Tegnap egy Bostonban rendezett információbiztonsági workshopon mutatták be azt a tanulmányt, amely mások mellett a sebezhetőségek valós környezetekben való kihasználásáról közölt statisztikákat. A valós környezet (in the wild) ebben az esetben azt jelenti, hogy a felfedezett és azonosított exploitokat milyen esetekben használták ki a gyakorlatban is a bűnözők, vagyis az olyan alkalmakról beszélünk, amikor nem a sebezhetőségeket feltáró kísérletekről volt szó.

A Workshop on the Economics of Information Security nevű rendezvényen ismertetett kutatás, amelyet egyébként a maga műfajában a legszélesebb körű összefoglalásnak tartanak, összesen 76 ezer sebezhetőséget vizsgált a 2009 és 2018 közötti időszakból. Az elemzés során megállapították, hogy ezek közül 4183 sérülékenységet próbáltak meg kiaknázni valós környezetekben is, azonban az arányoknál érdekesebb felfedezés, hogy a tanulmányban nem fedeztek fel semmilyen komoly összefüggést a proof-of-concept exploit kódok közzététele és a hibák kihasználására irányuló kísérletek között.

A szóban forgó kísérleteknek ugyanis nagyjából a fele érintett olyan kódokat és sérülékenységeket, amelyeket korábban már nyilvánosságra hoztak valamilyen publikus weboldalon. Ezt a rátát nyilván sokféleképpen lehet értelmezni, az viszont mindenképpen elgondolkodtató, hogy a hekkerek mennyire nincsenek ráutalva a nyilvános exploitokra, és egy részük simán megírja a sajátját, ha szüksége van rá.

A veszélyesség nem önmagában értelmezhető dolog

Mindezt összefüggésbe helyezi egy másik adat: a kutatásból az is kiderül, hogy a valós környezetben kihasznált sebezhetőségek közel fele 9-es vagy 10-es értéket kapott a CVSSv2 skálán. A sérülékenységek súlyosságának értékelésére szolgáló, nyílt szabványú Common Vulnerability Scoring System 1-től 10-ig pontozza a sérülékenységeket, vagyis az említett exploitok közül nagyságrendileg minden második a legmagasabb veszélyességi besorolásba esett.

A kutatók abban reménykednek, hogy a különböző adatforrásokból aggregált, a korábbiaknál nagyobb szabásúnak tartott tanulmány segítséget nyújt majd a vállalatoknak és szervezeteknek abban, hogy hatékonyan priorizálják a javításra váró sebezhetőségeket, és pontosabb képet alkothassanak róla, hogy hol várható nagyobb eséllyel valamilyen támadás. Az anyagból mindenesetre világosan kiderül, hogy a magasabb CVSSv2 besorolású sérülékenységek esetében ez a valószínűség is nagyobb, függetlenül a kódok publikus elérhetőségétől.

A tanulmány azt is megmutatja, hogy a felfedezett sérülékenységek közül nagyjából minden huszadikat próbálnak meg a gyakorlatban is kihasználni. Ez pedig sokkal kedvezőtlenebb arány, mint a korábbi kutatások alapján feltételezett egy százalék körüli megoszlás. A kutatók ezzel párhuzamosan javaslatot tettek a meglévő CVSS keretrendszer kibővítésére is, amennyiben szükségesnek tartják, hogy az exploitok veszélyességének értékelését a kihasználási kísérletek valószínűségével súlyozzák. Az ilyen besorolások nyilván jobb támpontot nyújtanának a céges IT-biztonsági szakembereknek is, amikor a CVSS alapján próbálják felbecsülni és fontossági sorrendbe helyezni a patch-eket.

Tavaly mi is beszámoltunk a RiskBased Security 21 ezer biztonsági hibát feldolgozó jelentéséről, amely a sérülékenységek közel 40 százalékához rendelte a legmagasabb CVSSv2 értékeket. A fejlett analitikára épülő, kockázatelemzésen alapú biztonsági megoldásokat fejlesztő cég szerint az összes sérülékenység közel felét távolról is ki lehetett használni, miközben harmad részükhöz kerültek ki a netre exploit kódok és pontos dokumentációk.

A mennyiségében és súlyosságában is gyarapodó sérülékenységekre kézenfekvő magyarázatot adhatnának a hibavadász (bug bounty) programok, amelyek keretei között az egyes szervezetek jutalmat ajánlanak fel külső biztonsági kutatóknak a feltárt sérülékenységekért. A RiskBased Security statisztikái szerint azonban teljesen más a helyzet, ami ebben a tekintetben alátámasztja a fenti kutatásban körülírt trendet is: a riport ugyanis arról számolt be, hogy az előző évben a feltárt sérülékenységeknek nem egészen 6 százalékát fedezték fel a bug bounty programok eredményeképpen.