2023 年共披露漏洞 26,447 个，比上年多出 1500 多个 CVE。

值得注意的是，这些漏洞中只有不到 1% 的风险最高，被勒索软件、威胁行为者和恶意软件在野外积极利用。

主要调查结果显示，有 97 个可能被利用的高风险漏洞并不属于 CISA 已知被利用的漏洞目录。此外，25% 的高风险漏洞在发布当天就被利用。

对漏洞威胁形势的深入研究还强调，超过 7000 个漏洞具有概念验证漏洞利用代码，而 206 个漏洞具有武器化漏洞利用代码，这增加了成功入侵的可能性。

报告显示，32.5%的高风险漏洞影响网络设备和Web应用程序，强调需要制定全面的漏洞管理策略。

Qualys TRU 还揭示了 2023 年利用高风险漏洞的平均时间为 44 天。

漏洞利用中使用的顶级 MITRE ATT&CK 策略和技术包括利用远程服务、面向公众的应用程序和权限升级。

顶级 MITRE ATT&CK 策略和技术

最常被利用的漏洞包括PaperCut NG 中的CVE-2023-27350和 Fortra GoAnywhere MFT 中的 CVE-2023-0669。

TA505（也称为 Cl0p 勒索软件团伙）等黑客以及 LockBit 和Clop等恶意软件在备受瞩目的网络攻击中发挥了重要作用，利用零日漏洞并强调加强网络安全措施的必要性。

当组织应对网络威胁的动态特性时，Qualys TRU 建议采用多方面的方法来确定漏洞优先级，重点关注已知的漏洞、极有可能被利用的漏洞以及具有武器化漏洞代码的漏洞。

“这份报告的当务之急是让组织评估其威胁缓解和威胁补救策略。威胁的数量和速度都在增长，这使得自动化对于组织缩短平均攻击时间至关重要。”Viakoo 实验室副总裁 John Gallagher 评论道。

“必须遵循最佳实践，以阻止整个组织内的横向移动和 RCE（远程代码执行）。”

其中包括实施考虑所有设备和应用程序的有效网络分段、跨设备组自动修补和密码轮换，以及将零信任原则扩展到所有网络连接系统。

---

转自F安全客，原文链接：https://www.anquanke.com/post/id/292036

封面来源于网络，如有侵权请联系删除