कई शून्य-दिन की कमजोरियाँ हैं, लेकिन उनमें से सभी का व्यापक रूप से शोषण नहीं किया जाता है। गूगल और मैंडिएंट ने 97 शून्य-दिन की कमजोरियाँ देखीं जिनका भारी दोहन किया गया - पिछले वर्ष की तुलना में 50 प्रतिशत की वृद्धि।
गूगल और मैंडियंट ने एक नया अध्ययन जारी किया जिसमें पाया गया कि 2023 में जंगल में 97 शून्य-दिन की कमजोरियों का फायदा उठाया गया। यह 50 (2022 कमजोरियाँ) की तुलना में 62 प्रतिशत से अधिक है, लेकिन 106 में शोषण की गई रिकॉर्ड-तोड़ 2021 कमजोरियों से कम है। इनमें से 29 कमजोरियों की मूल खोज के लिए TAG और मैंडिएंट जिम्मेदार थे।
कई उद्यम-केंद्रित शून्य-दिन की कमजोरियाँ
Google शोधकर्ता कमजोरियों को दो मुख्य श्रेणियों में विभाजित करते हैं: अंतिम-उपयोगकर्ता प्लेटफ़ॉर्म और उत्पाद (जैसे मोबाइल डिवाइस, ऑपरेटिंग सिस्टम, ब्राउज़र और अन्य एप्लिकेशन) और एंटरप्राइज़-केंद्रित प्रौद्योगिकियाँ जैसे सुरक्षा सॉफ़्टवेयर और उपकरण।
रिपोर्ट उद्योग की कुछ सफलताओं और प्रगति पर प्रकाश डालती है, लेकिन यह भी नोट करती है कि शून्य-दिन की कमजोरियों की खोज और शोषण की गति 2021 से पहले की संख्याओं की तुलना में ऊंची बनी रहेगी।
प्रमुख निष्कर्षों का सारांश
- 58 शून्य दिनों में से, जिसके लिए धमकी देने वाले अभिनेता के इरादे बताए जा सकते हैं:
• उनमें से 48 को जासूसी अभिनेताओं के लिए जिम्मेदार ठहराया गया था
• बाकी 10 आर्थिक रूप से प्रेरित अभिनेता थे - द पीपुल्स रिपब्लिक ऑफ चायना (पीआरसी) राज्य प्रायोजित हमलों में सबसे आगे बना हुआ है।
- चीन के साइबर जासूसी समूह 2023 में 12 शून्य-दिन की कमजोरियों का फायदा उठाया गया, जो 2022 में सात से अधिक है
- लगभग दो तिहाई (61) शून्य दिन प्रभावित अंतिम-उपयोगकर्ता प्लेटफ़ॉर्म और उत्पाद (जैसे मोबाइल डिवाइस, ऑपरेटिंग सिस्टम, ब्राउज़र और अन्य एप्लिकेशन)
- शेष 36 कमजोरियाँ संबंधित उद्यम-केंद्रित प्रौद्योगिकियाँ जैसे सुरक्षा सॉफ़्टवेयर और उपकरण।
• प्रगति हुई है: Google शोधकर्ता नोट करते हैं: "Apple, Google और Microsoft जैसे अंतिम-उपयोगकर्ता प्लेटफ़ॉर्म प्रदाताओं ने उल्लेखनीय निवेश किए हैं जिनका शून्य-दिनों के प्रकार और संख्या पर महत्वपूर्ण प्रभाव पड़ता है जिनका अभिनेता फायदा उठा सकते हैं।"
• कंपनियों पर हमले लगातार बढ़ रहे हैं और 2023 में और अधिक विविध होंगे। - Google में 64 प्रतिशत की वृद्धि देखी गई पिछले वर्ष की तुलना में हमलावरों द्वारा उद्यम-विशिष्ट प्रौद्योगिकियों का शोषण और कम से कम 2019 के बाद से लक्षित उद्यम विक्रेताओं की संख्या में समग्र वृद्धि।
• 2023 में, Google ने उत्पाद के प्रथम-पक्ष कोड की तुलना में तृतीय-पक्ष घटकों और लाइब्रेरीज़ में अधिक बग देखे। - आईओएस बनाम एंड्रॉइड:
• 2023 में एंड्रॉइड के लिए नौ "इन-द-वाइल्ड" शून्य-दिन खोजे गए और जारी किए गए, जो 2022 में तीन से अधिक है।
• 2023 में iOS के लिए आठ शून्य-दिवस खोजे गए और जारी किए गए, जो 2022 में चार से अधिक है। - सफ़ारी बनाम क्रोम:
• 2023 में, क्रोम को लक्षित करने वाले वाइल्ड में आठ शून्य-दिन और सफारी को लक्षित करने वाले 11 दिन थे।
ग्राहक के बारे में मैंडिएंट गतिशील साइबर रक्षा, खतरे की खुफिया जानकारी और घटना की प्रतिक्रिया में एक मान्यता प्राप्त नेता है। साइबर फ्रंटलाइन पर दशकों के अनुभव के साथ, Mandiant संगठनों को आत्मविश्वास से और सक्रिय रूप से साइबर खतरों से बचाव करने और हमलों का जवाब देने में मदद करता है। मैंडियंट अब Google क्लाउड का हिस्सा है।