حدود هشت هزار آسیب‌پذیری فاش شده در سال 2017، فاقد شناسه CVE

گزارشی که شرکت Risk Based Security آن را منتشر کرده نشان می‌دهد در حالی که در سال گذشته میلادی 20,832 آسیب‌پذیری کشف و شناسایی شده اما تنها 12,932 از آنها رسماً شناسه CVE را دریافت کرده‌اند.

این بدان معناست که 7900 ضعف امنیتی فاقد شناسه CVE-2017-XXXXX بوده و احتمالاً در پویشگرهای ضعف‌های امنیتی که در محصولاتی همچون برنامه‌های آزمون نفوذ و ابزارهای ضدبهره‌جو استفاده می‌شوند لحاظ نشده‌اند.

Common Vulnerabilities and Exposures – به اختصار CVE – شناسه منحصربه‌فردی است که هر آسیب‌پذیری امنیتی تخصیص داده می‌شود. MITRE که شرکتی غیرانتفاعی در آمریکاست مسئولیت مدیریت این شناسه‌ها را بر عهده دارد.

قاعدتاً مهاجمان سایبری و نویسندگان بدافزار با اطلاع یافتن از وجود این آسیب‌پذیری‌های بدون CVE که جزییات اکثر آنها در تالارهای گفتگوی آنلاین و وبلاگ‌ها بصورت عمومی منتشر شده‌ می‌توانند از آنها در حملات خود بهره‌جویی کنند و چه بسا در مواردی هم این کار صورت پذیرفته باشد.

به گزارش شرکت مهندسی شبکه گستر، این نخستین بار نیست که MITRE از اضافه کردن بسیاری از ضعف‌های امنیتی چشم‌پوشی کرده و در یک دهه گذشته این موضوع به کرات تکرار شده است.

یکی از اصلی‌ترین استدلال‌های این شرکت در تخصیص ندادن CVE به این آسیب‌پذیری‌ها تعریف متفاوت آن از بهره‌جویی از ضعف‌های امنیتی دستگاه‌های موسوم به اینترنت اشیاء (IoT) است.

همچنین گزارش Risk Based Security نشان می‌دهد که در سال 2017، برای نزدیک به 7 هزار آسیب‌پذیری تنها به تخصیص CVE به آنها اکتفا شده و هیچ شرحی در خصوص آنها در سایت شرکت درج نشده است. در حالی که از این 7 هزار آسیب‌پذیری، جزئیات 1342 از آنها بصورت عمومی فاش شده است.

مشروح گزارش Risk Based Security در اینجا قابل دریافت و مطالعه است.