由中華數位科技合作代理的Action1，為一家整合即時漏洞發現和自動修補漏洞管理解決方案供應商，近期發布《2024 年軟體漏洞評級報告》，提供對企業常用軟體漏洞趨勢的即時見解，並且特別關注於漏洞利用率和遠端程式碼執行（RCE）漏洞。

Action1 研究人員發現，所有企業軟體類別的漏洞總數出現了驚人的成長。報告根據企業軟體類別和特定應用程式中的可利用率和 RCE 漏洞的動態，深入研究五個主要趨勢和重要發現：

‧ 攻擊者以創紀錄的利用率瞄準負載平衡器：Action1 研究人員發現 NGINX的利用率高達100%，Citrix為57%。負載平衡器中的漏洞會帶來重大風險，因為只要一種漏洞就可以使攻擊者對目標網路進行廣泛存取或破壞。

‧ 攻擊者針對 Apple 作業系統發動攻擊：MacOS 和 iOS 的利用率分別增加 7% 和 8%。儘管從 2023 年到 2022 年，MacOS 的漏洞總數減少 29%，但被利用的漏洞卻增加了 30% 以上。這些增長顯現了對 iOS 裝置的攻擊針對性。

‧ MSSQL RCE 漏洞激增，凸顯新風險：2023 年，Microsoft SQL Server (MSSQL) 的關鍵漏洞激增 1,600 %，且每個漏洞都是RCE。這表明攻擊者正在快速發現並利用下一個未知的 RCE。

‧ 由於攻擊者利用人為錯誤，MS Office 的可利用性提高：MS Office 的嚴重漏洞占年度漏洞總數近 80%，其中高達 50% 是 RCE。 2023 年，微軟的利用率上升至 7%，而 2022 年為 2%。這些發現強調威脅行為者對易受人為錯誤影響的用戶端軟體的利用。

‧ RCE 和被利用漏洞的激增引發對 Edge 安全性的擔憂：在分析的三年中，Edge 的RCE 漏洞數量創歷史新高，2023年的利用率相較前一年也有所增長。

上述發現強調威脅的持續演變以及主動安全策略的必要性，包括作業系統和第三方應用程式漏洞的即時修補。Action1專家建議企業檢視其技術堆疊（可能淘汰某些易受攻擊的技術），根據趨勢預測未來的漏洞，不斷改進其安全態勢以快速適應新的威脅及風險。