Il existe de nombreuses vulnérabilités Zero Day, mais elles ne sont pas toutes largement exploitées. Google et Mandiant ont observé 97 vulnérabilités Zero Day qui ont été largement exploitées, soit une augmentation de 50 % par rapport à l'année précédente.
Google et Mandiant ont publié une nouvelle étude qui a observé 2023 vulnérabilités zero-day exploitées dans la nature en 97. C'est plus de 50 % de plus qu'en 2022 (62 vulnérabilités), mais moins que le record de 106 vulnérabilités exploitées en 2021. TAG et Mandiant sont responsables de la découverte initiale de 29 de ces vulnérabilités.
De nombreuses vulnérabilités Zero Day centrées sur les entreprises
Les chercheurs de Google divisent les vulnérabilités en deux catégories principales : les plates-formes et produits des utilisateurs finaux (par exemple, les appareils mobiles, les systèmes d'exploitation, les navigateurs et autres applications) et les technologies axées sur l'entreprise telles que les logiciels et appareils de sécurité.
Le rapport met en évidence certains des succès et des progrès du secteur, mais note également que le rythme de découverte et d'exploitation des vulnérabilités Zero Day restera probablement élevé par rapport aux chiffres d'avant 2021.
Résumé des principales conclusions
- Sur les 58 zéro jours, pour lesquelles les motivations de l'acteur menaçant pourraient être attribuées :
• 48 d'entre eux ont été attribués à des acteurs de l'espionnage
• Les 10 autres étaient des acteurs motivés financièrement - La République populaire de Chine (RPC) continue d’être à l’avant-garde des attaques parrainées par l’État.
- Groupes de cyberespionnage en provenance de Chine exploité 2023 vulnérabilités zero-day en 12, contre sept en 2022
- Près des deux tiers (61) de zéro jour Plateformes et produits des utilisateurs finaux concernés (par exemple, appareils mobiles, systèmes d'exploitation, navigateurs et autres applications)
- Les 36 vulnérabilités restantes concernaient les technologies axées sur l’entreprise telles que les logiciels et les appareils de sécurité.
• Il y a des progrès : les chercheurs de Google notent : « Les fournisseurs de plateformes d'utilisateurs finaux tels qu'Apple, Google et Microsoft ont réalisé des investissements notables qui ont un impact significatif sur les types et le nombre de jours zéro que les acteurs peuvent exploiter. »
• Les attaques contre les entreprises continuent d'augmenter et seront plus diversifiées en 2023. - Google a constaté une augmentation de 64 % l'exploitation de technologies spécifiques à l'entreprise par des attaquants par rapport à l'année précédente et une augmentation globale du nombre de fournisseurs d'entreprise ciblés depuis au moins 2019.
• En 2023, Google a constaté plus de bogues dans les composants et bibliothèques tiers que dans le code propriétaire du produit. - iOS contre Android :
• Neuf jours zéro « dans la nature » ont été découverts et publiés pour Android en 2023, contre trois en 2022.
• Huit zéro jour ont été découverts et publiés pour iOS en 2023, contre quatre en 2022. - Safari contre Chrome :
• En 2023, il y a eu huit jours zéro ciblant Chrome et 11 ciblant Safari.
À propos des clients Mandiant est un leader reconnu de la cyberdéfense dynamique, des renseignements sur les menaces et de la réponse aux incidents. Avec des décennies d'expérience sur la cyber ligne de front, Mandiant aide les organisations à se défendre en toute confiance et de manière proactive contre les cybermenaces et à répondre aux attaques. Mandiant fait désormais partie de Google Cloud.