Rust 不會拯救我們:2023 年已知被利用漏洞的分析

https://www.horizon3.ai/analysis-of-2023s-known-exploited-vulnerabilities/

2023 已知被利用的漏洞分析總結:

提要:CISA 一直引領著安全設計的風潮,呼籲開發人員使用 Rust 等內存安全語言。Google Chromium 報告顯示,其高嚴重性問題中約有 70%是內存安全問題。Microsoft 也有同樣比例的內存安全問題。本文分析了從 2023 年 1 月到 2024 年 1 月 CISA 已知被利用的漏洞目錄中所列的所有關鍵漏洞。

重點:

1. 不安全的暴露功能是 CISA KEV 中的主導

近一半的漏洞是由不安全的暴露功能啟用的。雖然近期一直在推動安全改進,但對於解決這種漏洞類別的努力或策略似乎不成比例。

2. Rust 無法拯救我們,但它會幫助我們

內存安全問題在數據集中佔了 20%。有趣的是,75%的內存安全漏洞已被威脅行為者利用為 0 天。另外,25%是由安全研究人員發現,事後才發現被利用為 0 天。

3. Web 路由和路徑濫用並列第二

在圖 1 中近 20%的漏洞是由網絡應用程序中的路由和路徑濫用導致的。

4. 威脅行為者喜歡利用設備

49%的目標是設備,這不是一個新的趨勢。

技術分析:截至 2023 年初,CISA KEV 目錄中已新增 212 個漏洞,僅 41 個漏洞被評為危急。

結語和展望:大部分被利用的漏洞都很容易被利用。雖然像 Rust 這樣的內存安全語言可能有所幫助,但解決風險仍有很多工作要做。建議給供應商、開發人員、保護者和研究人員。 2023 年已經看到了類似的趨勢,我們可能會繼續發現類似的漏洞。

※以上內容為總結,部分漏洞和技術名詞已簡化翻譯。

via Horizon3.ai

February 6, 2024 at 06:02PM

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *