28/08/19
В первом полугодии 2019 года на долю лишь пяти крупных производителей пришлась почти четверть от всех уязвимостей, указывается в отчете компании Risk Based Security. В общей сложности в указанный период было обнаружено 11 092 уязвимости. Из них 54% относились к web-порталам и приложениям, для 34% проблем были доступны эксплоиты, 53% уязвимостей могли быть проэксплуатированы удаленно, а еще 34% багов не имели «задокументированного решения».
«34% уязвимостей не имеют решения, это может быть связано с тем, что производители не исправляют проблемы. Подобная ситуация может возникнуть в случаях, когда исследователи не информируют вендора о наличии проблемы. Кроме того, если организация использует сканнер уязвимостей, она может не знать обо всех своих активах. Например, если компания не анализирует IP-пространство полностью или использует решения, не способные идентифицировать 100% активов, в таких случаях уязвимости в устройствах и серверах могут оставаться неисправленными», - пояснил специалист Risk Based Security Брайан Мартин (Brian Martin).
Согласно отчету, 2,8% от общего числа багов составили уязвимости в SCADA системах, 4,5% проблем затрагивали защитное ПО, 14,7% уязвимостей получили оценку 9,0 и выше по шкале CVSSv2. Также в документе указывается, что 28,2% уязвимостей, не внесенных в базы CVE/NVD, имели уровень опасности от 7.0 до 10 баллов по классификации CVSSv2. Кроме того, 8,6% уязвимостей, получивших идентификатор CVE, имеют статус RESERVED, несмотря на публичное раскрытие информации о них.
