Aggregator

Google Mandiant 安全分析师表示，在 2023 年披露的 138 个被积极利用的漏洞中，有 97 个（70.3%）被用作零日漏洞。

这意味着威胁者在受影响的供应商知道错误存在或能够修补它们之前，就已经利用了攻击中的缺陷。

从 2020 年到 2022 年，已修复漏洞与无可用修复漏洞之间的比率相对稳定地保持在 4:6，但在 2023 年，该比率转变为 3:7。

谷歌解释说，这并不是因为自然利用的已修复漏洞数量减少，而是因为零日漏洞利用的增加以及安全供应商检测它的能力的提高。

恶意活动的增加和目标产品的多样化也反映在受主动利用的漏洞影响的供应商数量上，该数量已从 2022 年的 44 家增加到 2023 年创纪录的 56 家，也高于 2021 年 48 家供应商的先前记录。

Mandiant 调查结果概述

响应时间越来越紧

另一个重要趋势是利用新披露的漏洞所需的时间现已降至五天。

相比之下，2018-2019 年，时间为 63 天，2021-2022 年，为 32 天。这为系统管理员提供了充足的时间来计划补丁的应用或实施缓解措施以保护受影响的系统。

随着时间降至 5 天，网络分段、实时检测和紧急补丁优先级等策略变得更加重要。与此相关的是，Google 并未发现漏洞披露与时间之间存在关联。

到 2023 年，75% 的漏洞利用在开始大规模利用之前就已公开，25% 的漏洞利用是在黑客利用这些漏洞后发布的。

报告中强调的两个示例 CVE-2023-28121（WordPress 插件）和 CVE-2023-27997（Fortinet FortiOS）表明公共漏洞利用可用性与恶意活动之间没有一致的关系。

两个漏洞的利用时间表

在第一个案例中，漏洞利用是在披露三个月后、概念验证发布十天后开始的。

FortiOS 案例中，该漏洞几乎立即在公开利用中被武器化，但第一个恶意利用事件是在四个月后记录的。谷歌表示，利用难度、威胁者动机、目标价值和总体攻击复杂性都在发挥作用，并且与 PoC 可用性的直接或孤立关联是有问题的。