Google麾下的资安业者Mandiant本周公布了2023年的漏洞分析报告,指出去年遭到利用的138个安全漏洞中,有97个属于零日漏洞(Zero-day),41个为N日漏洞(N-day),尽管先前即曾预测骇客对零日漏洞的利用会愈来愈多,但现况比他们原本以为的更严重。
所谓的零日漏洞指的是尚未修补就被攻陷的安全漏洞,N日漏洞则是已公开且有修补程式之后再被攻陷的漏洞。
资安业者通常是以利用时间(Time-to-exploit,TTE)来定义漏洞自被修补(或未修补)至实际遭到攻击的平均时间,Mandiant则发现,骇客利用漏洞的时间逐年缩短,例如2018至2019年的TTE为63天,2020到2021年是44天,2021到2022再减少至32天,然而,去年的TTE降幅是史上最大,平均只有5天。
其实最近这几年遭到攻击的零日漏洞数量都比N日多,但维持稳定比例,例如2020至2021年的比例为61:39,2021年至2022年为62:38,却在去年脱序至70:30,Mandiant尚不确定这是一次性的,或为一个重要的转折。
此外,对于那些N日漏洞遭到利用的时间点,有12%的漏洞是在修补程式现身的第一天就被利用,29%是在修补的一周内被利用,56%是在一个月内被利用。显示漏洞最有可能遭到利用的时间点是在修补后的一个月内,与以往的统计一致。在41个N日漏洞中,有75%的攻击程式是在漏洞尚未被利用前就发布,只有25%是在漏洞遭利用后才发布。
在去年被利用的138个漏洞中,分属53家不同的业者,有8个源自Google,微软与苹果各占7个,第四名的Adobe也有6个。