2023年发现超过2.6万个漏洞

2023年共披露了26447个漏洞，比上一年增加了1500多个CVE。这些数据来自Qualys威胁研究小组(TRU)发布的最新报告。

值得注意的是，这些漏洞中只有不到1%构成最高风险，被勒索软件、威胁行为者和恶意软件积极利用。

主要调查结果显示，97个可能被利用的高风险漏洞不在CISA已知被利用漏洞目录中。此外，25%的高风险漏洞在发布当天就被利用了。

对漏洞威胁形势的深入研究还强调，超过7000个漏洞具有概念验证漏洞利用代码，而206个漏洞具有武器化漏洞利用代码，增加了成功妥协的可能性。

报告显示，32.5%的高风险漏洞影响网络设备和web应用程序，强调需要一个全面的漏洞管理策略。Qualys TRU还揭示了2023年利用高风险漏洞的平均时间，为44天。

攻击中使用的顶级MITRE攻击和攻击策略和技术包括利用远程服务、面向公众的应用程序和特权升级。

被利用最多的漏洞是剪纸NG中的CVE-2023-27350和Fortra GoAnywhere MFT中的CVE-2023-0669。

威胁行为者，如TA505(也称为Cl0p勒索软件团伙)，LockBit和Clop等恶意软件，在高调的网络攻击中发挥了重要作用，利用零日漏洞，强调加强网络安全措施的必要性。

随着组织努力应对网络威胁的动态特性，Qualys TRU建议采用多方面的方法来确定漏洞优先级，重点关注野外已知的漏洞，那些具有高利用可能性的漏洞以及那些具有武器化漏洞代码的漏洞。

Viakoo实验室副总裁John Gallagher评论道：“该报告的必要性是组织评估其威胁缓解和威胁补救策略。威胁在数量和速度上都在增长，这使得自动化对组织减少平均利用时间至关重要。必须遵循最佳实践来阻止组织内的横向移动和RCE(远程代码执行)。”

这些措施包括实现有效的网络分段，考虑所有设备和应用程序，在设备群之间自动打补丁和密码轮换，以及将零信任原则扩展到所有网络连接的系统。