大多数严重网络攻击都源于不到 1% 的漏洞

网络安全软件提供商 Qualys 发布了一份“2023 年威胁态势回顾”的研究报告。详细介绍了漏洞威胁态势、主要漏洞类型和其他相关数据的关键见解，包括平均利用时间、MITRE ATT&CK 策略和技术，以及 2023 年最活跃的勒索软件和威胁行为者。

截至报告成文时，2023 年共披露了 26,447 个漏洞，比 2022 年披露的漏洞总数多了 1,500 多个，是有史以来披露的最高数量。但并非所有漏洞都具有高风险，事实上，只有不到 1% 的漏洞会导致最高风险，并且经常被广泛利用。

• 在已披露的漏洞中，超过 7,000 个漏洞具有概念验证漏洞利用代码，可能会导致成功利用漏洞。但漏洞利用代码的质量通常较低，这可能会降低攻击成功的可能性。
• 大约 206 个漏洞具有可用的武器化利用代码，这意味着如果利用这些漏洞，很可能会危害目标系统。
• 有 115 个漏洞经常被威胁者、恶意软件和勒索软件组织（例如 Clop）利用。
• 在观察到的漏洞中，109 个有被利用的已知证据，并被列入 CISA 已知被利用漏洞 (KEV) 清单。
• 97 个漏洞已被利用，但未包含在 CISA KEV 列表中。
• LockBit 和 Cerber 等勒索软件集团利用了 20 个漏洞。此外，恶意软件和僵尸网络组织利用了 15 个漏洞。

超过三分之一的已识别高风险漏洞可以被远程利用。五种最常见的漏洞类型占已发现漏洞总数的 70% 以上。

2023 年高危漏洞的平均利用时间约为 44 天。但报告指出，在许多情况下，漏洞在发布当天就可以被利用。“这一立即行动代表了攻击者作案方式的转变，凸显了攻击者效率的不断提高和防御者响应窗口的不断缩小。”

25% 的高风险 CVE 在发布当天就已被利用，75% 的漏洞在发布后 19 天（大约三周）内被利用。

全年被利用的主要漏洞包括针对 PaperCut NG、MOVEit Transfer、各种 Windows 操作系统、Google Chrome、Atlassian Confluence 和 Apache ActiveMQ 的漏洞。许多漏洞可以远程利用，无需物理访问目标系统。

在已发现的 206 个漏洞中，有 32.5%的漏洞位于网络基础设施或 Web 应用程序领域，而这些领域传统上很难通过常规手段进行防护。

远程服务利用（T1210 和 T0866）、面向公众的应用程序的利用（T1190 和 T0819）和特权升级利用 (T1068)​​​​​​​ 是 MITRE ATT&CK 的三大策略。其中最常用的远程服务利用，在企业中出现了 72 次，在工业控制系统中出现了 24 次。面向公众的应用程序的利用在企业中出现了 53 次，在工业控制系统中出现了 19 次；特权升级利用排在第三位，记录了 20 次。

为了降低风险，报告建议企业应采用多层次方法，利用各种传感器清查面向公众的应用程序和远程服务的漏洞。并建议根据列入 CISA KEV 列表、高利用概率分数和武器化利用代码的可用性等因素，确定修复工作的优先顺序。

更多详情可查看完整报告。