Over 22.000 nye sårbarheder i 2019

Guf for sikkerhedsanalytikere: Årets sårbarhedsrapport fra Riskbased Security er lagt frem.

Det amerikanske sikkerhedsfirma Riskbased Security har offentliggjort årets rapport over sårbarheder. Rapporten viser, at der i 2019 blev fundet 22.316 nye sårbarheder. Det lyder af meget, men det er færre end 2018, der endte på over 23.000 sårbarheder og med 2017 på en foreløbig andenplads med 22.511.

En ting er sårbarheder. Noget andet er, om metoder til at udnytte sårbarhederne bliver gjort tilgængelig. Det er sket for 37 pct. af disse sårbarheder, der således var proof-of-concept’et eller kode publiceret til udnyttelse af sårbarhederne. 33 pct. af sårbarhederne havde en CVSS-score på 7.0 og derover, dvs. de er alvorlige.

Rapporten giver et fingerpeg på, hvor verden bevæger sig hen. Rapporten viser fx, at antallet af offentliggjorte sårbarheder uden kendte udnyttelser næsten er fordoblet i de seneste fem år. Til gengæld er antallet af rettede sårbarheder faldet siden 2017. Tilsvarende er antallet af sårbarheder uden rettelser steget i de senest fem år.

En travl dag på jobbet: Patch Tuesday

I 2003 fik verden fx en ny tilgang til tirsdage, som ikke har noget med det amerikanske primærvalgs ”Super Tuesday” at gøre, bortset fra at nogen har super travlt. Patch Tuesday – et begreb skabt af Microsoft for at gøre opmærksom på, at den anden tirsdag i hver måned skal organisationer regne med opdateringer.

Som Risk Based Security nævner i sin rapport, har andre virksomheder fulgt i Microsofts fodspor, så Patch Tuesday nærmest har udviklet sig til lidt af et mareridt for mange organisationer. Dér skal de i al fald være klar til at opdatere, om end andre dage også er i spil. Alene tirsdag den 13. august 2019 var der 327 opdateringer samme den dag. Dette får forfatterne bag rapporten til at opfordre til bedre koordinering af opdateringscyklussen, så systemadministratorer ikke bliver lagt ned den anden tirsdag i måneden. Grafen her viser, hvordan opdateringerne fordeler sig hen over året.

Antallet af udsendte rettelser fordel på dage i 2019. Kilde: Risk bases Security Vulnerability QuickView 2019

 

Elektroniske afstemningsmaskiner

Rapporten indeholder også andre interessante tal, fx hvilke forhandlere og produktnavne, der har flest bekræftede sårbarheder. Årets tema for rapporten er dog EVM – Electronic Voting Machines – hvilket er udbredt i USA og derfor relevant i et præsidentvalgår, som vi ser udfolde sig ifm. primærvalgene i disse dage. Resultatet af analysen viser, der er 302 kendte sårbarheder for Electronic Voting Machines, hvoraf der endnu ikke findes en løsning på 289 af disse.

Et 'quickview' af rapporten kan hentes på Risk Based Securitys hjemmeside.

Links:

https://www.riskbasedsecurity.com/2020/02/18/37-3-of-vulnerabilities-in-2019-had-available-exploit-code-or-a-proof-of-concept/