Gray Noise, Microsoft, Adobe, Cisco ve Apple ürünlerindeki aktif olarak kullanılan güvenlik açıklarının, 2022’de KEV kataloğunda yapılan güncellemelerin yarısından fazlasını oluşturduğunu buldu. KEV kataloğundaki güncellemelerin dörtte üçünden biraz fazlası veya %77’si, 2022’den öncesine dayanan eski güvenlik açıklarıydı.
Gray Noise’ın veri bilimi başkan yardımcısı Bob Rudis raporda “Birçoğu önceki yirmi yılda yayınlandı” dedi.
Katalog başlangıçta kritik altyapı ve kamu sektörü kuruluşlarına yönelik olsa da, güvenlik açıklarının saldırganlar tarafından kullanıldığı (veya kullanılmış) olduğu yetkili kaynak haline geldi. Ulusal Güvenlik Açığı Veritabanı, 2022’de 12.000’den fazla güvenlik açığı için Ortak Güvenlik Açığı Sayımı (CVE) tanımlayıcıları atadığı için bu çok önemlidir ve kuruluş savunucularının, ortamlarıyla ilgili olanları belirlemek için her birini tek tek değerlendirmesi zor olacaktır. Kurumsal ekipler, öncelik listelerini oluşturmak için aktif saldırı altındaki kataloğun seçilmiş CVE listesini kullanabilir.
Gray Noise, Mart 2022’deki ani artışın Rusya’nın Şubat ayında Ukrayna’yı işgal etmesinin bir sonucu olduğunu ve güncellemelerin ulus devlet aktörlerinin işletmelerde, hükümetlerde ve kritik altyapı kuruluşlarında istismar ettiği bilinen birçok eski güvenlik açığını içerdiğini söyledi. Mart ayında kataloğa eklenen güvenlik açıklarının büyük çoğunluğuna (%94) 2022’den önce bir CVE atanmıştır.
CISA, KEV kataloğunu yalnızca güvenlik açığı aktif olarak kullanılıyorsa, atanmış bir CVE’ye sahipse ve sorunun nasıl giderileceğine dair net bir kılavuz varsa günceller. Rudis, 2022’de, genellikle her dört ila yedi günde bir yeni bir uyarı verildiğinden, işletme savunucularının neredeyse haftalık olarak KEV kataloğunda yapılan bir güncellemeyle uğraşmak zorunda kaldığını yazdı. Savunmacıların güncellemeler arasında sadece bir gün olması muhtemeldi ve savunucuların 2022’de güncellemeler arasında verdiği en uzun ara 17 gündü.