Компания Mandiant security, входящая в состав корпорации Google, опубликовала отчет, посвященный эксплуатации уязвимостей ПО, выявленных на протяжении 2023 года. Он фиксирует ряд тревожных тенденций. Самая неприятная из них - рост числа выявленных уязвимостей нулевого дня (0-days - то есть, уязвимостей, о которых сами разработчики узнают одновременно со всем остальным обществом, не имея, таким образом, запаса времени на исправление). Если в предыдущие годы соотношение n-days уязвимостей (выявленных и исправленных до раскрытия информации о них) и 0-days сохранялось на уровне 4 к 6, то в 2023 году составило 3 к 7 - из 138 выявленных уязвимостей 97 (70,3%) были именно уязвимостями нулевого дня.
Другая неприятная новость состоит в том, что резко сократилось время, которое требуется киберпреступникам, чтобы начать эксплуатировать выявленные уязвимости (как n-days, так и 0-days) в реальных атаках. Если в 2018-2019 годах этот срок составлял 63 дня, то в 2021-2022 - уже 32 дня. А в 2023 году снизился всего до 5 дней. Это означает, что от разработчиков требуется максимальная оперативность в исправлении уязвимостей. Правда, с другой стороны, аналитики не выявили корреляции между раскрытием уязвимости и началом ее эксплуатации в реальных атаках. В 2023 году 75% уязвимостей были раскрыты до того, как началась их эксплуатация в атаках, а 25% - после того, как ими уже воспользовались хакеры.
Кроме того, до рекордного уровня выросло число компаний-разработчиков в программных продуктах которых были обнаружены уязвимости. В 2022 году их число составляло 44, а в 2023 увеличилось до 56. Предыдущий рекорд был зафиксирован в в 2021 году, когда уязвимости были выявлены в продуктах 48 разработчиков.