2023年CVE数据回顾
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 |
|---|
- 平均每天发布 79.18 个CVE。
- 10 月是发布 CVE 最多的月份,共有 2,690 个,占全年所有 CVE 的 9.3% 。
- 周二是发布次数最多的日子,发布了 6,438 个CVE,占所有 CVE 的 22.3%。
- 1 月 26 日是单日发布 CVE 数量最多的一天,有 348 个。
按月划分的CVE
月CVEs 百分比一月23378.1二月21237.3三月25178.7四月23308.1五月24188.4六月23918.3七月23078.0八月24788.6九月21527.4十月26909.3十一月24838.6十二月26769.3
按星期几划分的CVE
天CVEs 百分比周一500517.3周二643822.3周三589520.4周四506417.5周五459715.9周六10063.5周日8973.1
十大CVE发布日
天CVEs2023-01-263482023-11-143302023-10-253272023-09-273102023-12-152892023-07-112752023-10-102542023-08-082532023-05-092512023-04-11236
CVE增长
与 2017 年以来的每一年一样,我们发布的 CVE 数量破纪录,达到 28,902 个。比 2022 年增长了 15.23% 。这也意味着 所有已发布的 CVE 中有 13.18% 是在去年发布的。
CVSS
通用漏洞评分系统 (CVSS)提供 了一种捕获漏洞主要特征并生成 0.0 到 10.0 之间的数字分数的方法,以反映其严重性。今年CVSS平均分是 7.12。
https://www.first.org/cvss/
今年,36 个 CVE 获得了“满分” 10.0 分。
https://github.com/jgamblin/CVEReview/blob/main/2023_CVSS.ipynb
CVE-2023-21928 的已发布 CVSS 分数最低为 1.8。
https://nvd.nist.gov/vuln/detail/CVE-2023-21928
CPE
通用平台枚举 (CPE) 是信息技术系统、软件和软件包的结构化命名方案,可帮助识别 CVE 中识别的易受攻击的软件。
https://nvd.nist.gov/products/cpe
今年,CVE中发现了 3,119 个独特的 CPE。最常见的是 cpe:2.3:o:google:android:12.0:*:*:*:*:*:*:* 应用于 547 个 CVE。
CVE-2023-44183 是 Juniper Junos OS 漏洞,是拥有最多 CPE 的 CVE,具有 240 个 独特的易受攻击的配置。
https://nvd.nist.gov/vuln/detail/CVE-2023-44183
CNA
CVE 编号机构 (CNA) 是由 CVE 计划授权的软件供应商、开源项目、协调中心、错误赏金服务提供商、托管服务和研究小组,为漏洞分配 CVE ID 并在其特定覆盖范围内发布 CVE 记录。
https://www.cve.org/ProgramOrganization/CNAs
如今, CNA 数量已达 346 个。今年,其中 250 个 CNA 至少发布了一份 CVE。
https://www.cve.org/PartnerInformation/ListofPartners
去年排名前 5 的 CNA 分别是:
Patchstack:https://patchstack.com/category/security-advisories/ VulDB:https://vuldb.com/?cna.recent Github:https://github.com/advisories Microsoft:https://www.microsoft.com/en-us/msrc/technical-security-notifications WPScan:https://wpscan.com/wordpresses
今年排名前五的 CNA 中有四个(不包括 Microsoft)专门用于报告开源项目(VulDB 和 Github)或 WordPress 插件(Patchstack 和 WPScan)的 CVE。这四个 CNA 发布了 6,778 篇文章,占今年所有 CVES 的 24.12% 。
CWE
CWE 是社区开发的软件和硬件弱点类型列表。它是一种通用语言,是安全工具的衡量标准,也是弱点识别、缓解和预防工作的基线。
https://cwe.mitre.org/
今年共有 1,332 个 CWE,其中 237 个被分配到 CVE。CWE-79 是分配次数最多的 CWE,被分配了 4,474 次,占所有 CVE 的 15.48% 。NVD 未分配 CWE 的次数为 4,113 次,占所有 CVE 的 14.23% 。
https://cwe.mitre.org/data/index.html https://cwe.mitre.org/data/definitions/79.html
Notes
2,112 个 被拒绝的 CVE 已从数据集中删除,因为一些 CNA 发布并拒绝任何未使用的保留 CVE ID,导致人为夸大记录计数。仅在 9 月 14 日,就有 662 篇文章发表,然后立即被拒绝。
https://www.cve.org/ResourcesSupport/FAQs#pc_cve_recordsreject_signify_in_cve_record
此 GitHub 存储库有 jupyter 笔记本,其中包含本博客中使用的所有数据和可视化。
https://github.com/jgamblin/CVEReview
CVE.ICU 是我运行的一个开源项目,如果您有兴趣了解这些数据,它可以全年实时跟踪上述大部分数据点。
https://cve.icu/intro.html