回顾2024年趋势科技零日计划(ZDI)活动与漏洞挖掘成果

本文详细回顾了趋势科技零日计划(ZDI)在2024年的活动,包括Pwn2Own竞赛成果、漏洞公告统计、供应商分布、漏洞类型分析以及未来展望,涵盖了重要的网络安全技术和漏洞披露数据。

回顾2024年趋势科技零日计划(ZDI)活动

2025年2月7日 | Dustin Childs

新的一年已经开始,但在我们展望未来并可能打破所有决心之前,让我们暂停一下,回顾一下趋势科技零日计划™(ZDI)的2024年。

Pwn2Own竞赛持续超出预期

尽管我们刚刚完成了2025年Pwn2Own Automotive,但如果不提2024年1月举行的首届比赛,那将是一种疏忽。那次比赛汇集了全球一些最优秀的汽车研究人员,登上了历史上最大(字面意思)的Pwn2Own舞台。活动的参与度超出了预期,我们在三天的比赛中为发现49个独特的零日漏洞颁发了创纪录的1,323,750美元奖金。之后,我们移师温哥华,Manfred Paul通过黑客攻击Chrome、Edge、Firefox和Safari赢得了“Pwn大师”称号,令所有人惊叹。该活动为29个独特的0-day漏洞颁发了1,132,500美元奖金,并首次在Pwn2Own活动中实现了Docker逃逸。最后,我们移师爱尔兰,在我们的科克办公室结束了比赛。这次比赛也结束了远程参与,要求所有参赛者必须到场。在四天的比赛中,我们为超过70个0-day漏洞颁发了1,066,625美元奖金。这意味着Pwn2Own在2024年为148个独特的0-day漏洞颁发了超过3,500,000美元奖金。

图1 - Ken Gannon在Pwn2Own爱尔兰利用三星Galaxy S24漏洞

数据统计

2024年,趋势ZDI发布了1,741份公告,略低于去年创纪录的1,913份(稍后会详细说明)。虽然这不是创纪录的一年,但我们对这个总数感到满意。我们不需要每年都创下新纪录——这是不可持续的。尽管我们与全球一些最优秀的研究人员合作,但我们自己的研究人员也度过了丰收的一年。所有已发布公告中,超过40%是由趋势ZDI安全研究人员报告的。以下是这些公告数量的逐年比较。

图2 - 项目生命周期内发布的公告

漏洞的协调披露继续是我们项目的优先事项,并且也继续取得成功。虽然2020年我们的0-day披露比例最高,但这一数字在接下来的两年中有所下降。然而,尽管这一数字在2023年有所增长,但在2024年略有下降。从10.2%下降到9.7%——所以变化不大。

图3 - 每年的0-day披露数量

以下是按供应商分类的公告细分。虽然排名第一的供应商(AutoDesk)可能会让你感到惊讶,但今年我们与他们广泛合作以改进他们的产品。他们实际上是一个很好的合作伙伴。排名第二的供应商Delta Electronics也应该让你了解ICS/SCADA安全的现状,我们认为这仍然不如他们的企业 counterparts。这也是我们报告苹果漏洞数量首次超过Adobe漏洞的一年,但某种感觉告诉我,这一趋势不会在2025年继续。说到Adobe,PDF解析仍然是供应商的安全挑战,不仅仅是Acrobat和Reader。Foxit、Kofax/Tungsten Automation和PDF-XChange都有大量由趋势ZDI报告的文件解析漏洞。

图4 - 2024年发布公告的供应商分布

当然,我们一直在寻找有影响力的漏洞,以下是2023年的一个有趣比较。尽管我们在2024年发布了较少的漏洞,但我们在2024年披露的严重和高危漏洞数量比2023年更多。我们注重质量而非数量。

图5 - 2024年发布公告的CVSS分布

以下是与前几年的比较:

图6 - 2015-2024年CVSS分数分布

关于我们购买的漏洞类型,以下是2024年排名前10的常见弱点枚举(CWE):

图7 - 2024年发布公告的顶级CWE

看到如此多的“简单”漏洞,如栈溢出和SQL注入,仍然占据如此多的漏洞,有点令人不安。希望2025年有所改变。

展望未来

进入新的一年,我们预计会同样忙碌。我们刚刚完成了2025年Pwn2Own Automotive,并即将发布关于下一场Pwn2Own竞赛的特殊公告。如果你无法亲自参加,不用担心。我们将在几乎所有可用的社交媒体平台上直播和发布活动视频。我们还有超过350个案例等待修补,并且我们的传入队列已经溢出,因为我们仍在追赶。

我们还计划在今年某个时候更新我们的网站和博客。我知道——我去年也说过,但这次我是认真的。当更新发生时,我承诺会尽一切努力确保你可以在浅色和深色主题之间选择。我们还希望扩展我们的视频内容,我将在补丁星期二继续提供补丁报告,并希望在来年稍微调整格式。一如既往,我们希望通过进一步对齐客户面临的风险来完善我们的外联和收购努力,确保我们解决的漏洞对客户和更广泛的生态系统产生最大影响。换句话说,2025年将是另一个激动人心的一年,充满有影响力的研究、伟大的竞赛和实用的信息。我们希望你能加入我们的旅程。在此之前,请保持关注本博客,订阅我们的YouTube频道,并在Twitter、Mastodon、LinkedIn或Bluesky上关注我们,获取最新的漏洞利用技术和安全补丁信息。

回顾

项目新闻

一般咨询
zdi@trendmicro.com

在X上找到我们
@thezdi

在Mastodon上找到我们
Mastodon

媒体咨询
media_relations@trendmicro.com

敏感电子邮件通信
PGP密钥

我们是谁

我们的使命

趋势科技

TippingPoint IPS

如何运作

流程

研究人员奖励
常见问题解答
隐私

公告

已发布公告

即将发布的公告
RSS订阅

博客

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次