90 多个 0day和40 多个 N-Day 漏洞被利用

一项新分析显示，与 2023 年的 n 日漏洞相比，零日漏洞的利用显著增加。在跟踪的 138 个漏洞中，有 97 个是在补丁发布之前被利用的，而只有 41 个是在补丁发布之后被利用的。

这表明攻击者越来越倾向于利用未修补的漏洞。但由于数据收集方法的限制，实际利用时间可能会更早。

过去几年，漏洞利用的平均时间显著减少。从 2018-2019 年的 63 天，下降到 2020-2021 年的 44 天，再到 2021-2022 年的 32 天，最后到 2023 年仅为 5 天。

这一大幅减少表明利用漏洞的效率正在提高，这可能是由于工具、技术和情报共享等因素的改进。排除异常数据点（包括 n 天和零日漏洞）后，平均值略微增加至 47 天。

数据分析显示，与前几年（2020-2022 年）相比，2023 年零日漏洞利用显著增加。利用的 n 日漏洞与零日漏洞的比例从稳定的 38:62 上升到 30:70，这表明攻击者对以前未知的漏洞的关注度有所提高。

n-day 漏洞利用仍然是一个威胁，超过一半 (56%) 的已知漏洞在补丁发布后的第一个月内就被利用，这强调了快速修补以及警惕零日攻击的重要性。

Mandiant分析了漏洞从公开披露到被利用的时间，方法是先发现漏洞，然后攻击者才开始利用这些漏洞；漏洞在披露后的平均时间为 7 天，而攻击者在漏洞发布后的平均时间为 30 天，然后才开始利用这些漏洞。

对于在公开漏洞利用之前被利用的漏洞，攻击者在披露后平均 15 天内开始攻击，而公开漏洞利用在攻击者开始利用后平均 4 天内出现。

两个漏洞 CVE-2023-28121（WooCommerce Payments）和 CVE-2023-27997（FortiOS SSL VPN）凸显了漏洞可用性对攻击时间线的影响。尽管 CVE-2023-28121 已被披露，但数月来并未被利用，但大规模攻击在大规模漏洞利用工具公开后不久就开始了。

相反，CVE-2023-27997 立即受到关注和利用，但几个月后才在有针对性的攻击中被利用，这表明攻击者可能优先考虑易于武器化的漏洞。

这两个漏洞（CVE-2023-27997 和 CVE-2023-28121）都确定了影响可利用性的因素，其中 CVE-2023-28121 由于其机制更简单（一个 HTTP 标头）而更容易被利用，而 CVE-2023-27997 则需要绕过系统保护（DEP、ASLR）的复杂利用。

此外，与托管 WooCommerce 插件（CVE-2023-28121）的 Web 服务器相比，CVE-2023-27997（FortiOS）的目标系统通常具有高权限，对攻击者更有价值，而托管 WooCommerce 插件（CVE-2023-28121）的 Web 服务器通常位于低权限网络段中。