24%的网络漏洞在被修补前已被利用

根据VulnCheck的分析报告，2024年期间，被利用的安全漏洞（CVE）数量增加了五分之一。这一增长部分归因于透明度增加以及监控能力的提升。然而，应对这些安全威胁仍需采取积极的预防措施。

去年发现的大约四分之一（24%）的已知可被利用的安全漏洞，在对应的CVE公开披露之时或者之前就已经遭到了利用。

根据安全公司VulnCheck的研究，去年首次公开报告了768个CVE在野利用，较2023年确认的639个首遭利用的CVE增加了20%。

尽管约四分之一的安全漏洞在补丁发布前就已被利用，但大多数漏洞利用发生在安全补丁发布后很长时间。约一半的漏洞会在补丁发布后的192天内首次被攻击者利用，但仍有大量漏洞在补丁发布数月甚至数年后才遭到利用。例如，在补丁发布1000天后（接近三年），最终会被利用的漏洞中仅占75%。

VulnCheck 的研究数据来源于上百个不同的信息源，其中包括多家安全公司、政府部门以及非盈利组织如Shadow Server等。

01、漏洞信息更加透明

来自各行业所披露的CVE数量增加，有助于（至少部分地）解释VulnCheck在连续年度研究报告期间所记录的被利用漏洞增长现象。

“报告中提及的漏洞利用数量的增长是因为漏洞批露源的增加，”VulnCheck 表示。“与漏洞利用相关的可见性更高了，因为越来越多的组织、供应商和安全研究团队正在报告漏洞利用并公开披露证据。”

Bugcrowd的技术项目经理Matthias Held指出，越来越多的公司正在提高对网络安全的认识和责任感，这导致了关于漏洞的信息更加透明。公开披露的大量CVE无疑也推动了这一趋势，有助于更准确地评估对可利用目标系统的实际影响。

Wordfence 披露作为 VulnCheck 研究的一部分，其关于 WordPress 遭受攻击的数据是关键内容。WordPress 因为其广泛的应用（约占所有网站的40%），成为了黑客攻击的主要目标，这意味着 VulnCheck 在这方面的年度统计数据可能会呈现上升趋势。

Held说，“随着易受攻击版本的WordPress上运行的Web应用可被轻易利用，漏洞数量将随之增加”。

同时，现在有多家公司被指定为CVE编号颁发机构。由于越来越多的机构发布CVE编号，这种发布的频率自然随时间增长而提高。

“我相信这些数据清楚地提醒我们，我们需要在所有组织中优先考虑增强漏洞管理策略，包括全面的威胁情报共享计划和实时攻击缓解工作，”Held 总结道。

02、实施主动安全实践

软件成分分析公司Black Duck的高级安全工程师Boris Cipot表示，多重因素导致了被利用漏洞数量的上升，这其中就包括了监测能力的进步。

“我们使用的软件可能只是包含更多的漏洞，或者这些漏洞被更有效地报告和发现，”Cipot 说。“一些漏洞在很长一段时间内都没有修补，这让攻击者有更多时间来利用它们。”

无论是何原因导致的漏洞利用，这都提醒我们必须采取主动的安全措施来保护自己免受潜在威胁。

“组织必须投资于可观察性工具，以监控其环境并检测可疑活动，”Cipot 说。“采用零信任方法可以通过限制访问和降低风险来进一步增强安全性。”

Acumen Cyber 首席技术官 Kevin Robertson 表示，该研究显示，组织在应用安全补丁方面所需的时间正在不断缩减。

Robertson说：“尽管调查结果显示被积极利用的安全漏洞（CVE）有所增加，但这一趋势很可能是由于对第三方软件的过度依赖所致。现代企业高度依赖第三方应用和服务，这增加了其潜在的攻击面。”

Robertson建议：“随着组织不断整合第三方软件至其环境，应将主动漏洞管理融入其安全战略之中。”

03、相较于系统漏洞，更多安全事件的主因是凭证泄露

在接受CSO采访的其他供应商中，许多人倾向于淡化漏洞作为安全入侵媒介的重要性。他们认为，被攻陷的凭证才是更大的安全隐患因素。

Rapid7报告称，随着社会工程攻击的增加以及越来越多的攻击者滥用已泄露的凭据信息来侵入那些安全防护薄弱的远程系统，他们观察到利用漏洞进行初始访问的行为正在逐年减少。

“我们注意到，Rapid7 团队在 2024 年观察到的许多事件最初被认为是漏洞利用，但结果却是由于攻击者使用泄露的凭据，而不是 CVE 利用，”Rapid7 漏洞情报总监 Caitlin Condon 告诉 CSO。

根据Rapid7的托管检测与响应（MDR）团队的说法，导致安全事件的安全漏洞主要是因为老旧的缺陷，而不是0-day。

“去年，Rapid7 MDR团队在实际生产环境中看到的漏洞绝大多数是 2024 年新出现的 CVE，并且有已知的利用方法，”Condon 告诉 CSO。“我们的团队观察到的针对生产系统的其余被利用的CVE，是之前曾用于高度公开的威胁活动的旧漏洞。”

据Rapid7称，2024年检测到的多数漏洞利用事件都针对文件传输应用程序和网络边缘设备。Condon表示，无论这些漏洞是否曾经被利用过，都会成为攻击者的目标。