回顾2024年趋势科技零日计划(ZDI)活动:漏洞挖掘与安全研究全景

本文回顾了趋势科技零日计划(ZDI)在2024年的关键活动,包括Pwn2Own竞赛成果、漏洞披露统计数据、厂商分布及漏洞类型分析,展现了网络安全领域的研究进展与挑战。

回顾2024年趋势科技零日计划(ZDI)活动

2025年2月7日 | Dustin Childs

新的一年已经开始,但在我们展望未来并可能打破所有新年决心之前,让我们暂停一下,回顾一下趋势科技零日计划™(ZDI)的2024年。

Pwn2Own竞赛持续超出预期

尽管我们刚刚完成了2025年Pwn2Own Automotive,但如果不提2024年1月举行的首届比赛,那将是一种疏忽。那场比赛汇集了全球一些最优秀的汽车安全研究人员,登上了历史上最大(字面意义)的Pwn2Own舞台。活动的参与度超出了预期,我们在三天的比赛中颁发了创纪录的1,323,750美元奖金,用于奖励发现的49个独特零日漏洞。随后,我们移师温哥华,Manfred Paul通过黑客攻击Chrome、Edge、Firefox和Safari赢得了“Pwn大师”称号,令人惊叹。该活动为29个独特零日漏洞颁发了1,132,500美元奖金,并首次在Pwn2Own活动中实现了Docker逃逸。最后,我们移师爱尔兰科克办公室。这场比赛也结束了远程参与,要求所有参赛者现场参加。在四天的比赛中,我们为超过70个零日漏洞颁发了1,066,625美元奖金。这意味着Pwn2Own在2024年为148个独特零日漏洞颁发了超过350万美元的奖金。

数据统计

2024年,趋势ZDI发布了1,741份公告,略低于去年创纪录的1,913份(稍后会详细说明)。虽然这不是创纪录的一年,但我们对这个总数感到满意。我们不需要每年都刷新纪录——这是不可持续的。尽管我们与全球一些最优秀的研究人员合作,但我们自己的研究人员也度过了出色的一年。所有已发布公告中超过40%是由趋势ZDI安全研究人员报告的。以下是这些公告数量的逐年对比。

协调披露漏洞仍然是我们项目的优先事项,并且继续取得成功。尽管2020年我们的零日披露比例最高,但这一数字在接下来的两年中有所下降。然而,尽管这一数字在2023年有所增长,但在2024年略有下降。从10.2%下降到9.7%——变化不大。

以下是按厂商分类的公告细分。虽然排名第一的厂商(AutoDesk)可能会让你感到惊讶,但今年我们与他们广泛合作以改进其产品。他们实际上是一个很好的合作伙伴。排名第二的厂商Delta Electronics也应该让你了解到ICS/SCADA安全的现状,我们认为这仍然不如其企业级 counterparts。这也是我们报告苹果漏洞数量首次超过Adobe漏洞的一年,但某种感觉告诉我,这一趋势不会在2025年持续。说到Adobe,PDF解析仍然是除了Acrobat和Reader之外厂商的安全挑战。Foxit、Kofax/Tungsten Automation和PDF-XChange都有大量由趋势ZDI报告的文件解析漏洞。

当然,我们一直在寻找有影响力的漏洞,以下是2023年的一个有趣比较。尽管2024年我们发布的漏洞数量较少,但我们在2024年披露的严重和高危漏洞数量比2023年更多。我们注重质量而非数量。

以下是与前几年的对比:

关于我们购买的漏洞类型,以下是2024年排名前10的常见弱点枚举(CWE):

看到如此多的“简单”漏洞,如栈溢出和SQL注入,仍然占据如此大的比例,有点令人不安。希望2025年有所改变。

展望未来

进入新的一年,我们预计会同样忙碌。我们刚刚完成了2025年Pwn2Own Automotive,并即将发布关于下一场Pwn2Own比赛的特别公告。如果你无法亲自参加,不用担心。我们将在几乎所有可用的社交媒体平台上直播和发布活动视频。我们还有超过350个案例等待修补,并且我们的接收队列仍然爆满,因为我们仍在追赶进度。

我们还计划在今年某个时候更新我们的网站和博客。我知道——去年我也这么说过,但这次我是认真的。当更新发生时,我承诺会尽一切努力确保你可以在浅色和深色主题之间选择。我们还希望扩展视频内容,我将继续在补丁星期二发布补丁报告,并希望在明年稍微调整格式。一如既往,我们期待通过进一步与客户面临的风险对齐来完善我们的外联和收购工作,以确保我们解决的漏洞对客户和更广泛的生态系统产生最大影响。换句话说,2025年将是另一个激动人心的一年,充满有影响力的研究、精彩的比赛和实用的信息。我们希望你能加入我们的旅程。在此之前,请保持关注本博客,订阅我们的YouTube频道,并在Twitter、Mastodon、LinkedIn或Bluesky上关注我们,以获取最新的漏洞利用技术和安全补丁信息。

回顾 | 项目新闻

一般咨询
zdi@trendmicro.com

在X上找到我们
@thezdi

在Mastodon上找到我们
Mastodon

媒体咨询
media_relations@trendmicro.com

敏感电子邮件通信
PGP密钥

我们是谁
我们的使命 | 趋势科技 | TippingPoint IPS

如何运作
流程 | 研究人员奖励 | 常见问题 | 隐私

公告
已发布公告 | 即将发布公告 | RSS订阅

博客

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次