2023 年即将结束，是时候停下来反思一下了。是时候评估哪些有效、哪些无效、哪些引起了我们的注意并造成了干扰，以及哪些未被注意到。更重要的是，我们需要了解2023年的经验教训，以便我们在来年更好地管理风险。为此，Qualys 威胁研究单位准备了一个全面的博客系列来回顾 2023 年的威胁形势。

　　要点：

　　1、不到百分之一的漏洞会导致最高风险，并且经常被广泛利用。

　　2、97 个可能被利用的高风险漏洞不属于CISA 已知被利用的漏洞 (KEV) 目录。

　　3、其中 25% 的安全漏洞立即成为利用的目标，利用漏洞的发布是在漏洞本身被公开披露的同一天。

　　4、1/3 的高风险漏洞影响网络设备和 Web 应用程序。

　　5、利用远程服务、利用面向公众的应用程序和利用权限升级是 MITRE ATT&CK 的三大策略。

　　一、2023年统计数据

　　截至撰写本文时，2023 年披露了 26,447 个漏洞，比 2022 年披露的漏洞总数多了 1,500 多个 CVE。这延续了多年来发现的漏洞比前一年更多的趋势。

　　然而，并非所有漏洞都具有高风险;事实上，一小部分人(小于 1%)造成的风险最高。这些特别严重的漏洞是具有武器化利用的漏洞，被勒索软件、威胁行为者和恶意软件积极利用，或者已确认在野外利用的证据。我们将详细检查这些漏洞。

　　二、2023 年漏洞威胁态势

　　让我们更深入地了解 2023 年的漏洞细分。

　　Qualys 威胁研究单位 (TRU) 分析了高风险漏洞，以获得更多见解并讨论常见趋势。TRU 检查了哪些攻击最容易被利用、使用了哪些攻击方法和策略以及我们可以使用哪些策略来加强防御。他们的发现的一些亮点：

　　1、超过 7,000 个漏洞具有概念验证漏洞利用代码。这些漏洞可能会导致成功利用;然而，利用代码通常质量较低，这可能会降低成功攻击的可能性。

　　2、206 个漏洞具有可用的武器化利用代码。如果利用这些漏洞，很可能会损害目标系统。

　　3、有 115 个漏洞经常被威胁者、恶意软件和勒索软件组织(例如 CL0P)利用。

　　4、在观察到的漏洞中，有 109 个已知被利用的证据，并已列在 CISA KEV 中。

　　5、97 个漏洞已被利用，但未包含在 CISA KEV 列表中。注意：根据 CISA KEV 确定优先级的组织应特别注意这些 CVE。

　　6、LockBit 和 Cerber 等勒索软件组织利用了 20 个漏洞。

　　7、此外，还有 15 个漏洞被恶意软件和僵尸网络组织利用。

　　三、主要漏洞类型

　　超过三分之一的已识别高风险漏洞可以被远程利用。五种最常见的漏洞类型占已发现漏洞总数的 70% 以上。这强调了对全面的漏洞管理策略的迫切需要，其中包括远程扫描功能，而不仅仅是依赖基于代理的方法。

　　四、重要见解

　　1、2023 年高危漏洞平均利用时间

　　2023 年，我们目睹了利用高风险漏洞的关键趋势。我们的分析揭示了攻击者利用这些漏洞的速度令人震惊的洞察力。

　　2023 年漏洞利用的平均时间为44 天(约 1 个半月)。

　　然而，这个平均值掩盖了情况的紧迫性。在许多情况下，漏洞在发布当天就可以被利用。这一立即行动代表了攻击者作案方式的转变，凸显了攻击者效率的不断提高和防御者响应窗口的不断缩小。

　　让我们仔细看看 0 到 25 天之间的数据。

　　25% 的高风险 CVE 在发布当天就被利用：这些安全漏洞中，高达 25% 的漏洞立即成为被利用的目标，而该漏洞的利用是在漏洞本身被公开披露的同一天发布的。这一统计数据为组织敲响了警钟，要求他们对补丁管理和威胁情报采取积极主动的立场。

　　三周窗口：数据进一步显示，75% 的漏洞在发布后 19 天(大约三周)内被利用。该时间表为组织提供了一个重要的窗口，可以优先考虑并解决最关键的漏洞。

　　2、网络基础设施和 Web 应用程序中发现了三分之一的高风险漏洞

　　在 206 个已识别的漏洞中，有 32.5% 存在于网络基础设施或 Web 应用程序域中，这些领域传统上很难通过传统手段进行保护。

　　这凸显了全面的漏洞管理策略的必要性。通过部署各种漏洞管理方法，包括基于代理、无代理和基于网络的技术，组织可以确保对所有 IT 资产进行广泛且主动的保护。这种多管齐下的策略对于有效检测和补救威胁至关重要，从而增强特别容易受到复杂网络风险影响的领域的安全性和合规性。Qualys 通过包含代理支持以及网络、外部和被动扫描功能来扩大保护范围，为组织提供详细且多样化的安全态势视图。

　　3、超过 50% 的高风险漏洞被威胁者和勒索软件组织利用

　　在我们跟踪的 206 个高风险漏洞中，超过 50% 被威胁者、勒索软件或恶意软件利用来破坏系统。

　　1)115 被指定的威胁行为者利用。

　　2)20 被勒索软件利用。

　　3)15 被恶意软件和僵尸网络利用。

　　已发现的漏洞涉及广泛的系统和应用程序，包括但不限于 PaperCut NG、MOVEit Transfer、各种 Windows 操作系统、Google Chrome、Atlassian Confluence 和 Apache ActiveMQ。这种广度表明，没有任何应用程序是攻击者无法触及的，他们决心利用任何漏洞来破坏系统。

　　值得注意的是，其中许多漏洞(例如 MOVEit Transfer、Windows SmartScreen 和 Google Chrome 中发现的漏洞)都可以远程利用，无需物理访问目标系统。

　　某些漏洞允许攻击者绕过身份验证机制(如 PaperCut NG 中的漏洞)，或提升其权限(如 Windows 通用日志文件系统驱动程序漏洞)。这些类型的漏洞尤其令人担忧，因为它们有可能授予攻击者更高级别的访问权限，从而简化系统入侵和数据泄露工作。

　　此外，Fortra GoAnywhere MFT 和 Apache ActiveMQ 等平台中发现的漏洞能够促进远程代码执行或命令注入。这些允许攻击者运行任意命令，这可能导致完全控制系统。

　　网络安全威胁通常针对 MOVEit Transfer 中的特定软件版本，需要动态且全面的策略。这包括定期更新、补丁、漏洞评估和强大的身份验证。主动和预防措施对于有效防御这些不断变化和复杂的威胁至关重要，而不仅仅是被动反应。

　　五、顶级 MITRE ATT&CK 战术和技术

　　到 2023 年，我们数据集中的所有 206 个漏洞都被武器化，为网络对手所采用的策略提供了鲜明的视角。在这里，我们研究了这些漏洞利用中使用的顶级 MITRE ATT&CK 技术和方法，揭示了最普遍的网络攻击途径：

　　1、远程服务利用(T1210 和 T0866)：这是最常见的方法，在企业环境中出现了 72 次，在工业控制系统 (ICS) 中出现了 24 次。该技术用于初始访问和横向移动，强调了保护远程服务协议免受未经授权的访问和利用的重要性。

　　2、面向公众的应用程序的利用(T1190 和 T0819)：该技术在企业域中发生了 53 次，在 ICS 中发生了 19 次，该技术针对的是可通过互联网访问的应用程序。这是攻击者青睐的初始访问路径，展示了对强大的面向外部应用程序安全性的迫切需求。

　　3、利用权限升级 (T1068)：此技术已被提及 20 次，涉及攻击者利用漏洞在系统内获取更高权限。它的出现强调了企业网络内有效的权限管理和监控的必要性。

　　除了主要方法之外，2023 年还出现了其他有助于形成多样化威胁矩阵的策略，例如：

　　客户端执行的利用 (T1203)、移动设备中的权限提升 (T1404)、应用程序/系统利用 (T1499.004)、外部远程服务 (T1133)、偷渡式妥协 (T1189)、ICS 中的权限提升 (T0890)、恶意链接 (T1204.001)、移动设备中的远程服务开发 (T1428)

　　这些技术中的每一种都代表了网络安全中的独特挑战，为网络对手不断变化的策略提供了见解。从利用面向公众的应用程序到利用远程服务和执行权限升级，这些方法描绘了复杂且多方面的威胁态势。了解这些普遍的攻击技术对于制定更有效的防御策略和加强针对这些普遍威胁的网络安全措施至关重要。

　　六、最活跃的威胁

　　1、最常被利用的漏洞

　　今年，某些漏洞成为最常被利用的漏洞。这些包括：

　　CVE-2023-0669、CVE-2023-20887、CVE-2023-22952、CVE-2023-23397、CVE-2023-24880、CVE-2023-27350、CVE-2023-28252、CVE-2023-2868、CVE- 2023-29059，CVE-2023-34362

　　这些漏洞的利用量表明了攻击向量的趋势，并强调了有针对性的防御策略的必要性。

　　2、2023 年最活跃的威胁参与者

　　2023 年，网络格局因 TA505(也称为 CL0P 勒索软件团伙)而震动。该组织利用零日漏洞策划了一次引人注目的网络攻击，他们特别利用了 GoAnywhere MFT、PaperCut、MOVEit 和 SysAid 等关键平台中的零日漏洞。他们复杂地使用各种恶意软件类型来收集信息和促进攻击，这使他们成为重大威胁。他们行为的严重性促使网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 提出建议，强调需要改进网络安全措施。

　　3、2023 年最活跃的恶意软件

　　2023 年，LockBit和 Clop 在勒索软件领域表现突出。LockBit 使用其先进的勒索软件即服务模型，瞄准了一系列组织，包括 IT 和金融领域的组织。值得注意的是，LockBit 利用了 PaperCut NG 中的 CVE-2023-27350 和 Google Chrome 中的 CVE-2023-0699 等漏洞，允许远程攻击者绕过身份验证并利用堆损坏。

　　Clop 以利用漏洞而闻名，对大型企业进行了广泛的攻击，特别是在金融、IT 和医疗保健领域。Clop 的活动包括利用 CVE-2023-27350、CVE-2023-34362、CVE-2023-0669 和 CVE-2023-35036。这些漏洞包括 MOVEit Transfer 中的 SQL 注入(允许数据库访问)、GoAnywhere MFT 中的预身份验证命令注入以及 PaperCut NG 中的绕过身份验证。

　　网络安全格局正在不断发展，随着黑客工具和知识的激增，技术水平较低的黑客可以利用曾经只有高度复杂的攻击者才能访问的漏洞。这扩大了攻击者范围，包括高级黑客、经验不足的恶意网络行为者和数字活动家，标志着网络威胁动态的重大转变。

　　这些实例突显了漏洞从发布到武器化利用再到利用的速度，并说明了网络威胁在漏洞披露后迅速演变。从发布到利用和武器化的快速演变强调了组织密切监控披露并实施快速响应机制以减轻潜在攻击的迫切需要。

　　Qualys VMDR with TruRisk 通过为每个漏洞提供清晰的 TruRisk 评分 (QVS)，简化了被利用漏洞的优先级排序。该评分系统易于技术和非技术团队理解，有助于识别高风险问题。TruRisk 持续评估 QVS 超过 90 的漏洞，应优先考虑并及时解决，以实现有效的风险管理。

　　七、结论

　　当我们结束对 2023 年威胁形势的分析时，很明显，漏洞武器化的快速发展和威胁行为者的多样性给全球组织带来了重大挑战。以下是降低风险的一些关键建议：

　　1、为了准确评估组织内公开漏洞带来的真正风险，企业必须采用一套全面的传感器，从代理到网络扫描仪再到外部扫描仪。

　　2、彻底清查所有面向公众的应用程序和远程服务，以确保它们不易受到高风险漏洞的影响。

　　3、采用多方面的方法来确定漏洞的优先级。重点关注那些已知在野外被利用的人(从 CISA KEV 开始)、那些被利用的可能性很高的人(由高 EPSS 分数表示)以及那些拥有可用的武器化利用代码的人。

　　这些建议将有助于强化对稳健、主动的漏洞和风险管理方法的迫切需求，特别是在网络威胁日益复杂和普遍的时代。

        卓码软件测评是一家[ 具备CMA、CNAS双重资质 ]的专业做软件测试的第三方软件测试服务机构, 可根据您的需求提供各类软件测试服务，并出具合格有效的软件测试报告。点击→→可了解测试报价

        部分文字、图片来自网络，如涉及侵权，请及时与我们联系，我们会在第一时间删除或处理侵权内容。负责人：曾菲       电话：4006070568