2023 年共披露漏洞 26,447 個,比上一年增加了 1,500 多個 CVE。 資料來自 Qualys 威脅研究小組 (TRU) 發布的最新報告。
值得注意的是,這些漏洞中只有不到 1% 構成最高風險,並被勒索軟體、威脅行為者和惡意軟體積極利用。
主要發現顯示,97 個可能被利用的高風險漏洞未列在 CISA 的已知被利用漏洞列表中。 此外,25%的高危漏洞在發布當天就被利用了。
對漏洞威脅態勢的深入研究還強調,超過 7,000 個漏洞存在概念驗證漏洞,而 206 個漏洞減少了漏洞利用,從而增加了成功入侵的可能性。
報告顯示,325% 的高風險漏洞會影響網路裝置和 Web 應用程式,這凸顯了制定全面的漏洞管理策略的必要性。 Qualys Tru 還透露,2023 年利用高風險漏洞的平均時間為 44 天。
攻擊中使用的頂級 MITRE 攻擊以及攻擊策略和技術包括利用遠端服務、面向公眾的應用程式和許可權提公升。
最常被利用的漏洞是 Papercut NG 中的 CVE-2023-27350 和 Fortra Goanywhere MFT 中的 CVE-2023-0669。
TA505(也稱為 CL0P 勒索軟體團夥)等威脅行為者、Lockbit 和 CLOP 等惡意軟體在備受矚目的網路攻擊中發揮了重要作用,利用零日漏洞並強調需要加強網路安全措施。
隨著組織努力應對網路威脅的動態性質,Qualys Tru 建議採用多方面的方法來確定漏洞的優先順序,重點關注已知的漏洞、被利用概率高的漏洞以及被利用潛力高的漏洞。
Viakoo Labs 副總裁 John Gallagher 評論道:“這份報告的必要性是讓組織評估其威脅緩解和威脅補救策略。 威脅的數量和速度都在增長,這使得自動化對於組織縮短平均利用時間至關重要。 必須遵循最佳實踐,以防止組織內的橫向移動和 RCE(遠端執行)。 ”
這些措施包括實現有效的網路分段、考慮所有裝置和應用程式、跨裝置佇列自動修補和密碼輪換,以及將零信任原則擴充套件到所有網路連線系統。