สรุปรายงานช่องโหว่ปี 2017 จาก VulnDB พบเกือบ 8,000 ช่องโหว่ยังไม่มีรหัส CVE

เผยรายงาน VulnDB จาก Risk Based Security พบปี 2017 มีจำนวนช่องโหว่ถูกค้นพบมากถึง 20,832 รายการ เพิ่มขึ้นจากปี 2016 ถึง 31% ในขณะที่มีเพียง 12,932 รายการเท่านั้นที่ถูกกำหนดให้เป็นช่องโหว่อย่างเป็นทางการของ CVE เสี่ยงหลายองค์กรละเลยที่จะป้องกันช่องโหว่ส่วนที่เหลือ

จากการเปรียบเทียบรายงานจาก Risk-based Security Report กับ Common Vulnerability Enumeration (CVE) ของ MITRE นั้น พบว่ายังมีช่องโหว่อีกว่า 7,900 รายการที่ไม่ได้ถูกบันทึกลงในฐานข้อมูลช่องโหว่ของ CVE กล่าวคือ ไม่มีเลขรหัส CVE-2017-XXXXX ส่งผลให้เครื่องมือสำหรับสแกนช่องโหว่หลายผลิตภัณฑ์ไม่มีข้อมูลที่จะใช้ตรวจสอบช่องโหว่เหล่านั้น รวมไปถึงฝ่าย IT Security ขององค์กรอาจไม่ทราบว่ามีช่องโหว่เหล่านี้อยู่ ทำให้ระบบขององค์กรตกอยู่ในความเสี่ยง

จากการตรวจสอบพบว่านี่ไม่ใช่ครั้งแรกที่ CVE ของ MITRE และ NVD ของ DHS มีจำนวนช่องโหว่ไม่ตรงกับช่องโหว่ที่ถูกค้นพบทั้งหมด เนื่องด้วยข้อจำกัดบางประการ หนึ่งในนั้นคือการมาถึงของเทคโนโลยี Internet of Things ที่ปรากฏช่องโหว่บนอุปกรณ์เป็นจำนวนมาก ส่งผลให้ทีมงานของ MITRE และ DHS ไม่สามารถติดตามช่องโหว่ได้ครบถ้วนทั้งหมด นอกจากนี้ ยังมีอีกเกือบ 7,000 ช่องโหว่ที่มีการจองรหัส CVE ไว้ แต่ไม่มีการลงรายละเอียดใดๆ แสดงให้เห็นว่า MITRE ให้ความสำคัญกับการระบุรหัสและเพิ่มจำนวนข้อมูลในฐานข้อมูลมากกว่า

ข้อมูลที่น่าสนใจจากรายงาน VulnDB ของ Risk Based Security มีดังนี้

• ปี 2017 มีจำนวนช่องโหว่ที่ถูกค้นพบ 20,832 รายการ เพิ่มขึ้นกว่าปี 2016 ถึง 31%
• 39.3% ของช่องโหว่มีคะแนน CVSSv2 มากกว่า 7
• 44.5% ของช่องโหว่ที่ไม่มีรหัส CVE มีคะแนน CVSSv2 มากกว่า 7
• 44.8% ของช่องโหว่มาจากการเปิดเผยข้อมูลจากทาง Vendor
• 5.9% ของช่องโหว่ที่ค้นพบมาจาก Bug Bounty Program
• 54.25% ของช่องโหว่ทั้งหมดเป็นของ 12 บริษัท
• ช่องโหว่ที่เกี่ยวกับเว็บมีจำนวนมากที่สุด คิดเป็น 50.6%
• 31.5% ของช่องโหว่มี Exploits ออกสู่สาธารณะ
• 48.5% ของช่องโหว่สามารถ Exploits ได้แบบ Remote
• 24.1% ของช่องโหว่ยังไม่ได้รับการแพตช์
• ช่องโหว่ Cross-site Scripting มีจำนวนมากที่สุด คิดเป็น 28.9%
• ผลิตภัณฑ์จาก Google ได้รับผลกระทบจากช่องโหว่ที่มี CVSSv2 มากกว่า 9 คะแนนมากถึง 503 รายการ
• Google Pixel/Nexus ได้รับผลกระทบจากช่องโหว่ที่มี CVSSv2 มากกว่า 9 คะแนนมากถึง 354 รายการ
• ครึ่งหนึ่งของช่องโหว่ Cryptocurrency ถูกติดตามโดย Risk Based Security คิดเป็น 60 จาก 121 รายการ
• ช่องโหว่ความรุนแรงระดับ Critical (9.0 – 10) ที่ไม่พบใน CVE/NVD คิดเป็น 18.77%
• ช่องโหว่ของผลิตภัณฑ์ที่ค้นพบมากที่สุด แต่ไม่อยู่ใน CVE/NVD คือ Google (125), Trend Micro (70), SAP (57), Open Source Geospatial (48) และ Jenkins CI (31)
• Chrome OS เป็นผลิตภัณฑ์อันดับหนึ่งที่มีช่องโหว่แต่ไม่มีรหัส CVE/NVD คิดเป็น 88 รายการ

อ่านรายงาน 2017 Year End VulnDB QuickView จาก Risk Based Security ได้ที่ https://pages.riskbasedsecurity.com/2017-ye-vulnerability-quickview-report

ที่มา: https://www.bleepingcomputer.com/news/security/nearly-8-000-security-flaws-did-not-receive-a-cve-id-in-2017/