Qualys 报告:2023 年发现超过 26,000 个漏洞

阅读量74905

发布时间 : 2023-12-20 14:49:19

2023 年共披露漏洞 26,447 个,比上年多出 1500 多个 CVE。

*这些数据来自 Qualys 威胁研究单位 (TRU) 今天发布的最新报告。

值得注意的是,这些漏洞中只有不到 1% 的风险最高,被勒索软件、威胁行为者和恶意软件在野外积极利用。

主要调查结果显示,有 97 个可能被利用的高风险漏洞并不属于 CISA 已知被利用的漏洞目录。此外,25% 的高风险漏洞在发布当天就被利用。

对漏洞威胁形势的深入研究还强调,超过 7000 个漏洞具有概念验证漏洞利用代码,而 206 个漏洞具有武器化漏洞利用代码,这增加了成功入侵的可能性。

报告显示,32.5%的高风险漏洞影响网络设备和Web应用程序,强调需要制定全面的漏洞管理策略。

Qualys TRU 还揭示了 2023 年利用高风险漏洞的平均时间为 44 天。

漏洞利用中使用的顶级 MITRE ATT&CK 策略和技术包括利用远程服务、面向公众的应用程序和权限升级。

顶级 MITRE ATT&CK 战术和技术。 信用:Qualys。

顶级 MITRE ATT&CK 战术和技术。信用:Qualys。

最常被利用的漏洞包括PaperCut NG 中的CVE-2023-27350和 Fortra GoAnywhere MFT 中的 CVE-2023-0669。

了解有关 CVE-2023-0669 的更多信息:Clop 勒索软件组织利用 GoAnywhere MFT 缺陷

TA505(也称为 Cl0p 勒索软件团伙)等威胁参与者以及 LockBit 和Clop等恶意软件在备受瞩目的网络攻击中发挥了重要作用,利用零日漏洞并强调加强网络安全措施的必要性。

当组织应对网络威胁的动态特性时,Qualys TRU 建议采用多方面的方法来确定漏洞优先级,重点关注已知的已知漏洞、极有可能被利用的漏洞以及具有武器化漏洞代码的漏洞。

“这份报告的当务之急是让组织评估其威胁缓解和威胁补救策略。威胁的数量和速度都在增长,这使得自动化对于组织缩短平均攻击时间至关重要。”Viakoo 实验室副总裁 John Gallagher 评论道。

“必须遵循最佳实践,以阻止整个组织内的横向移动和 RCE(远程代码执行)。”

其中包括实施考虑所有设备和应用程序的有效网络分段、跨设备组自动修补和密码轮换,以及将零信任原则扩展到所有网络连接系统。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66