谷歌Mandiant安全分析師警告稱，攻擊者發(fā)現(xiàn)和利用軟件零日漏洞的能力增長(zhǎng)已成為一個(gè)令人擔(dān)憂的新趨勢(shì)。在2023年披露的138個(gè)被積極利用的漏洞中，有97個(gè)（70.3%）是0 Day漏洞，意味著大量漏洞在被供應(yīng)商知道或修補(bǔ)之前就被攻擊者用來(lái)實(shí)施攻擊。

從2020年到2022年，N Day漏洞和0 Day漏洞之間的比例相對(duì)穩(wěn)定地保持在4:6，但到了2023年，這一比例轉(zhuǎn)變?yōu)?:7。 谷歌解釋說(shuō)，這并不是因?yàn)樵谝巴獗焕玫腘 Day 數(shù)量下降，而是因?yàn)? Day 漏洞利用的增加以及安全廠商檢測(cè)能力的提高。

而惡意活動(dòng)的增加和目標(biāo)產(chǎn)品的多樣化也反映在受主動(dòng)利用漏洞影響的供應(yīng)商數(shù)量上，2023 年受影響的供應(yīng)商數(shù)量從 2022 年的 44 家增加到創(chuàng)紀(jì)錄的 56 家，高于 2021 年創(chuàng)下的 48 家供應(yīng)商的記錄。

Mandiant 的研究結(jié)果概述

另一個(gè)重要趨勢(shì)是利用新披露漏洞（N Day或0 Day）缺陷所需的時(shí)長(zhǎng)（TTE）進(jìn)一步大幅縮短，現(xiàn)僅需要5 天。相比之下，2018-2019 年間的TTE為 63 天，2021-2022 年間為 32 天。 這為供應(yīng)商和系統(tǒng)管理員提供了充足的時(shí)間來(lái)發(fā)布補(bǔ)丁應(yīng)用或?qū)嵤┚徑獯胧?，以確保受影響系統(tǒng)的安全。

而目前僅有5天的時(shí)間，在給到供應(yīng)商和系統(tǒng)管理員壓力的同時(shí)，實(shí)施網(wǎng)絡(luò)分段、實(shí)時(shí)檢測(cè)和緊急補(bǔ)丁優(yōu)先級(jí)等策略就變得更加重要。

與此相關(guān)的是，谷歌認(rèn)為漏洞利用的公開(kāi)與TTE之間沒(méi)有關(guān)聯(lián)。2023 年，75% 的漏洞利用在黑客利用開(kāi)始之前就被公開(kāi)，25% 的漏洞是在黑客已經(jīng)利用這些漏洞后發(fā)布。

報(bào)告中引用了兩個(gè)例子——CVE-2023-28121（WordPress 插件）和 CVE-2023-27997（Fortinet FortiOS）來(lái)證明公開(kāi)漏洞與惡意活動(dòng)之間并不存在一致的關(guān)系。在第一個(gè)例子中，漏洞在披露3個(gè)月后和概念驗(yàn)證發(fā)布10天后開(kāi)始被利用；在第二個(gè)例子中，漏洞在被公開(kāi)之后就立刻被武器化，但真正的第一起利用攻擊事件直到4個(gè)月后才被記錄到。

兩個(gè)漏洞案例的利用時(shí)間表

谷歌認(rèn)為，與 PoC 可用性的直接或孤立關(guān)聯(lián)的做法其依據(jù)都是不充分的，漏洞利用難度、攻擊者的動(dòng)機(jī)、目標(biāo)價(jià)值和整體攻擊復(fù)雜性都會(huì)在 TTE 中發(fā)揮作用。