图1(左)按照漏洞利用类型分类的漏洞利用数和公布时间(右)按照平台分布的漏洞利用
图2是CVSS 2.0评分和漏洞利用的严重等级 。 49%的漏洞利用为严重等级为high(CVSS >=7) , 45%的漏洞利用为严重等级为medium(4=
本文插图
图2. 2000年后公布的漏洞按严重等级划分
漏洞、补丁和漏洞利用之间的时间差
为更好地理解公开漏洞利用的影响 , 研究人员分析了漏洞利用和相关的CVE编号 。 此外 , 还有的漏洞利用没有对应的CVE编号 , 有些漏洞利用的CVE编号可能还没有公布 。 目前 , Exploit Database中有11079(约26%)的漏洞利用有对应的CVE编号 。 本研究只关注那些有CVE编号的公开漏洞利用 , 并分析了漏洞发现、公开漏洞利用以及发布补丁的时间 。
图3 是漏洞发现到公开CVE编号的时间线 。 精确的漏洞发现时间一般是不知道的 , 但分配CVE-ID的时间和CVE在CVE数据库中发布的时间是可以查到的 。 一般来说 , CVE公布的时间就在厂商发布补丁之后的 。 一旦补丁发布 , 攻击者就可以通过逆向补丁来恢复出漏洞 。 从中可以看出 , 大多数的漏洞利用开发和公布的时间在补丁发布后的一周内 。 一些厂商可能会选择延迟CVE发布的时间来给用户更多的时间去更新补丁 。
当CVE正式公布后 , 与漏洞相关的信息就会全部公开 。 此时 , 安全厂商开始开发漏洞签名和保护策略 。 大多数的攻击者也开始进行漏洞利用 。 在这场攻防对抗的游戏中 , 速度决定成败 。 也就是说CVE公布的时间、补丁和漏洞利用发布的时间对安全来说都是非常重要的 。
本文插图
图3. 漏洞发现/公布、补丁发布和漏洞利用公布的时间
本文插图
图4. 补丁发布后几周内漏洞利用公布的数量
图4是补丁发布后每周漏洞利用公布的数量 。 Week 1表示漏洞补丁发布后1周内漏洞利用公布的数量 。 对0 day漏洞 , 补丁发布日期前公布漏洞利用的week为负值 。 因为漏洞补丁发布的时间不在Exploit Database和CVE库中 , 因此研究人员对2015年以来的500个高危漏洞利用作为样本进行了分析 。 分析发现 , 14%的漏洞利用在补丁发布前公开 , 23%的漏洞利用是在补丁发布后1周内公开的 , 有50%的漏洞利用是在补丁发布后一个月公开的 。 平均情况下 , 漏洞利用是在补丁发布后37天公开的 。
图5是CVE公布后几周内漏洞利用公开的数量 。 与图4类似 , 漏洞利用公布时间早于CVE编号发布时间的week数为负 。 研究人员发现 , 有80%的漏洞利用公布时间早于CVE发布时间 。 一般来说 , 漏洞利用的发布时间比CVE的发布时间早23天 。 此外 , 还有75%的漏洞利用没有对应的CVE编号 。
研究人员分析CVE数据库后发现 , 并不是所有的CVE都是在补丁发布后立刻公布的 。 因此 , CVE发布后 , 漏洞利用已经发布了 , 这也说明攻击者比安全研究人员快一步 。
本文插图
图 5. CVE公布后几周内漏洞利用公开的数量
推荐阅读
- |注意了,手机里千万别保存这张“照片”!不然......
- |灌封胶使用注意事项有哪些?哪些事项不注意会导致灌封失败
- 小米手机|近10款新机即将近期发布,双11将大促销,想要换机的朋友注意
- 中年|明天开工,本周上班时间有变化,请注意
- |CMF实验室 | 焊接方式与注意要点
- 橙小娱|微信用户注意!此信息赶紧删除掉,否则会泄露个人的隐私!
- 及时行乐|这些手机界中的爱马仕|或许你消费不起但应该要知道
- 缘见七十二变|曝光:品牌花60万请秦牛正威直播,销售额只有2800元?一、某品牌高价请明星直播,却销售惨淡!二、明星效应不是直播销量的保证,那什么
- 易维云数据|做商城网站需要注意哪些?建站ABC告诉你
- IOS系统|不要在旧iPhone上升级iOS 14.2,这些用户注意