Por qué no hay exploits públicos para cada CVE?

Iniciado por Ethicalsk, 27 Julio 2017, 09:32 AM

0 Miembros y 1 Visitante están viendo este tema.

Ethicalsk

Buenas! Estuve explorando en cve.mitre.org las vulnerabilidades que hay para determinados productos, las cuales suelen ser unas cuantas. Pero a la hora de buscar exploits para dichas vulnerabilidades, (incluyendo exploits de exploit-db, y buscando los exploits en google en general, ya que por ejemplo, a veces hay exploits que se encuentran en github y no en exploit-db), el número de exploits suele ser bajo, es decir hay muchas vulnerabilidades conocidas, etiqutadas con una CVE, pero no hay exploits publicos para explotar a cada una de ellas... De hecho noté que hay exploits que se suben pasado por ejemplo un año de haberse descubierto la vulnerabilidad.

Mis incógnitas son:
Cuando un pentester encuentra una cve que afecte al producto que está analizando pero no encuentra un exploit para afectar dicha vulnerabilidad, se supone que tendría que crear su propio exploit?
Se pueden escribir exploits para todas las CVE? O hay CVE que directamente no se puedan explotar?
En caso de que lo anterior sea positivo, supongo que deberían existir exploits para todas las vulnerabilidades ya creados aunque no hechos públicos, cosa que me resulta extraña, ya que debe haber mucha gente que se dedique a la seguridad informática con ganas de compartir lo que crea. Es decir, en internet está prácticamente todo, ya que alguna u otra persona termina compartiendo determinado conocimiento.

Saludos y gracias de antemano!

engel lex

Citarse supone que tendría que crear su propio exploit?

si, en general los exploit son meramente PoC (proof of concept = pruebas de concepto) para mostrar si un sistema es explotable o no

CitarSe pueden escribir exploits para todas las CVE?

si, aunque en muchos casos puede requerir hardware especifico o condiciones fisicas poco comunes

Citarsupongo que deberían existir exploits para todas las vulnerabilidades ya creados aunque no hechos públicos

si contamos lo que tiene cada quien en su pc, no dejamos de contar... de ahí a compartirlo, es muy diferente... en muchos casos simplemente se piensa "¿para qué? lo conseguí es algo simple, cualquiera puede hacerlo"

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.