2024年度软件漏洞与威胁情报报告

FLEXERA ™ 2024 年度软件漏洞与威胁情报报告 杰罗恩·布拉克 基于SecuniaResearch的数据 1 ©2025Flexera 重用 我们鼓励在本文条款下重新使用本报告中发布的数据、图表和文本 知识共享署名4.0国际许可协议。只要您署名，您可以自由分享和商业化使用此作品Flexera2024软 件漏洞与威胁情报报告按照许可协议的条款规定。 内容 复用2 引言5 一个安全公告的解剖结构6 2024总结.7 提示说明分解.10 与往年相比.10填补空白—— 漏洞评分和产品上下文....................................................12警报严重性及攻击向量................... ....................................................................13警报及影响（利用的后果）................................ .................................14拒绝警报................................................................................................ ..................15 处理认知问题与脆弱性见解.17 流行率18资 产敏感性17严重 性.17威胁 情报.17我们如何知 道需要更多见解/数据？...................................................................18带走1............................. .................................................................................................18带走2.................................... ..........................................................................................18 供应商视图19 前25家发布最多漏洞✁供应商.19前供 应商平均威胁分数最高✁供应商.20发布零日漏洞 ✁供应商.20 产品视图.21 报告*中最多零日漏洞的产品21最多漏洞的20个 操作系统21 浏览器相关公告22 每个浏览器✁公告.22零 日漏洞.22浏览器攻击向 量.22 网络相关公告.23 每个网络相关供应商的安全公告数量23每个网络相关供 应商✁平均威胁和CVSS评分.23 威胁情报24 包含至少一个CVE✁SAIDs.24 打补丁.25 供应商修复漏洞................................................................................................26SVM补丁统计........... .......................................................................................................26SVM每月更新的补丁.................... ....................................................................26本年度前25名供应商补丁（按供应商排序）.................... ...................................................27 了解更多.28 介绍 这Flexera2024软件漏洞与威胁情报报告基于FlexeraSecunia研究团队的数据，该团队为Flexera的用户生产有价值的建议 软件漏洞研究和软件漏洞管理器解 该报告从漏洞、威胁情报和补丁的角度分析了软件安全的演变。 该报告展示了全球范围内漏洞、利用程序、补丁的流行情况，并将安全威胁映射到IT基础设施上 。 报告涵盖了什么？ 年度漏洞评审基于Flexera的数据SecuniaResearch.secuniaresearch监视超过71,000个应用程序 、设备和操作系统，并测试和验证其中报告的漏洞。 SecuniaResearch监控的系统和应用正在FlexeraSoftware漏洞管理解决方案的客户环境中使用。 漏洞数据库涵盖可在各种类型产品中利用的漏洞，包括软件、硬件和固件。 Secunia研究验证的漏洞被描述为SecuniaAdvisory以及列在Flexera漏洞数据库中，详细说明了IT安全团队需要了解的信息，以减轻其环境中漏洞风险。Secunia建议描述包括严重性、攻击向量、可利用性和解决方案状态。 我们如何计算漏洞？ 漏洞管理领域的研究公司采用不同的方法来统计漏洞。 Secunia研究按漏洞出现的产品统计漏洞。我们应用此方法来反映我们的客户需要保持其环境安全的信息级别。 我们提供经过验证的情报，列出了受给定漏洞影响的所有产品。 Secunia研究软件漏洞跟踪流程 一个漏洞是软件中的错误，可以被利用并造成安全影响和获利。SecuniaResearch通过遵循经过多年完善的、一致且标准化的流程，验证、核实和测试漏洞信息，以撰写提供宝贵细节的安全公告。 每当有新的漏洞报告时，它将被验证，并发布一条Secunia公告。Secunia公告提供详细信息，包括漏洞描述、风险评级、影响、攻击向量、推荐缓解措施、致谢、参考资料等，以及验证和测试过程中发现的额外细节，从而提供有关如何保护系统的必要信息，以便做出适当的决定。 点击此处了解更多关于Secunia建议及其内容的信息。 安全公告的解剖 一个安全通告是SecuniaResearch进行的工作摘要，用于沟通特定软件产品版本的标准化的、经过验证的、丰富的漏洞研究。 我们在公告中进行了明确的分析后，会发布SecuniaResearch严重性评级和通用漏洞评分系统（CVSS）指标。这种双重评级方法极大地改进了按严重性优先排序的方式——提供包含产品上下文和相关安全最佳实践的评估。 A拒绝建议研究团队发布意味着我们已经确定它不值得你的关注。本通报发布于供应商发布了一项承认漏洞的通报，而我们并不认为这是有效的——并且有产品解决方案我们不建议或已经超过。我们发布这个是为了节省你相当多的时间。 如果除了供应商以外的其他人发布我们不认为是有效的建议，我们就将其丢弃。我们采取这项行动是为了避免您浪费时间处理无关紧要的漏洞信息。查看这个信息图表. 2024年度总结 总公告：12,318↑(2023:7,097) 2024年是Secunia研究团队发布的最高数量警报的又一记录年。这是网络安全领域繁忙的一年，不仅报告了创纪录数量的警报和漏洞，而且许多重大漏洞导致了数据泄露、勒索软件攻击以及其他类型的威胁，影响了许多全球组织。 有趣的事实和趋势 2024是年份最多记录自2002年以来的Secunia建议 NVD已发布超过40,000个CVE2024年，增长了近(28,817个CVE) 39%与2023年相比 平均值威胁分数下降: ↓12.19(2023:15.68)(点击此处了解我们如何计算此值) 平均值CVSS3评分仅仅稍低一点： ↓7.04(2023:7.28) 较不极端的严重2024年已报告有公告： 50(2023:74) 83advisoriesreporteda零日漏洞(2023:130) 超过 超过 略超过 50%ofall告警是Unix/Linux操作系统漏洞 80%ofall拒绝的建议也是Unix/Linux与操作系统相关 58%ofall网络-相关的公告是思科，F5和Juniper 关于微软： 2.91%ofall告警为微软，使他们在供应商排名中。 9th(2023:8th位置） o56.63%↓(2023:57.6百分之)ofall零日漏洞与...相关微软产品 (第一名). •None在发布最多建议的四大供应商中(红帽，SUSE，Linux基金会，甲骨文)有任何零日漏洞2024年报道 软件漏洞缓解和棘轮管理正变得越来越重要。由于人工智能的使用和世界持续冲突，许多国家对关键基础设施的攻击正在增加。早在2019年（就在新冠疫情之前），建议在30天内（或对于cvss评分为七分或更高的漏洞，建议在14天内）进行补丁修复。如今，黑客可以部署利用程序一周内和甚至在24小时这意味着组织需要更好的优先级排序，以便快速修补漏洞（尤其是那些与威胁相关联的漏洞） 。 2024年NVD面临的日益增长的挑战 每个工作日平均披露150个CVE。随着全球紧张局势加剧，人工智能赋予恶意行为者几分钟内就能制作和部署利用工具的能力，及时准确的漏洞情报比以往任何时候都更加关键。 多年来，许多组织一直依赖国家漏洞数据库（NVD）作为漏洞管理的关键资源。然而，最近的發展暴露了NVD內在的顯著局限性，推動企業尋找更可靠、更有效的替代方案。 NVD的衰落：一个数据驱动的危机 2024年，NVD的积压问题急剧增长，对其能否跟上现代网络安全的需求提出了质疑。 持续的API性能问题，包括最近的停机，已导致自动化数据检索和集成变得不可靠。这进一步使依赖NVD的组织的安全漏洞管理工作流程变得复杂。 NVD挑战的人力成本和商业成本 对于依赖NVD的组织而言，这些延迟和不准确会导致重大风险。 扩展风险窗口：漏洞分析中的延迟延长了检测、优先排序和修复漏洞所需的时间。由于某些漏洞在披露后的1至7天内就被武器化，风险窗口非常危险。 资源紧张：安全团队经常采取手动研究和交叉参考的方式，从而消耗了可以用于主动措施的宝贵资源。 合规挑战：延迟和不完整的数据会影响组织满足监管要求的能力，例如NIS2、DORA、ISO、CRA或其他特定行业的规定。 重新思考漏洞情报：免费并不总是可靠的 美国政府管理的免费数据库NVD，长期以来一直是组织机构的常用资源。然而，其未经证实、未分析且往往不完整的数据对有效的网络安全构成了重大风险。Flexera的软件漏洞研究提供了一种可靠的替代方案，提供经过深入研究、验证和丰富的数据。自2002年以来，这项研究一直提供可靠的漏洞情报，没有中断，确保组织可以依赖准确且可操作的见解来保持安全。 警报通告分解 与前些年相比 2024总咨询数量：12,318↑(2023:9,402) 正如预期，自Secunia开始报告以来，2024年发布了最多警告。 # 年 预警数量 1 2024 12318 2 2023 9402 3 2022 7097 4 2020 7065 5 2016 6348 6 2017 6262 7 2021 6153 8 2018 6101 9 2014 6004 10 2015 5934 图1：最多建议的十年 图2：带有建议趋势线的年度图表 今年：#修改（去年） 已拒绝的建议*2,877 ↑(1,500) 独特供应商 292 ↑(291) 独特产品 1,560 ↑(1,437) 独特版本 1,710 ↓(1,794)↑增加 ↓lower↔相同 总公告数量关键性公告 12,318↑(9,402) 9,441↑(7,902) *2877advisories已经收到“拒绝”状态，这通常意味着漏洞需要违反一项或多项安全最佳实践（例如，产品配置不安全或使用不安全）或“收益太小”（例如，管理员、本地用户权限已经过高，以至于额外的收益可以忽略不计）。 通知与CVEs以及反过来 Secun