近日,谷歌发布了《2024年零日漏洞利用分析》,报告揭示了攻击者不断变化的零日漏洞利用方式,以及零日漏洞利用正瞄准数量更多、种类更广泛的企业产品。现将部分观点摘录如下,以供参考。
零日漏洞利用仍在逐步增加
2024 年在实际攻击中被利用的零日漏洞有 75 个,这一数量相比 2023 年的98 个有所减少,但仍高于 2022 年的63 个。尽管各年度的漏洞数量有所波动,但平均趋势线表明,零日漏洞被利用的比率仍在以缓慢但稳定的速度增长。虽然零日漏洞利用的发现涉及多个因素,但检测能力的不断提高和普及,以及更频繁的公开披露,都导致与 2021 年之前相比,检测到的零日漏洞利用数量有所增加。
2024 年,受跟踪的零日漏洞中有 44%(33 个)影响了企业技术,这一比例高于以往任何一年,延续了我们去年观察到的增长趋势。其余56% (42 个)则针对终端用户技术。
企业端利用攻击增多 攻击者愈发关注安全和网络产品
2024 年,有 33 个零日漏洞被用于攻击企业软件和设备(企业产品包括那些主要由企业使用或在企业环境中使用的产品)。虽然绝对数量略低于2023 年的36 个漏洞,但针对企业的漏洞比例已从 2023 年的 37% 上升到 2024 年的 44%。在这 33 个针对企业的零日漏洞中,有 20 个瞄准了安全和网络产品,与 2023 年的 18 个略有增加,但与2024年的零日漏洞总数相比,比例提高了 9%。与针对终端用户技术的攻击相比,对企业产品的漏洞利用能够更有效且高效地导致大规模的系统和网络遭到破坏。我们预计,攻击者将继续加大对这些技术的关注力度。
浏览器端和移动端利用攻击减少
2024 年,有56%(42个)针对的是终端用户平台和产品(报告定义为个人在日常生活中使用的设备和软件,虽然企业也经常会使用这些设备和软件)。这些漏洞被用于攻击浏览器、移动设备和桌面操作系统。针对浏览器的零日漏洞利用数量减少了约三分之一(从 17 个降至 11 个),针对移动设备的减少了约一半(从 16 个降至 9 个),但谷歌浏览器(Chrome)是浏览器零日漏洞利用的主要目标。
安卓设备中第三方组件仍不断被利用,。2023 年,在安卓设备上被利用的 7 个零日漏洞中,有 5 个是第三方组件中的缺陷。2024 年,在安卓设备上被利用的 7 个零日漏洞中,仍有 3 个是在第三方组件中发现的。第三方组件很可能被视为开发漏洞利用程序的高价值目标,因为它们能让攻击者入侵安卓生态系统中许多不同品牌和型号的设备。
2024 年,影响桌面操作系统的零日漏洞总数有所增加,2023 年操作系统漏洞在零日漏洞利用总数中仅占 17%,而 2024 年这一比例接近 30%。这表明操作系统仍然是一个非常大的攻击目标。
针对微软 Windows 系统的漏洞利用持续增加,从 2022 年的 13 个零日漏洞,增加到 2023 年的 16 个,再到 2024 年的 22 个。预计它将继续成为威胁行为者进行零日漏洞利用和 “已公开日期” 漏洞利用(即在漏洞补丁发布后仍被利用的漏洞)的热门目标。
零日漏洞主要用来实现远程代码执行和提升权限
2024 年,通过零日漏洞实现远程代码执行和提升权限的情况占所追踪到的零日漏洞利用总数的一半以上(42 起)。
释放后使用漏洞、命令注入漏洞和跨站脚本(XSS)漏洞这三种类型漏洞是最常被利用,在2024年分别有8起,8起和6起。代码注入漏洞和命令注入漏洞几乎都被发现是针对网络和安全软件及设备的,这表明利用这些漏洞的意图是为了控制更大的系统和网络。跨站脚本(XSS)漏洞则被用于攻击各种产品,包括邮件服务器、企业软件、浏览器和一个操作系统。
这三种类型的漏洞都源于软件开发错误,需要达到更高的编程标准才能防止其出现。
零日漏洞攻防竞速战
抵御零日漏洞利用仍然是一场关乎策略和优先事项安排的竞赛。如今,零日漏洞不仅变得更容易获取,而且攻击者开始利用新型技术,这会让经验相对不足的供应商应对起来颇为吃力。
供应商在漏洞利用缓解措施方面的投入,对攻击者能够得手的领域产生了明显影响,一些过去曾是热门攻击目标的产品,如浏览器和移动操作系统,其零日漏洞被利用的情况显著减少。但由于操作系统和浏览器在日常生活中无处不在,大型科技公司的产品始终是极具吸引力的攻击目标,手机和浏览器几乎肯定仍会是热门的攻击目标,企业软件和设备遭受零日漏洞利用的情况可能也会继续增加。
同一类别的漏洞被利用,这表明攻击者在寻找漏洞时存在一定模式,他们会找出那些最容易被利用且对其最有利的弱点。类似问题持续存在且不断被利用,使得零日漏洞的利用变得更加容易。
归根结底,零日漏洞是否会被利用将取决于供应商的决策,以及他们对抗威胁行为者的目标和意图的能力。
正如全球威胁情报小组(GTIG)所说:“供应商应该考虑到威胁活动的这种变化,并弥补配置和架构决策方面存在的漏洞,因为这些漏洞可能会使单一产品被利用,从而造成无法挽回的损害。”
京公网安备 11010802033237号
