谷歌 Mandiant 安全分析师提醒称，威胁行动者在发现和利用软件0day漏洞方面的能力变得更强，这一趋势令人担忧。

具体而言，在2023年遭活跃利用的138个漏洞中，97个（70.3%）遭利用时是0day漏洞。这意味着在受影响厂商获悉或修复漏洞前，威胁行动者们就已经将漏洞用于攻击中。

谷歌提到，从2020年到2022年，nday （已修复漏洞）和0day（无修复方案）之间的比例一直维持在4:6，但在2023年，这一比例变为3:7。谷歌解释称，这并非因为在野利用的nday漏洞数量减少，而是因为0day漏洞的利用增加以及检测能力增强。

在目标产品中的恶意活动和多样性增强这一点也反映在遭活跃利用漏洞影响的厂商数量上：在2023年这一数字增长到创纪录的56个，而在2022年这一数字是44个且高于2021年创记录的48个。

响应时间变得更短

另外一个重大趋势是，利用一个新披露漏洞（nday或0day）的时间 (TTE) 大大缩短，已经缩减至仅需5天。

相比较而言，2018-2019年间，TTE是63天；2021-2022年间，TTE是32天。这就使系统管理员有足够的时间来规划补丁应用或执行缓解措施，保护受影响系统。然而，当前的TTE已经锐减至5天，很多策略如网络分段、实时检测以及紧急补丁优先部署变得愈发关键。

不过，谷歌并未看到利用披露和TTE之间的关联性。2023年，75%的exp公开发生在在野利用之前，25%的exp是在黑客已经在利用这些漏洞之后发布的。

报告提到了两个漏洞CVE-2023-28121（WordPress 插件）和CVE-2023-27997（Fortinet FortiOS），说明公开可用的exp与恶意活动之间并不存在一致性关系。在CVE-2023-28121案例中，利用是在漏洞披露的三个月后、PoC 发布的10天后才开始的；在CVE-2023-27997几乎是在公开exp出现之时就遭利用，不过首个恶意利用活动出现在4个月之后。

谷歌表示，利用难度、威胁行动者的动机、目标价值以及整体利用难度都对TTE的长短有影响，对与PoC 的可用性之间存在直接或孤立关联的观点存疑。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~