สรุปรายงานช่องโหว่ปี 2017 จาก VulnDB พบเกือบ 8,000 ช่องโหว่ยังไม่มีรหัส CVE

เผยรายงาน VulnDB จาก Risk Based Security พบปี 2017 มีจำนวนช่องโหว่ถูกค้นพบมากถึง 20,832 รายการ เพิ่มขึ้นจากปี 2016 ถึง 31% ในขณะที่มีเพียง 12,932 รายการเท่านั้นที่ถูกกำหนดให้เป็นช่องโหว่อย่างเป็นทางการของ CVE เสี่ยงหลายองค์กรละเลยที่จะป้องกันช่องโหว่ส่วนที่เหลือ

จากการเปรียบเทียบรายงานจาก Risk-based Security Report กับ Common Vulnerability Enumeration (CVE) ของ MITRE นั้น พบว่ายังมีช่องโหว่อีกว่า 7,900 รายการที่ไม่ได้ถูกบันทึกลงในฐานข้อมูลช่องโหว่ของ CVE กล่าวคือ ไม่มีเลขรหัส CVE-2017-XXXXX ส่งผลให้เครื่องมือสำหรับสแกนช่องโหว่หลายผลิตภัณฑ์ไม่มีข้อมูลที่จะใช้ตรวจสอบช่องโหว่เหล่านั้น รวมไปถึงฝ่าย IT Security ขององค์กรอาจไม่ทราบว่ามีช่องโหว่เหล่านี้อยู่ ทำให้ระบบขององค์กรตกอยู่ในความเสี่ยง

จากการตรวจสอบพบว่านี่ไม่ใช่ครั้งแรกที่ CVE ของ MITRE และ NVD ของ DHS มีจำนวนช่องโหว่ไม่ตรงกับช่องโหว่ที่ถูกค้นพบทั้งหมด เนื่องด้วยข้อจำกัดบางประการ หนึ่งในนั้นคือการมาถึงของเทคโนโลยี Internet of Things ที่ปรากฏช่องโหว่บนอุปกรณ์เป็นจำนวนมาก ส่งผลให้ทีมงานของ MITRE และ DHS ไม่สามารถติดตามช่องโหว่ได้ครบถ้วนทั้งหมด นอกจากนี้ ยังมีอีกเกือบ 7,000 ช่องโหว่ที่มีการจองรหัส CVE ไว้ แต่ไม่มีการลงรายละเอียดใดๆ แสดงให้เห็นว่า MITRE ให้ความสำคัญกับการระบุรหัสและเพิ่มจำนวนข้อมูลในฐานข้อมูลมากกว่า

ข้อมูลที่น่าสนใจจากรายงาน VulnDB ของ Risk Based Security มีดังนี้

  • ปี 2017 มีจำนวนช่องโหว่ที่ถูกค้นพบ 20,832 รายการ เพิ่มขึ้นกว่าปี 2016 ถึง 31%
  • 39.3% ของช่องโหว่มีคะแนน CVSSv2 มากกว่า 7
  • 44.5% ของช่องโหว่ที่ไม่มีรหัส CVE มีคะแนน CVSSv2 มากกว่า 7
  • 44.8% ของช่องโหว่มาจากการเปิดเผยข้อมูลจากทาง Vendor
  • 5.9% ของช่องโหว่ที่ค้นพบมาจาก Bug Bounty Program
  • 54.25% ของช่องโหว่ทั้งหมดเป็นของ 12 บริษัท
  • ช่องโหว่ที่เกี่ยวกับเว็บมีจำนวนมากที่สุด คิดเป็น 50.6%
  • 31.5% ของช่องโหว่มี Exploits ออกสู่สาธารณะ
  • 48.5% ของช่องโหว่สามารถ Exploits ได้แบบ Remote
  • 24.1% ของช่องโหว่ยังไม่ได้รับการแพตช์
  • ช่องโหว่ Cross-site Scripting มีจำนวนมากที่สุด คิดเป็น 28.9%
  • ผลิตภัณฑ์จาก Google ได้รับผลกระทบจากช่องโหว่ที่มี CVSSv2 มากกว่า 9 คะแนนมากถึง 503 รายการ
  • Google Pixel/Nexus ได้รับผลกระทบจากช่องโหว่ที่มี CVSSv2 มากกว่า 9 คะแนนมากถึง 354 รายการ
  • ครึ่งหนึ่งของช่องโหว่ Cryptocurrency ถูกติดตามโดย Risk Based Security คิดเป็น 60 จาก 121 รายการ
  • ช่องโหว่ความรุนแรงระดับ Critical (9.0 – 10) ที่ไม่พบใน CVE/NVD คิดเป็น 18.77%
  • ช่องโหว่ของผลิตภัณฑ์ที่ค้นพบมากที่สุด แต่ไม่อยู่ใน CVE/NVD คือ Google (125), Trend Micro (70), SAP (57), Open Source Geospatial (48) และ Jenkins CI (31)
  • Chrome OS เป็นผลิตภัณฑ์อันดับหนึ่งที่มีช่องโหว่แต่ไม่มีรหัส CVE/NVD คิดเป็น 88 รายการ

อ่านรายงาน 2017 Year End VulnDB QuickView จาก Risk Based Security ได้ที่ https://pages.riskbasedsecurity.com/2017-ye-vulnerability-quickview-report

ที่มา: https://www.bleepingcomputer.com/news/security/nearly-8-000-security-flaws-did-not-receive-a-cve-id-in-2017/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สัมภาษณ์พิเศษคุณชาง ฟูจาก Tencent Cloud ในโลกที่ทุกอย่าง คือ ดิจิทัล ธุรกิจไทยจะสร้างโอกาสจากการใช้ศักยภาพของคลาวด์ให้เต็มที่ได้อย่างไร

  เมื่อเทคโนโลยีได้ก้าวเข้ามาเป็นมาตรฐานใหม่ของธุรกิจในยุคปัจจุบัน และกลายเป็นปัจจัยสำคัญต่อการเติบโตของธุรกิจ ยิ่งโลกมีความผันผวนมาก ธุรกิจก็ยิ่งต้องเตรียมพร้อมรับมือกับความไม่แน่นอน และจะต้องปรับตัวเองให้ทันท่วงที ในบทความนี้ ทีมงาน TechTalkThai ได้มีโอกาสพูดคุยกับ คุณชาง ฟู ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Tencent ประเทศไทย …

คู่มือ CRM ฉบับฟรีสำหรับ SME ไทย เผยวิธีช่วยหาลูกค้า ขายของให้สำเร็จ และรักษาลูกค้าใหม่ไว้ให้ได้

การสร้างฐานลูกค้าเป็นบททดสอบที่ยิ่งใหญ่สำหรับสตาร์ทอัปและ SME และยิ่งกลายเป็นความท้าทายที่ยิ่งใหญ่เดิมสำหรับในช่วงสองปีที่ผ่านมา สิ่งที่เปลี่ยนไปคือตอนนี้ลูกค้าคาดหวังจากธุรกิจมากกว่าแต่ก่อน ลูกค้าต้องการประสบการณ์ที่ดีกว่าเดิม เมื่อไปช้อปปิ้งออนไลน์หรือเมื่อมีคำถาม และลูกค้ายังต้องการเข้าถึงบริการแบบ Personalisation ตลอดเวลา และมีแนวโน้มมากขึ้นที่จะหันไปหาบริษัทที่ตอบสนองความต้องการของตนได้ ทั้งนี้ การปรับตัวให้ทันกับความคาดหวังของลูกค้าที่เปลี่ยนแปลงไป ได้ส่งผลกระทบต่อธุรกิจในยุคนี้เป็นอย่างมาก