По наводке Александра Редчица посмотрел на CISA Known Exploit­ed Vul­ner­a­bil­i­ties Enrich­ment Dash­board от Nucle­us. Товарищи взяли CISA KEV и добавили туда данные EPSS (Score и Per­centile), CVSS из NVD, а также Treat Intel­li­gence фид от GreyNoise. Вроде ничего хитрого, но получилось занимательно.

1. Самое очевидное это то, что можно дополнительно приоритизировать уязвимости из CISA KEV для исправления.
2. С другой стороны здесь наглядно видны проблемы источников.
2.1. Если уязвимость эксплуатируется вживую, то почему эту эксплуатацию GreyNoise не видит? С одной стороны это может быть связано с ограничением фида GreyNoise — не по всем уязвимостям могут эксплуатацию отслеживать. С другой стороны это может быть связано с тем, что CISA берет признак эксплуатации от вендора, по факту это может быть "вероятная эксплутация в единичной таргетированной атаке в полнолуние и пятницу 13‑е", а подробностей нет и не будет.
2.2. Вот Exploit Pre­dic­tion Scor­ing Sys­tem (EPSS) показывает "prob­a­bil­i­ty [0–1] of exploita­tion in the wild in the next 30 days (fol­low­ing score pub­li­ca­tion)". Весьма весело взять уязвимости "CVE-2022" с детектами от GreyNoise и увидеть, что EPSS для них вероятность появления эксплоита оценивала довольно низко. Выделил на скриншоте 20%. Иногда оценка даже в 1–2%, как например в случае с одной из уязвимостей Exchange Prox­yNot­Shell. В общем, EPSS это далеко не серебряная пуля.
2.3. Также интересно посортировать по CVSS. Сразу вылезают проблемы с уязвимостями, которых нет в NVD. Проблемы сортировки в таблице (но это ладно). А самое интересное уязвимости с CVSS 7, т.е. меньше High. В данном случае укладываются в Medi­um. То есть горячий привет тем, кто жестко фильтрует по CVSS от High и выше.