Google: 70% эксплуатируемых уязвимостей в 2023 году были «нулевого дня»

Согласно новому отчёту аналитиков безопасности Google Mandiant, в 2023 году более 70% (97 из 138) уязвимостей, активно использованных злоумышленниками, были так называемыми «уязвимостями нулевого дня» (0-day). Это означает, что атаки начались до того, как разработчики программного обеспечения узнали о проблемах и выпустили обновления для их устранения.

В 30% (41 из 138) случаев первый факт эксплуатации уязвимости выявлен уже после публикации исправлений (n-day). В отчёте за 2021-2022 годы доля n-day уязвимостей составляла 38%, а за 2020 год — 39%.

Из тенденций также отмечается значительное ускорение разработки эксплоитов — среднее время появления эксплоитов для новых уязвимостей в 2023 году составило 5 дней после публикации исправления в уязвимом ПО, в то время как в 2021 и 2022 годах этот показатель составлял 32 дня, в 2020 году — 44 дня, а в 2018-2019 годах — 63 дня.

В 12% случаев первый факт эксплуатации уязвимости выявлен в течение суток после публикации патча, в 29% — в течение недели, в 56% — в течение месяца, в 5% — 6 месяцев (в 2022 году этот показатель составлял 25%).

Для примера Google приводит две уязвимости: в плагине для WordPress (CVE-2023-28121) и в Fortinet FortiOS (CVE-2023-27997). В первом случае атаки начались через три месяца после раскрытия уязвимости, во втором — сразу после обнаружения, но активные атаки были зафиксированы только через четыре месяца.

Таким образом, время до эксплуатации зависит от множества факторов: сложности уязвимости, мотивации злоумышленников и ценности цели, что делает этот процесс крайне непредсказуемым.