'Slechts 5 procent kwetsbaarheden ook echt misbruikt'

De onderzoekers - een team van verschillende universiteiten en organisaties - hopen dat met dit onderzoek bedrijven beter hun prioriteiten kunnen bepalen bij het aanbrengen van patches in hun systemen. Een belangrijk element daarin is de CVSSv2-score van kwetsbaarheden die zijn gevonden. Want ondanks dat het misbruik-percentage redelijk laag blijkt, stijgt dat sterk naarmate de kwetsbaarheden zijn ingedeeld bij de hogere gevaarlijkheidsklassen.

CVSS-score belangrijk

Het gevaar van kwetsbaarheden wordt gerangschikt volgens het Common Vulnerability Scoring System (CVSS) oorspronkelijk opgezet door de Amerikaanse National Infrastructure Advisory Council (NIAC) in 2005. Van de kwetsbaarheden met een score van 9 of 10 op een schaal van 1 tot 10, worden respectievelijk 18,4% en 16,8% misbruikt. Daarentegen worden kwetsbaarheden met een score onder de 5 in slechts 3% of minder van de gevallen voor criminele activiteiten gebruikt.

De onderzoekers hebben gebruik gemaakt van diverse openbare databronnen waaronder de National Vulnerability Database (NVD) van het Amerikaanse NIST en het SANS Internet Storm Center en de databanken van bedrijven als Secureworks CTU. Ook werd er data verzameld van de security scan van honderden grote bedrijven.

Misbruik niet gekoppeld aan PoC

Overigens concludeerden de onderzoekers ook dat er geen correlatie is tussen het tijdstip van de publicatie van een Proof of Concept (PoC) van een kwetsbaarheid en het daadwerkelijk misbruik door aanvallers. Bovendien was van ongeveer de helft van de gevonden kwetsbaarheden een PoC beschikbaar online.