谷歌：2023 年披露的被利用漏洞中有 70% 是0day

Google Mandiant 安全分析师警告称，一种令人担忧的新趋势是威胁行为者表现出更强的发现和利用软件零日漏洞的能力。

具体来说，Mandiant 表示，在 2023 年披露的 138 个被积极利用的漏洞中，有 97 个（70.3%）被用作零日漏洞。

这意味着威胁行为者在受影响的供应商知道漏洞存在或能够修补漏洞之前就利用了攻击中的漏洞。

从 2020 年到 2022 年，n 天（已修复缺陷）与零天（无法修复）的比例保持相对稳定，为 4：6，但在 2023 年，该比例变为 3：7。

谷歌解释称，这并不是因为野外利用的 n-day 漏洞数量下降，而是零日漏洞利用的增加以及安全供应商检测能力的提高。

恶意活动的增加和目标产品的多样化也反映在受到主动利用的漏洞影响的供应商数量上，该数量在 2023 年增加到创纪录的 56 家，高于 2022 年的 44 家，也高于 2021 年创下的 48 家供应商的记录。

Mandiant 调查结果概述 响应时间越来越紧 另一个显著趋势是，利用（TTE）新披露的（n 天或 0 天）漏洞所需的时间现已下降到仅为五天。

相比之下，2018-2019 年的 TTE 为 63 天，2021-2022 年的 TTE 为 32 天。这为系统管理员提供了充足的时间来计划应用补丁或实施缓解措施以保护受影响的系统。

然而，随着 TTE 降至 5 天，网络分段、实时检测和紧急补丁优先级等策略变得更加重要。

相关地，谷歌并没有发现漏洞的披露和 TTE 之间存在关联。

2023 年，75% 的漏洞是在黑客开始利用漏洞之前公开的，25% 的漏洞是在黑客已经开始利用漏洞之后发布的。

报告中重点强调的两个例子表明，公开的漏洞利用与恶意活动之间没有一致的关系，它们是CVE-2023-28121（WordPress 插件）和CVE-2023-27997（Fortinet FortiOS）。

两个漏洞利用时间表 资料来源：谷歌 在第一种情况下，漏洞利用是在披露三个月后、概念证明发布十天后开始的。

在 FortiOS 案例中，该漏洞几乎立即被公开利用，但第一次恶意利用事件是在四个月后才被记录下来。

利用难度、威胁行为者的动机、目标价值和整体攻击复杂性都会在 TTE 中发挥作用，而根据谷歌的说法，与 PoC 可用性的直接或孤立的关联是有缺陷的。