Een kleine 5,5 procent van de ontdekte beveiligingsfouten wordt daadwerkelijk in het wild uitgebuit. Slechts 4.183 van de in totaal 76.000 kwetsbaarheden die tussen 2009 en 2018 werden ontdekt, zijn uitgebuit.
Dit blijkt uit een gezamenlijk onderzoeksrapport ‘Improving Vulnerability Remediation Through Better Exploit Prediction‘. Het onderzoek is voortgekomen uit een veelvoud aan bronnen, waaronder Cyentia, RAND Corporation en Virginia Tech.
Ook bleek er volgens ZDnet geen correlatie te zijn tussen de publicatie van proof-of-concept (PoC) exploitcode op openbare websites en het begin van uitbuitingspogingen. Van de 4.183 beveiligingsfouten die de afgelopen tien jaar in het wild werden geëxploiteerd, had slechts de helft exploitcode op openbare sites staan. Al voorkomt een PoC niet direct dat aanvallers bepaalde kwetsbaarheden misbruiken, gezien sommigen hun eigen exploits maken waar nodig.
CVSSv2-score
Daarnaast blijkt ook dat de meeste kwetsbaarheden die in het wild worden misbruikt, beveiligingsfouten met een hoge zogeheten CVSSv2-score betreffen. Deze gaan van 1 tot 10, waarvan 10 staat voor de gevaarlijkste en gemakkelijk te exploiteren kwetsbaarheden. Minder dan de helft van alle misbruikte kwetsbaarheden zou een CVSS-score van 9 of hoger hebben.
Uit het onderzoek blijkt, dat hoe hoger de CVSSv2-score die een kwetsbaarheid heeft, hoe groter de kans dat deze onder zware exploitatie komt te staan. Ongeacht of exploitcode openbaar wordt of niet. Daarnaast is het aantal kwetsbaarheden dat wordt aangevallen één op de twintig. Eerder onderzoek toonde aan dat het zou gaan om één op de honderd.
Prioriseren van patchen
Het onderzoeksteam hoopt dat door de uitkomst het algemene CVSS-raamwerk zal verbeteren. Dit inclusief nieuwe informatie over de kans dat een specifieke kwetsbaarheid waarschijnlijk onder exploitatie komt te liggen. Organisaties die afhankelijk zijn van CVSS-scores kunnen patches zo beter beoordelen en prioriseren. Het zou bedrijven helpen prioriteit te geven aan de kwetsbaarheden die ze eerst willen patchen en die het meest waarschijnlijk onder vuur komen te liggen.