Qualys 2023 威脅情勢年度回顧

2023 年威脅情勢的重點摘要：

• 絕大多數的重大網路攻擊都源自於不到 1% 的漏洞。
• 97 個可能被利用的高風險漏洞不屬於CISA 已知被利用的漏洞 (KEV) 目錄。
• 25% 的高風險常見漏洞在發布當天就立刻成為被利用的目標。利用已知漏洞代表攻擊行為方式的轉變，突顯了攻擊者效率不斷提升、防禦者回應空間不斷縮小。
• 1/3 的高風險漏洞會影響網路設備和 Web 應用程式。
• 遠端服務漏洞利用(Exploitation)、對外應用程式漏洞利用，以及權限升級漏洞利用是 MITRE ATT&CK 的前三大戰略(tactics)。

2023 年發現的漏洞數量總數為 26,447 個，比同年實際被披露的漏洞數量多出 1,500 多個，但已是有史以來漏洞披露的最高數量。在已揭露的漏洞中，超過 7,000 個漏洞具有概念驗證漏洞利用程式碼，可能會導致成功利用漏洞。但大部分漏洞利用程式碼的品質通常較低，這可能會降低攻擊成功的可能性。

大約 206 個漏洞具有可用的武器化利用程式碼，這意味著如果使用它們，它們很可能會危害目標系統。有 115 個漏洞經常被威脅者、惡意軟體和勒索軟體組織利用。

超過三分之一的已識別高風險漏洞可以遠端利用。五種最常見的漏洞類型佔已發現漏洞總數的 70% 以上，包含：安全繞過、RCE、權限提升、輸入驗證及解析、緩衝操弄等。

 
2023 年高風險漏洞的平均利用時間約為 44 天。然而，報告指出，在許多情況下，利用幾乎是在瞬間發生的，有些漏洞在發布當天就被利用了。

利用已知漏洞代表攻擊行為方式的轉變，突顯了攻擊者效率不斷提升、防禦者回應空間不斷縮小。25% 的高風險常見漏洞在發布當天就立刻成為被利用的目標。

2023 年被利用的主要漏洞包括針對 PaperCut NG、MOVEit Transfer、各種 Windows 作業系統、Google Chrome、Atlassian Confluence 和 Apache ActiveMQ 的漏洞。許多漏洞還可以遠端利用，無需實體存取目標系統。

 
2023 年使用的頂尖 MITRE ATT&CK 技術和方法包括對 T1210 和 T0866 的遠端服務漏洞利用，這種情況在企業中發生了72 次，在工業控制系統(ICS)中發生了24 次，凸顯了保護遠端服務協定安全的重要性。

T1190 和 T0819 則是公開的應用程式利用，在企業中觀察到 53 次，在 ICS 中觀察到 19 次，而特權升級利用（稱為 T1068）以 20 次記錄的實例位居第三。

2023 年最活躍的威脅參與者是 Clop，有時稱為 TA505 或 CL0P。該組織是備受矚目的網路攻擊的幕後黑手，這些攻擊利用了 GoAnywhere MFT、PaperCut、MOVEit 和 SysAid 等平台上的零日漏洞。在勒索軟體方面，Clop 和 LockBit 是領先的駭客組織。

依據上述分析，很明顯可以看出，漏洞武器化的快速發展和威脅行為的多樣化為全球組織帶來更嚴峻的挑戰。企業應採用全方位的弱點掃描及弱點管理工具來清查公開的應用程式和遠端服務的漏洞，以準確評估組織內的漏洞風險，並清查對外應用程式和遠端服務的外部攻擊面，確認漏洞修補的優先順序。

最常被利用的漏洞

今年，某些漏洞成為最常被利用的漏洞（如下表所示），這些漏洞的利用量顯示了攻擊向量的趨勢，並強化了特定防禦策略的必要性。

資料來源：

• Qualys 2023 Threat Landscape Year in Review
• 資安人－觀點