Action1 發布 2024 年軟體漏洞評級報告

中華數位科技合作代理的 Action1，是一家整合即時漏洞發現和自動修補漏洞管理解決方案供應商，近期發布「2024 年軟體漏洞評級報告」，報告提供對企業常用軟體漏洞趨勢的即時見解，並且特別關注於漏洞利用率和遠端程式碼執行(RCE)漏洞。

Action1 研究人員發現，企業軟體類的漏洞總數出現了驚人的成長。報告根據企業軟體類別和特定應用程式中的可利用率和 RCE 漏洞的動態，深入研究了五個主要趨勢。

五大趨勢與發現：

• 攻擊者以創紀錄的利用率瞄準負載平衡器：
   Action1 研究人員發現 NGINX的利用率高達100%，Citrix為57%。負載平衡器中的漏洞會帶來重大風險，因為只要一種漏洞就可以使攻擊者對目標網路進行廣泛存取或破壞。

• 攻擊者針對 Apple 作業系統發動攻擊：
   MacOS 和 iOS 的利用率分別增加了 7% 和 8%。儘管從 2023 年到 2022 年，MacOS 的漏洞總數減少了 29%，但被利用的漏洞卻增加了 30% 以上。這些增長顯現了對 iOS 裝置的攻擊針對性。

• MSSQL RCE 漏洞激增，凸顯新風險：
   2023 年，Microsoft SQL Server (MSSQL) 的關鍵漏洞激增 1,600 %，且每個漏洞都是RCE。這表明攻擊者正在快速發現並利用下一個未知的 RCE。

• 由於攻擊者利用人為錯誤，MS Office 的可利用性提高：
  MS Office 的嚴重漏洞佔年度漏洞總數近 80%，其中高達 50% 是 RCE。 2023 年，微軟的利用率上升至 7%，而 2022 年為 2%。這些發現強調了威脅行為者對易受人為錯誤影響的用戶端軟體的利用。

• RCE 和被利用漏洞的激增引發對 Edge 安全性的擔憂：
  在分析的三年中，Edge 的RCE 漏洞數量創歷史新高，2023年的利用率相較前一年也有所增長。

這些發現強調威脅的持續演變以及主動安全策略的必要性，包括作業系統和第三方應用程式漏洞的即時修補。為了跟上不斷變化的漏洞情勢，Action1專家建議企業檢視其技術堆疊（可能淘汰某些易受攻擊的技術），根據趨勢預測未來的漏洞，不斷改進其安全態勢以快速適應新的威脅。

下載 Action1《2024 年軟體漏洞評級報告》

https://www.surveycake.com/s/xXG9e

關於《2024 年軟體漏洞評級報告》：

報告分析了 2021~2023 年的數據，並從 NVD 和 cvedetails.com 中汲取見解。根據這些數據量化漏洞，並提供威脅情勢隨時間變化的全面視圖。

報告使用了 Action1 研究團隊開發的「漏洞利用率」指標來顯示被利用的漏洞與漏洞總數的比例。這個指標透過顯示漏洞利用的敏感性，幫助企業評估與供應商軟體相關的風險，以及其漏洞管理計劃的全面性。報告統計了 RCE，這是一種危險類型的漏洞，允許攻擊者遠端執行任意程式碼並可能危及關鍵系統。RCE 數量增加的應用程式，可能有更多潛在的入口點供攻擊者利用。

關於 Action1

• Action1重新定義漏洞修補管理，提供無限擴展且高度安全的平台，可在 5 分鐘內完成設定並正常運作。

• 針對第三方軟體和作業系統的整合即時漏洞評估和自動修復、點對點修補漏洞分發，確保持續的修補漏洞合規性，減少勒索軟體和安全風險，同時降低成本。

• 即時漏洞發現和修復功能，使組織能夠縮短漏洞平均修復時間 (MTTR)。

• 第一家獲得 SOC 2 和 ISO 27001 認證的漏洞修補管理供應商。

• G2 連續評價，排名第一、最容易使用的漏洞修補管理解決方案。

Softnext 中華數位科技

中華數位科技致力於電子郵件安全、網路內容安全、企業資料保護的技術研究與開發，具備豐富的資安系統開發技術/經驗與客戶資安系統導入及維護經驗。長期追蹤資安威脅發展趨勢，深知企業的資安需求不僅限於郵件安全。除了在郵件安全領域持續精進，亦聆聽客戶需求，引進國際大廠專業防護產品，如 XDR/MDR、漏洞修補管理、存取變動稽核…等，協助建立更全面的防禦準備。https://www.softnext.com.tw