谷歌Mandiant安全分析師警告稱，攻擊者發(fā)現(xiàn)和利用軟件零日漏洞的能力增長已成為一個令人擔憂的新趨勢。在2023年披露的138個被積極利用的漏洞中，有97個（70.3%）是0 Day漏洞，意味著大量漏洞在被供應(yīng)商知道或修補之前就被攻擊者用來實施攻擊。

從2020年到2022年，N Day漏洞和0 Day漏洞之間的比例相對穩(wěn)定地保持在4:6，但到了2023年，這一比例轉(zhuǎn)變?yōu)?:7。 谷歌解釋說，這并不是因為在野外被利用的N Day 數(shù)量下降，而是因為0 Day 漏洞利用的增加以及安全廠商檢測能力的提高。

而惡意活動的增加和目標產(chǎn)品的多樣化也反映在受主動利用漏洞影響的供應(yīng)商數(shù)量上，2023 年受影響的供應(yīng)商數(shù)量從 2022 年的 44 家增加到創(chuàng)紀錄的 56 家，高于 2021 年創(chuàng)下的 48 家供應(yīng)商的記錄。

Mandiant 的研究結(jié)果概述

另一個重要趨勢是利用新披露漏洞（N Day或0 Day）缺陷所需的時長（TTE）進一步大幅縮短，現(xiàn)僅需要5 天。相比之下，2018-2019 年間的TTE為 63 天，2021-2022 年間為 32 天。 這為供應(yīng)商和系統(tǒng)管理員提供了充足的時間來發(fā)布補丁應(yīng)用或?qū)嵤┚徑獯胧源_保受影響系統(tǒng)的安全。

而目前僅有5天的時間，在給到供應(yīng)商和系統(tǒng)管理員壓力的同時，實施網(wǎng)絡(luò)分段、實時檢測和緊急補丁優(yōu)先級等策略就變得更加重要。

與此相關(guān)的是，谷歌認為漏洞利用的公開與TTE之間沒有關(guān)聯(lián)。2023 年，75% 的漏洞利用在黑客利用開始之前就被公開，25% 的漏洞是在黑客已經(jīng)利用這些漏洞后發(fā)布。

報告中引用了兩個例子——CVE-2023-28121（WordPress 插件）和 CVE-2023-27997（Fortinet FortiOS）來證明公開漏洞與惡意活動之間并不存在一致的關(guān)系。在第一個例子中，漏洞在披露3個月后和概念驗證發(fā)布10天后開始被利用；在第二個例子中，漏洞在被公開之后就立刻被武器化，但真正的第一起利用攻擊事件直到4個月后才被記錄到。

兩個漏洞案例的利用時間表

谷歌認為，與 PoC 可用性的直接或孤立關(guān)聯(lián)的做法其依據(jù)都是不充分的，漏洞利用難度、攻擊者的動機、目標價值和整體攻擊復雜性都會在 TTE 中發(fā)揮作用。