與上一年相比,2023 年指定 CVE 編號(hào)機(jī)構(gòu) (CNA) 的組織數(shù)量以及分配的常見漏洞和暴露 (CVE) 標(biāo)識(shí)符的數(shù)量有所增加。
思科威脅檢測與響應(yīng)首席工程師 Jerry Gamblin 表示,2023 年發(fā)布了 28,902 個(gè) CVE,高于 2022 年的 25,081 個(gè)。平均每天有近 80 個(gè)新 CVE。自 2017 年以來,已發(fā)布的 CVE 數(shù)量一直在穩(wěn)步增加。
從嚴(yán)重程度來看,2023 個(gè) CVE 的平均 CVSS 評(píng)分為 7.12,其中 36 個(gè)漏洞的評(píng)分為 10。
根據(jù)MITRE 維護(hù)、美國政府贊助的CVE 計(jì)劃的數(shù)據(jù),2023 年宣布的新 CNA 數(shù)量從 2022 年的 56 個(gè)增加到 84 個(gè)。目前,有來自 38 個(gè)國家的近 350 個(gè) CNA。
CNA 是供應(yīng)商、網(wǎng)絡(luò)安全公司和其他組織,被允許將 CVE 標(biāo)識(shí)符分配給自己的產(chǎn)品和/或其他產(chǎn)品中發(fā)現(xiàn)的漏洞。
新的 CNA 名單包括獨(dú)立黑客組織,例如 Austin Hackers Anonymous;ServiceNow、開放設(shè)計(jì)聯(lián)盟等軟件組織;Schweitzer Engineering Laboratories、AMI、Moxa、Phoenix Technologies 和 Arm 等硬件制造商;政府機(jī)構(gòu),例如芬蘭國家網(wǎng)絡(luò)安全中心 (NCSC-FI);網(wǎng)絡(luò)安全公司,例如 Mandiant、Checkmarx、Otorio、VulnCheck、CrowdStrike、SEC Consult、Illumio 和 HiddenLayer;以及印刷巨頭利盟、佳能(歐洲、中東和非洲)和施樂。
Gamblin 指出,2023 年有 250 個(gè) CNA 發(fā)布了至少一個(gè) CVE。排名靠前的 CNA 包括 Microsoft、VulDB、GitHub 和 WordPress 安全公司 WPScan 和 PatchStack。VulDB、GitHub、WPScan 和 PatchStack 去年總共分配了超過 6,700 個(gè) CVE。
最常分配的常見弱點(diǎn)枚舉 (CWE) 標(biāo)識(shí)符類型是 CWE-79,即網(wǎng)頁生成期間輸入的不正確中和,也稱為跨站點(diǎn)腳本攻擊 (XSS)。去年,超過 4,100 個(gè) CVE 被分配給 XSS 漏洞。
XSS 緊隨其后的是 SQL 注入漏洞,此類安全漏洞大約有 2,000 個(gè)。
CVE 的數(shù)字
截至 2023 年,我們共發(fā)布了28,902 個(gè)CVE,比2022 年發(fā)布的25,081 個(gè)CVE 增長了 15% 以上。
- 平均每天發(fā)布79.18 個(gè)CVE。
- 10 月是發(fā)布 CVE 最多的月份,共有2,690 個(gè),占全年所有 CVE 的9.3% 。
- 周二是發(fā)布次數(shù)最多的日子,發(fā)布了6,438 個(gè)CVE,占所有 CVE 的22.3%。
- 1 月 26 日是單日發(fā)布 CVE 數(shù)量最多的一天,有348 個(gè)。
按月劃分的 CVE:
月 | CVE | 百分比 |
一月 | 2337 | 8.1 |
二月 | 2123 | 7.3 |
三月 | 2517 | 8.7 |
四月 | 2330 | 8.1 |
五月 | 2418 | 8.4 |
六月 | 2391 | 8.3 |
七月 | 2307 | 8.0 |
八月 | 2478 | 8.6 |
九月 | 第2152章 | 7.4 |
十月 | 2690 | 9.3 |
十一月 | 2483 | 8.6 |
十二月 | 2676 | 9.3 |
按星期幾劃分的 CVE:
天 | CVE | 百分比 |
周一 | 5005 | 17.3 |
周二 | 6438 | 22.3 |
周三 | 5895 | 20.4 |
周四 | 5064 | 17.5 |
周五 | 4597 | 15.9 |
周六 | 1006 | 3.5 |
周日 | 第897章 | 3.1 |
十大 CVE 發(fā)布日:
