根据Risk Based Security的最新报告,今年迄今披露的10,644个漏洞中,有近17%的是重大漏洞。
对于那些希望通过补丁修补来避免系统缺陷的组织来说,这并不是个好消息。今天发布的Risk Based Security新报告显示,软件产品中发现的漏洞数量没有减少的迹象。
在今年1月1日至6月30日期间,共发布了10,644个漏洞,而2017年同期为9,690个漏洞。今年以来的趋势表明,2018年披露的漏洞总数将轻松超过2017年发布的20832个漏洞,这本身就比2016年增加了31%。
在这份报告中,约有17%被认为是重大漏洞,并且在CVSS评级量表上的严重等级在9.0到10.0之间。这个数字小于2017年上半年Risk Based Security报告中获得相同评级的整体缺陷的21.1%。
2018年,大部分漏洞(46.3%)都是与网络相关的漏洞,几乎所有被报道的漏洞中有一半都是可以远程利用的。到目前为止,风险安全数据库中只有三分之一是被公开披露的漏洞,但仅有73个漏洞有文档化的解决方案。
Risk Based Security漏洞情报副总裁Brian Martin表示,大多数漏洞都是基于处理用户或攻击者提供的输入,以及软件无法正确清理这些输入。“我们将它们归类为影响软件完整性的输入操作问题,”
CVE和NVD中的一些漏洞数据
值得注意的是,在漏洞数据库中,这些漏洞在MITRE的CVE和国家漏洞数据库(NVD)中没有在2018年上半年发布。其中,超过23%的人的CVSS分数在9.0到10.0之间。
换句话说,那些依赖于CVS / NVD漏洞数据的组织可能不会意识到在其他渠道发布的750多个重大漏洞。
“最大的收获是,披露的漏洞数量持续增加,并且在可预见的未来将持续增加,” Martin说。
他说,更重要的是,数据表明组织不能仅仅依靠CVE的数据库来获取漏洞信息。
他的公司使用了超过2000个来源的漏洞数据,包括邮件列表(如Bugtraq和Full Disclosure)、网站(如数据库和Packetstorm)和供应商资源(如客户论坛)。Martin说,其他来源包括正式的建议和知识库文章,以及开发人员资源,如变更日志、bug跟踪系统和代码提交。
漏洞数据管理系统通常在不到24小时内汇总和处理新披露的漏洞,这取决于披露情况以及是否需要进行额外分析。他指出,对于某些安全漏洞,供应商与CVE披露的时间大致相同,而对于另一些漏洞,则要提前数周甚至数月。
漏洞发布来源日益多样化
安全统计数据表明,软件正变得越来越漏洞百出,但实际情况似乎更加微妙。根据Martin的观点,尽管人们对应用程序安全性的认识和关注不断提高,但在软件产品中发现的缺陷也越来越多。
与几年前相比,现在有更多的安全研究人员在寻找和报告安全漏洞。寻找安全漏洞的工具也得到了改进,并且比以前更快、更可靠。
Martin指出,漏洞监控和挖掘组织也正在改进他们的流程,而软件供应商也乐于向漏洞平台报告他们发现的漏洞。