2024 年首份软件漏洞报告

Action1 Corporation 发布了其首份 2024 年软件漏洞评级报告。

该报告旨在为首席信息安全官 (CISO) 和首席信息官 (CIO) 提供有关其软件生态系统的战略见解。

它根据软件供应商的安全记录对其进行评估，以便做出更明智的采购决策。

此次发布是在国家漏洞数据库 (NVD) 漏洞数据丰富方面持续延迟之后发布的。

Action1 的报告及时洞察了常用企业软件类别中的漏洞趋势。

它特别关注漏洞利用率和远程代码执行 (RCE) 漏洞。

由于 NVD 延迟将通用漏洞和暴露 (CVE) 标识符与 CPE（通用平台枚举）数据关联起来，我们的报告发布得正是时候，为企业软件不断变化的漏洞形势提供了急需的见解。

我们的目标是让关键决策者掌握必要的知识，以便他们在传统对 NVD 的依赖受到挑战的同时，能够使用替代方法优先进行漏洞监控。

该报告强调了网络安全社区共享信息并在私营网络安全公司、学术机构和其他威胁情报平台之间建立更牢固关系的紧迫性。

鉴于 NVD 危机，网络安全社区需要共享信息并在私营网络安全公司、学术机构和其他威胁情报平台之间建立更牢固的关系，以促进全面及时的数据共享，从而让所有组织都能增强其安全态势。

Action1 的研究人员发现，所有企业软件类别中的漏洞总数显著增加。

该报告根据可利用率以及企业软件类别和特定应用程序中 RCE 漏洞的动态，深入探讨了五个主要趋势。

一项重要发现表明，NGINX (100%) 和 Citrix (57%) 等负载均衡器的利用率很高。

根据该报告，负载均衡器中的漏洞构成重大风险，因为一次利用就可以为攻击者提供针对目标网络的广泛访问或破坏能力。

另一项发现强调了 Apple 操作系统的利用率增加。

MacOS 和 iOS 的利用率分别增加了 7% 和 8%。

尽管苹果系统的漏洞总数从 2023 年到 2022 年减少了 29%，但被利用的漏洞却增加了 30% 以上，凸显了针对苹果设备的攻击。

该报告还发现，2023 年 Microsoft SQL Server (MSSQL) 的严重漏洞数量激增 1600%，每个漏洞都是 RCE。

这表明存在重大风险，因为攻击者很快就会发现并利用 MSSQL 中的新 RCE 漏洞。

此外，MS Office 的严重漏洞占年度总体漏洞数量的近 80%，其中 50% 为 RCE。

微软的利用率从 2022 年的 2% 上升至 2023 年的 7%，这表明攻击者如何利用容易出现人为错误的面向用户的软件。

报告中指出的另一个令人担忧的领域是 Edge 安全。

三年内，Edge 的 RCE 漏洞数量激增至 17%，而 2022 年则增长了 500%。

Edge 还报告称，2023 年的利用率为 7%，比上一年增加了 2%。

2024 年软件漏洞评级报告分析了 2021 年、2022 年和 2023 年的数据。

它借鉴了 NVD 和 cvedetails.com 的见解，量化了漏洞并全面展示了威胁形势如何随时间演变。

该报告采用了 Action1 研究团队开发的“利用率”指标，以显示被利用的漏洞占漏洞总数的比例。

该指标可帮助企业评估与供应商软件相关的风险，表明软件的漏洞利用率和漏洞管理计划的全面性。

此外，Action1 还跟踪了 RCE 漏洞，这些漏洞允许攻击者远程执行任意代码，从而可能危及关键系统。

这些发现表明威胁在不断演变，需要采取主动的安全策略，包括及时修补操作系统和第三方应用程序。

Action1 专家建议企业审查其技术堆栈，根据趋势预测未来的漏洞，并不断改善其安全态势，以快速适应新威胁。