由中华数位科技合作代理的Action1，为一家整合即时漏洞发现和自动修补漏洞管理解决方案供应商，近期发布《2024 年软体漏洞评级报告》，提供对企业常用软体漏洞趋势的即时见解，并且特别关注於漏洞利用率和远端程式码执行（RCE）漏洞。

Action1 研究人员发现，所有企业软体类别的漏洞总数出现了惊人的成长。报告根据企业软体类别和特定应用程式中的可利用率和 RCE 漏洞的动态，深入研究五个主要趋势和重要发现：

· 攻击者以创纪录的利用率瞄准负载平衡器：Action1 研究人员发现 NGINX的利用率高达100%，Citrix为57%。负载平衡器中的漏洞会带来重大风险，因为只要一种漏洞就可以使攻击者对目标网路进行广泛存取或破坏。

· 攻击者针对 Apple 作业系统发动攻击：MacOS 和 iOS 的利用率分别增加 7% 和 8%。尽管从 2023 年到 2022 年，MacOS 的漏洞总数减少 29%，但被利用的漏洞却增加了 30% 以上。这些增长显现了对 iOS 装置的攻击针对性。

· MSSQL RCE 漏洞激增，凸显新风险：2023 年，Microsoft SQL Server (MSSQL) 的关键漏洞激增 1,600 %，且每个漏洞都是RCE。这表明攻击者正在快速发现并利用下一个未知的 RCE。

· 由於攻击者利用人为错误，MS Office 的可利用性提高：MS Office 的严重漏洞占年度漏洞总数近 80%，其中高达 50% 是 RCE。 2023 年，微软的利用率上升至 7%，而 2022 年为 2%。这些发现强调威胁行为者对易受人为错误影响的用户端软体的利用。

· RCE 和被利用漏洞的激增引发对 Edge 安全性的担??：在分析的三年中，Edge 的RCE 漏洞数量创历史新高，2023年的利用率相较前一年也有所增长。

上述发现强调威胁的持续演变以及主动安全策略的必要性，包括作业系统和第三方应用程式漏洞的即时修补。Action1专家建议企业检视其技术堆叠（可能淘汰某些易受攻击的技术），根据趋势预测未来的漏洞，不断改进其安全态势以快速适应新的威胁及风险。