网络安全软件提供商 Qualys 发布了一份 “2023 年威胁态势回顾” 的研究报告。详细介绍了漏洞威胁态势、主要漏洞类型和其他相关数据的关键见解,包括平均利用时间、MITRE ATT&CK 策略和技术,以及 2023 年最活跃的勒索软件和威胁行为者。
截至报告成文时,2023 年共披露了 26,447 个漏洞,比 2022 年披露的漏洞总数多了 1,500 多个,是有史以来披露的最高数量。但并非所有漏洞都具有高风险,事实上,只有不到 1% 的漏洞会导致最高风险,并且经常被广泛利用。
在已披露的漏洞中,超过 7,000 个漏洞具有概念验证漏洞利用代码,可能会导致成功利用漏洞。但漏洞利用代码的质量通常较低,这可能会降低攻击成功的可能性。
大约 206 个漏洞具有可用的武器化利用代码,这意味着如果利用这些漏洞,很可能会危害目标系统。
有 115 个漏洞经常被威胁者、恶意软件和勒索软件组织(例如 Clop)利用。
在观察到的漏洞中,109 个有被利用的已知证据,并被列入 CISA 已知被利用漏洞 (KEV) 清单。
97 个漏洞已被利用,但未包含在 CISA KEV 列表中。
LockBit 和 Cerber 等勒索软件集团利用了 20 个漏洞。此外,恶意软件和僵尸网络组织利用了 15 个漏洞。
超过三分之一的已识别高风险漏洞可以被远程利用。五种最常见的漏洞类型占已发现漏洞总数的 70% 以上。
2023 年高危漏洞的平均利用时间约为 44 天。但报告指出,在许多情况下,漏洞在发布当天就可以被利用。“这一立即行动代表了攻击者作案方式的转变,凸显了攻击者效率的不断提高和防御者响应窗口的不断缩小。”
25% 的高风险 CVE 在发布当天就已被利用,75% 的漏洞在发布后 19 天(大约三周)内被利用。
全年被利用的主要漏洞包括针对 PaperCut NG、MOVEit Transfer、各种 Windows 操作系统、Google Chrome、Atlassian Confluence 和 Apache ActiveMQ 的漏洞。许多漏洞可以远程利用,无需物理访问目标系统。
在已发现的 206 个漏洞中,有 32.5% 的漏洞位于网络基础设施或 Web 应用程序领域,而这些领域传统上很难通过常规手段进行防护。
远程服务利用(T1210 和 T0866)、面向公众的应用程序的利用(T1190 和 T0819)和特权升级利用 (T1068) 是 MITRE ATT&CK 的三大策略。其中最常用的远程服务利用,在企业中出现了 72 次,在工业控制系统中出现了 24 次。面向公众的应用程序的利用在企业中出现了 53 次,在工业控制系统中出现了 19 次;特权升级利用排在第三位,记录了 20 次。
为了降低风险,报告建议企业应采用多层次方法,利用各种传感器清查面向公众的应用程序和远程服务的漏洞。并建议根据列入 CISA KEV 列表、高利用概率分数和武器化利用代码的可用性等因素,确定修复工作的优先顺序。
更多详情可查看完整报告。https://blog.qualys.com/vulnerabilities-threat-research/2023/12/19/2023-threat-landscape-year-in-review-part-one