一、前言

随着新漏洞数量的不断增加，漏洞管理已成为确保业务连续运行的最关键过程之一。很明显，及时修补是必不可少的，但定量了解延迟如何增加风险也很重要。攻击者使用刚刚披露的CVE或未知（0day）漏洞来破坏是什么？为了了解漏洞披露和漏洞利用开发的状况，在撰写本文时，研究人员分析了Exploit Database中的45,450种公共可用漏洞。该研究将漏洞利用数据与漏洞和补丁信息相关联，以从多个方面研究漏洞的发展。

研究表明：

• 在漏洞数据库中的45,450个公共漏洞中，漏洞数据库中有1,1,079（〜26％）个已映射CVE编号的漏洞。
• 在这1,1,079个漏洞中：14％是0day（在供应商发布补丁之前发布），23％在补丁发布后一周内发布，50％在补丁发布后一个月内发布。平均而言，漏洞发布是在补丁发布后37天发布的。尽快修补-供应商发布修补程序后，被利用漏洞的风险迅速增加。
• 在发布CVE之前，已经发布了80％的公共漏洞利用程序。平均而言，漏洞利用是在CVE发布前23天发布的。软件和硬件也可能带有没有CVE的公共漏洞。经常检查供应商的安全更新，并尽快应用更新。

自1999年以来的整个CVE列表，发现平均而言，分配CVE-ID 40天后发布CVE。在撰写本文时，研究人员分析了177,043个条目，其中超过10,000个CVE处于“保留”状态已超过两年。它表明漏洞发现与CVE发布之间存在很长的延迟。

根据美国网络安全基础设施和安全局（CISA），查看了2016-19 年度最经常利用的十大漏洞，以突出显示漏洞，漏洞利用和补丁发布之间的时差。值得注意的是，主要的软件供应商以更快的速度处理漏洞补丁，并且公开零日漏洞利用的百分比较低。

二、Exploit Database Overview

Exploit Database是最大的公共漏洞利用库。漏洞利用数据库中有45,450个漏洞利用。左图1显示了按漏洞利用类型和发布年份分类的漏洞利用数量。右图1显示了漏洞利用平台的分布。统计数据表明，自2003年以来，Web应用程序已成为最受欢迎的攻击目标。

图1.左：自2000年以来发布的漏洞，按漏洞类型分类。右：开发漏洞的平台已被编写

图2显示了通用漏洞评分系统2.0（CVSS）评分和漏洞利用的严重性。49％的漏洞利用具有较高的严重性（CVSS> = 7），45％的漏洞利用具有中等严重性（CVSS <7和CVSS> = 4）。换句话说，94％的公共漏洞利用是针对中等或高度严重性的漏洞开发的。

图2.自2000年以来发布的利用漏洞，按漏洞严重性分类。

三、漏洞，补丁和利用之间的时间差

为了更好地了解公共漏洞利用的影响，研究人员分析了漏洞利用及其相关的CVE。请注意，并非每个漏洞利用程序都具有关联的CVE。有些漏洞利用根本没有CVE条目，而某些漏洞利用可能属于尚未发布的CVE。当前，漏洞利用数据库中有110,079（〜26％）个漏洞利用了CVE号码。专注于CVE的利用，并分析了漏洞，利用和补丁发布之间的时间安排。

图3显示了从漏洞发现到CVE发布的时间表。通常，确切的漏洞发现时间通常是未知的，但是可以在CVE数据库中找到分配CVE-ID的时间和发布CVE的时间。通常，CVE是在供应商发布补丁后立即发布的。补丁发布后，有权访问更新软件的对手可以通过对补丁进行反向工程来发现漏洞。正如我们将看到的，大多数漏洞利用都是在补丁发布的第一周内开发和发布的。一些供应商可能会延迟发布CVE，以给他们的客户更多的更新时间。

CVE正式发布后，有关该漏洞的信息将立即向全世界公开。这是大多数安全厂商开始制定其漏洞签名和保护策略的时候。这也是大多数对手开始利用这些漏洞的时候。在黑客和防御者之间的时间敏感游戏中，行动更快的人有更大的获胜机会。这意味着CVE，补丁和漏洞利用之间的发布时间为正在进行的安全斗争提供了有趣的环境。

图3.漏洞发现/发布，补丁发布和漏洞利用发布的时间表。

图4.补丁发布后不同周内发布的漏洞利用数量。零日漏洞利用（在补丁发布之前发布）的周指数为负。

图4显示了补丁发布后不同周内发布的漏洞利用数量。第1周上方的栏表示在补丁程序发布的第一周内发布的漏洞利用数量。在补丁程序发布日期之前发布的漏洞（0day漏洞）的星期指数为负。由于漏洞补丁程序日期在漏洞利用数据库或CVE数据库中不可用，因此自2015年以来对500个高严重漏洞利用进行了采样，并从供应商站点手动确定了它们的补丁程序日期。研究的漏洞利用程序中有14％是在补丁发布之前发布的，23％的漏洞利用是在第一周发布的，50％的漏洞利用是在第一个月发布的。平均而言，漏洞利用已发布37补丁发布后的几天。由于利用漏洞的平均速度如此之快，这突显了组织定期进行及时修补的紧迫性-太老了，以至于在运行的系统中仍然存在未修复的漏洞。

图5显示了CVE发布后不同周内发布的漏洞利用数量。与图4相似，在CVE发布之前发布的漏洞具有负周索引。令人震惊的是，研究的漏洞利用工具中有80％是在CVE发布之前发布的。平均而言，漏洞攻击是在CVE发布前23天发布的。最重要的是，数据库中还有75％的漏洞利用根本没有关联的CVE。研究人员想知道是什么导致补丁程序发布日期和CVE发布日期之间的不一致。查看了CVE数据库（图6），发现并非所有CVE都在补丁发布后立即发布。结果，当CVE正式发布时，很有可能利用了漏洞利用程序，这进一步说明了攻击者往往比安全专业人员领先一步。

图5. CVE发布后不同周内发布的漏洞利用数量。在CVE披露之前发布的漏洞具有负周指数。

将CVE-ID分配给漏洞后，此CVE保持“保留”状态。保留的CVE的详细信息将被保密，直到CVE正式发布为止。在撰写本文时，研究人员分析了CVE列表中的177,043个条目并计算了保留CVE的数量。图6显示了自1999年以来已发布的CVE和保留的CVE的数量。平均而言，一个CVE在分配其CVE-ID 40天后发布。但是，已有超过10,000个CVE处于“保留”状态超过两年。它表明漏洞发现与CVE发布之间通常存在很长的延迟。虽然主要供应商通常会在补丁发布后立即发布其CVE，但有些供应商却无法及时更新其CVE状态。这些数字还解释了为什么在CVE正式发布之前就公开了如此多的漏洞（图5）。

四、案例研究：2016-19年利用最多的漏洞

研究人员调查了十大常规利用漏洞的利用和补丁信息美国网络安全基础设施和安全局（CISA）于2020年5月12日发布。表1列出了详细信息。如果CVE在漏洞利用数据库中有多个漏洞利用，则漏洞利用的发布日期以最早发布的漏洞为基础。补丁程序信息可从供应商咨询页面获得。在这个较小的样本集中，10％的漏洞利用是零日漏洞，40％的漏洞利用在补丁发布后的第一周内可用。这些数字与从图4和图5得出的统计数据相符。零日漏洞利用或CVE披露之前发布的漏洞利用的百分比低于在较大样本中观察到的百分比，因为利用最多的漏洞通常会影响知名的供应商，例如Microsoft和Adobe ，他们可以解决漏洞和发布更新的速度比许多其他受影响的供应商更快。

五、结论

在不断增加的速度和数量中发现了新的漏洞。尽管并非每个漏洞都可以公开获得利用，但毫无疑问，大多数已知漏洞在某处都有利用。有能力的逆向工程人员可以通过分析相关补丁来开发漏洞利用程序。研究的45,450套公共漏洞仅代表了现实的一小部分。许多漏洞利用是私有的，仅在黑市交易。在研究中观察到的漏洞利用数量和漏洞利用开发速度很可能被低估了，因为没有调查私人资源。该研究重申了及时修补和更新的重要性。漏洞补丁发布后，受到威胁的机会就会迅速增加。由于免费提供了许多漏洞扫描工具，并且知道大多数供应商都在CVE披露之前有可用的补丁程序，因此没有理由延迟任何更新。建议用户在补丁发布后尽快更新和修复。

参考及来源：https://unit42.paloaltonetworks.com/state-of-exploit-development/

来源：freebuf.com 2020-09-12 18:31:34 by: 东塔安全学院