สรุปรายงานช่องโหว่ปี 2017 จาก VulnDB พบเกือบ 8,000 ช่องโหว่ยังไม่มีรหัส CVE

เผยรายงาน VulnDB จาก Risk Based Security พบปี 2017 มีจำนวนช่องโหว่ถูกค้นพบมากถึง 20,832 รายการ เพิ่มขึ้นจากปี 2016 ถึง 31% ในขณะที่มีเพียง 12,932 รายการเท่านั้นที่ถูกกำหนดให้เป็นช่องโหว่อย่างเป็นทางการของ CVE เสี่ยงหลายองค์กรละเลยที่จะป้องกันช่องโหว่ส่วนที่เหลือ

จากการเปรียบเทียบรายงานจาก Risk-based Security Report กับ Common Vulnerability Enumeration (CVE) ของ MITRE นั้น พบว่ายังมีช่องโหว่อีกว่า 7,900 รายการที่ไม่ได้ถูกบันทึกลงในฐานข้อมูลช่องโหว่ของ CVE กล่าวคือ ไม่มีเลขรหัส CVE-2017-XXXXX ส่งผลให้เครื่องมือสำหรับสแกนช่องโหว่หลายผลิตภัณฑ์ไม่มีข้อมูลที่จะใช้ตรวจสอบช่องโหว่เหล่านั้น รวมไปถึงฝ่าย IT Security ขององค์กรอาจไม่ทราบว่ามีช่องโหว่เหล่านี้อยู่ ทำให้ระบบขององค์กรตกอยู่ในความเสี่ยง

จากการตรวจสอบพบว่านี่ไม่ใช่ครั้งแรกที่ CVE ของ MITRE และ NVD ของ DHS มีจำนวนช่องโหว่ไม่ตรงกับช่องโหว่ที่ถูกค้นพบทั้งหมด เนื่องด้วยข้อจำกัดบางประการ หนึ่งในนั้นคือการมาถึงของเทคโนโลยี Internet of Things ที่ปรากฏช่องโหว่บนอุปกรณ์เป็นจำนวนมาก ส่งผลให้ทีมงานของ MITRE และ DHS ไม่สามารถติดตามช่องโหว่ได้ครบถ้วนทั้งหมด นอกจากนี้ ยังมีอีกเกือบ 7,000 ช่องโหว่ที่มีการจองรหัส CVE ไว้ แต่ไม่มีการลงรายละเอียดใดๆ แสดงให้เห็นว่า MITRE ให้ความสำคัญกับการระบุรหัสและเพิ่มจำนวนข้อมูลในฐานข้อมูลมากกว่า

ข้อมูลที่น่าสนใจจากรายงาน VulnDB ของ Risk Based Security มีดังนี้

  • ปี 2017 มีจำนวนช่องโหว่ที่ถูกค้นพบ 20,832 รายการ เพิ่มขึ้นกว่าปี 2016 ถึง 31%
  • 39.3% ของช่องโหว่มีคะแนน CVSSv2 มากกว่า 7
  • 44.5% ของช่องโหว่ที่ไม่มีรหัส CVE มีคะแนน CVSSv2 มากกว่า 7
  • 44.8% ของช่องโหว่มาจากการเปิดเผยข้อมูลจากทาง Vendor
  • 5.9% ของช่องโหว่ที่ค้นพบมาจาก Bug Bounty Program
  • 54.25% ของช่องโหว่ทั้งหมดเป็นของ 12 บริษัท
  • ช่องโหว่ที่เกี่ยวกับเว็บมีจำนวนมากที่สุด คิดเป็น 50.6%
  • 31.5% ของช่องโหว่มี Exploits ออกสู่สาธารณะ
  • 48.5% ของช่องโหว่สามารถ Exploits ได้แบบ Remote
  • 24.1% ของช่องโหว่ยังไม่ได้รับการแพตช์
  • ช่องโหว่ Cross-site Scripting มีจำนวนมากที่สุด คิดเป็น 28.9%
  • ผลิตภัณฑ์จาก Google ได้รับผลกระทบจากช่องโหว่ที่มี CVSSv2 มากกว่า 9 คะแนนมากถึง 503 รายการ
  • Google Pixel/Nexus ได้รับผลกระทบจากช่องโหว่ที่มี CVSSv2 มากกว่า 9 คะแนนมากถึง 354 รายการ
  • ครึ่งหนึ่งของช่องโหว่ Cryptocurrency ถูกติดตามโดย Risk Based Security คิดเป็น 60 จาก 121 รายการ
  • ช่องโหว่ความรุนแรงระดับ Critical (9.0 – 10) ที่ไม่พบใน CVE/NVD คิดเป็น 18.77%
  • ช่องโหว่ของผลิตภัณฑ์ที่ค้นพบมากที่สุด แต่ไม่อยู่ใน CVE/NVD คือ Google (125), Trend Micro (70), SAP (57), Open Source Geospatial (48) และ Jenkins CI (31)
  • Chrome OS เป็นผลิตภัณฑ์อันดับหนึ่งที่มีช่องโหว่แต่ไม่มีรหัส CVE/NVD คิดเป็น 88 รายการ

อ่านรายงาน 2017 Year End VulnDB QuickView จาก Risk Based Security ได้ที่ https://pages.riskbasedsecurity.com/2017-ye-vulnerability-quickview-report

ที่มา: https://www.bleepingcomputer.com/news/security/nearly-8-000-security-flaws-did-not-receive-a-cve-id-in-2017/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Alibaba ปรับทัพรับครึ่งปีหลัง 2569 เร่งสปีดการเติบโตด้าน AI [PR]

อาลีบาบา ประกาศความสำเร็จครั้งใหญ่ช่วงครึ่งแรกของปี 2569 ซึ่งสะท้อนให้เห็นความก้าวหน้าอย่างต่อเนื่องของกลยุทธ์ด้าน AI และการเสริมแกร่งรากฐานสู่การเติบโตอย่างยั่งยืนในยุคที่ AI กำลังวิวัฒนาการอย่างไม่หยุดนิ่ง

รู้จัก Manee Tech Estate พร้อมเจาะลึกพื้นที่ฉะเชิงเทรา และการพัฒนาพื้นที่ AI Data Center ในไทย

คลื่นความเปลี่ยนแปลงของเทคโนโลยี Generative AI และ Cloud Computing ในปัจจุบัน ไม่ได้สร้างผล กระทบแค่ในโลกซอฟต์แวร์ แต่กำลังเขย่าโครงสร้างพื้นฐานทางกายภาพทั่วโลก อุตสาหกรรมเทคโนโลยีระดับโลกและเหล่า Hyperscaler ต่างกำลังเผชิญกับปัญหาคอขวดที่สำคัญที่สุด นั่นคือข้อจำกัดด้านพื้นที่และพลังงานที่ไม่เพียงพอต่อการขยายตัวของ AI …