《2022年网络空间安全漏洞分析研究报告-2023.03.pdf》由会员分享,可在线阅读,更多相关《2022年网络空间安全漏洞分析研究报告-2023.03.pdf(35页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利1/34可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利2/34目目录录第一章 前言.3第二章 CNVD 漏洞库安全漏洞概况.52.1 漏洞威胁等级统计.52.2 漏洞利用攻击位置统计.62.3 漏洞影响对象类型统计.72.4 漏洞产生原因统计.82.5 漏洞引发威胁统计.92.6 漏洞增长趋势.10第三章 CVE 漏洞库安全漏洞概况.123.1 漏洞影响厂商分布情况.123.2 高危漏洞披露时间趋势图.133.3 攻击途径概况.143.4 漏洞影响平台分类.153.5 漏洞类型统计概况.163.6 POC 公开情
2、况统计.18第四章 漏洞预警统计情况.204.1 漏洞厂商情况.204.2 漏洞威胁情况.224.3 年度 TOP10 高危漏洞.234.4 漏洞预警 TOP10 漏洞回顾.25第五章 总结.305.1 安全防护建议.305.2 漏洞态势展望.33可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利3/34第第一一章章 前前言言2022 年在国家出台了新网络安全法规的推动下,网络空间安全日益受到重视。随着政府部门和企业对网络安全的投入增加,网络安全产业也迎来了快速发展的机遇,但与此同时,许多企业和个人受疫情影响更加依赖网络,网络攻击手段的日新月异使得网络空间安全漏洞依然是一个棘手的
3、问题。在国际冲突和疫情的叠加影响下,全球网络空间的对抗升级已经成为不容忽视的现实。随着国家间网络攻击和网络犯罪活动的频繁出现,相应的漏洞利用事件也在不断增加,保护和维护网络安全已成为越来越重要的任务。为了应对这些挑战,必须加强网络安全信息共享和工作协同,强调提升网络安全整体防护能力。同时,随着数字化和云化的普及,安全漏洞成为了保障网络安全的基础。因此,我们必须采取积极的措施,加强网络安全管理和漏洞预警,确保及时修复漏洞,防止漏洞被利用。作为网络安全领域的领导者,天融信一直致力于推动网络安全技术的发展和应用,并通过不断的探索和实践为客户提供全方位的网络安全服务。为了更好地了解网络空间安全漏洞的发
4、展趋势,并采取适当的措施应对漏洞威胁,特发布2022 年网络空间安全漏洞分析研究报告,在这份报告中,我们将通过实际案例和数据分析,为广大客户和读者提供有价值的信息。本报告重点内容共分三个部分,第一部分为 2022 年漏洞趋势,通过对 CNVD 漏洞信息库及 CVE 高危漏洞 CVSS 评分 TOP100 漏洞数据进行综合分析而产生。据 CNVD 公开数据显示,2021 年共披露漏洞 26558 枚,2022 年共披露漏洞 23900 枚,同比降低 10%。这可能表明,在过去一年里,安全运维人员加强了对系统安全的管理,降低了漏洞数量。其中,低危漏洞占 11.13%,中危漏洞占 53.82%,高危
5、漏洞占 35.05%。相对于低危漏洞,中危和高危漏洞的数量要多得多,这也需要安全运维人员提高警惕,加强对中高危漏洞的控制。第二部分为天融信 2022 年度高危漏洞预警情况概述,在 2022 年整个年度中,天融信阿尔法实验室监测发现了上万条漏洞情报,经过实验室人员快速研判分析,第一时间预警并处理了多起突发高危漏洞,并根据漏洞的影响范围、影响对象及产生威胁的因素,挑出了排名前十的漏洞。2022 年度重点漏洞含 Microsoft Windows 支持诊断工具(MSDT)远程代码执行漏洞、Exchange Server 远程代码执行漏洞、Spring Framework 任意文件写入漏洞、Sprin
6、g Cloud Gateway 远程代码执行漏洞等。实验室第一时间监测到漏洞后,进行了漏洞复现和应急响应处理,并给出临时缓解方案,保障了客户网络环境安全。第三部分为 2022 年度总结及展望,天融信阿尔法实验室通过对 CNVD 披露的漏洞数量和 CVE TOP 100 漏洞以及年度预警情况进行了分析总结,并对 2023 年漏洞趋势做出了相关预测。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利4/34企业安全部门应该提升网络安全威胁感知能力,建立有效的监测预警体系,并制定应急指挥计划,加强对威胁的发现、监测、预警和应对能力。以便在网络攻击发生时快速作出应对。此外,还需要强化攻击
7、溯源能力,即能够追查攻击来源,查找攻击路径,找出攻击工具,以便有效地防御和应对未来攻击。天融信阿尔法实验室秉承攻防一体的理念,以保卫国家网络空间安全为己任,在未来的工作中将持续针对网络空间漏洞进行实时侦测,并灵活应对和防护突发漏洞的产生,攻防相结合,为国家网络安全进行全方位赋能。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利5/34第第二二章章 C CN NV VD D 漏漏洞洞库库安安全全漏漏洞洞概概况况漏洞的统计与评判是评估网络安全情况的一个重要指标,天融信阿尔法实验室参考CNVD 漏洞数据库数据,对 2022 年披露的漏洞进行了全方位的统计分析,下图是近十年漏洞数量走势
8、图,从这个数据中可以看出,近十年来,CNVD 披露的漏洞数量呈现上升趋势。尤其是在 2018 年至 2021 年之间,漏洞数量大幅增加。然而,2022 年的数据显示漏洞数量有所下降。这可能表明,在近一年的时间里,企事业单位和软件开发者采取了有效措施来防止漏洞的产生和利用,从而降低了漏洞的数量。但由于网络安全威胁的持续存在,仍然有必要继续加强网络安全防护。图 1 近十年漏洞数量走势图(数据来自于 CNVD)2 2.1 1 漏漏洞洞威威胁胁等等级级统统计计根据 2022 年 1-12 月漏洞引发威胁严重程度统计,其中低危漏洞占 11.13%,中危漏洞占 53.82%,高危漏洞占 35.05%。可信
9、网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利6/34图 2 2022 年收录漏洞按威胁级别统计(数据来自于 CNVD)可以看出大多数漏洞为中高危。这意味着如果这些漏洞被利用,可能会对网络造成严重的损害。因此,企业组织需要重视漏洞管理工作,并加强对中高危漏洞的修补和防护。同时,这也提醒企业组织需要注意资产的安全性,虽然低危漏洞只有 11.13%,但如果这些资产很重要或者被大量使用,仍然有可能带来潜在的风险。2 2.2 2 漏漏洞洞利利用用攻攻击击位位置置统统计计根据 2022 年 1-12 月漏洞利用攻击位置统计,其中远程攻击占比约为 82.5%,本地攻击约占 13.5%,其他攻
10、击为 4.0%。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利7/34图 3 2022 年收录漏洞利用的攻击位置统计(数据来自于 CNVD)由此可见,远程攻击是主要的漏洞攻击手段,且更具有潜在危险。因此,对企业组织来说,保护外部接入点更加重要,安全团队应加强对网络边界的审查和保护。此外,尽管本地攻击和其他类型的攻击所占比例较小,但这并不意味着可以忽略这部分攻击的风险,仍然是一种需要警惕的攻击方式。其他类型的攻击可能包括例如物联网设备、工业控制系统等非传统网络设备的攻击,这些设备可能不具备足够的安全防护措施,因此需要加强对这些设备的安全监控和保护。2 2.3 3 漏漏洞洞影影响
11、响对对象象类类型型统统计计根据 2022 年 1-12 月漏洞引发威胁统计,受影响的对象大致可分为八类:分别是 WEB应用、应用程序、网络设备、操作系统、智能设备、数据库、安全产品、工业控制系统。其中 WEB 应用漏洞 43.8%,应用程序漏洞 28.7%,网络设备漏洞 13.9%,操作系统漏洞4.8%,智能设备漏洞 4.5%,数据库漏洞 1.6%,安全产品漏洞 1.5%,工业控制系统漏洞1.3%。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利8/34图 4 2022 年漏洞影响对象类型统计(数据来自于 CNVD)由此可见,应用程序漏洞和 WEB 应用漏洞是导致威胁的主要原因
12、,占据了总数的72.5%。天融信提供政府、金融、交通、运营商、教育、卫生等行业安全场景解决方案,可以有效解决此类应用程序在实际场景中存在的各类安全问题。企业组织在进行渗透测试或代码审计时,也应首先关注这两类产品可能出现的大量漏洞。虽然操作系统漏洞所占比例较小,但由于操作系统是整个网络的基础,因此也应加强对操作系统的安全防护。此外,尽管智能设备漏洞、安全产品漏洞和数据库漏洞所占比例较小,但也应加强对这些方面的安全性评估。特别是在工业控制系统方面,由于其对社会基础设施起关键性作用,应特别重视工业控制系统的安全防护。2 2.4 4 漏漏洞洞产产生生原原因因统统计计根据 2022 年 1-12 月漏洞
13、产生原因的统计,设计错误导致的漏洞占比 68.1%,屈居首位,紧跟其后的是输入验证错误导致的漏洞占比 27.4%,位居第二,接着是边界条件错误导致的漏洞占比 3.1%,位居第三。后面的访问验证错误、竞争错误、其他错误、配置错误、环境错误、意外情况处理错误分别占比 1.1%、0.2%、0.1%、0.01%、0.004%、0.004%。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利9/34图 5 2022 年漏洞产生原因统计(数据来自于 CNVD)由此可见,设计错误是导致漏洞的主要原因。这说明系统在项目设计之初,可能并未全面地考虑自身的安全性需求,导致系统存在漏洞。这种漏洞可能难
14、以在输入输出测试中发现,因此在设计系统时应使用安全设计原则确保系统的安全性。此外,输入验证错误也是一个常见的导致漏洞原因,输入验证是指对于外部输入的数据进行校验的过程。这是一种重要的安全措施,因为在许多情况下,恶意用户会尝试向系统注入恶意数据,以便破坏系统或获取敏感信息。软件开发人员往往忽略了对输入数据进行足够的校验。这种漏洞通常危害大,因为它们可能允许攻击者执行任意代码或获取敏感信息。同时,这种漏洞通常很容易利用,因为攻击者可以使用自动化工具来构造恶意输入并测试系统的输入验证。为了避免输入验证错误,软件开发人员应该加强对输入数据的验证,包括对数据类型、格式和范围的检查。例如,如果系统期望接收
15、用户年龄的输入,则应该确保输入的数据是整数,并且在合理范围内。这样可以避免恶意用户输入字符串或超出范围的数字,从而导致系统异常。尽管其他原因所占比例较小,但仍然应加强对系统的访问验证、竞争、配置和环境的安全性评估,以确保系统的安全性。2 2.5 5 漏漏洞洞引引发发威威胁胁统统计计根据 2022 年 1-12 月漏洞引发威胁统计,未授权的信息泄露占比 45.5%居首位,管理员访问权限获取占比 27.6%位居第二,拒绝服务占比 14.0%位居第三,后面的未授权的信可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利10/34息获取、其他、普通用户权限获取、未知。占比分别是 12.1%
16、、0.5%、0.3%、0.1%。图 6 2022 年漏洞引发威胁统计(数据来自于 CNVD)由此可见,未授权的信息泄露是导致威胁的主要原因,数据即生命,数据泄露可能会对企业造成无法估量的损失,保护信息安全是非常重要的。因此,有效的数据防泄漏系统是必不可少的。天融信网络数据防泄漏系统通过深度的内容识别、敏锐的行为感知、多样化的部署方式、全覆盖业务系统应用场景、全面的流动监控、迅速的泄漏响应、开放的架构设计、灵活的交付部署来帮助企业保护数据安全。同时,管理员访问权限获取也是值得关注的重点,在保护网络安全时,应加强对管理员访问权限的保护,避免使用弱口令等导致攻击者恶意获取管理员权限。此外,拒绝服务也
17、是一种威胁。拒绝服务攻击可以通过多种方式实现,包括但不限于:利用脚本模拟大量用户请求、使用僵尸网络发起攻击、利用漏洞导致服务器资源耗尽等。如果未得到及时有效的防护,拒绝服务攻击可能会对信息系统和业务造成严重的影响,包括网站瘫痪、服务中断、数据丢失、用户流失等。因此,加强对系统服务的保护是非常重要的,应使用多种方法来防护拒绝服务攻击,包括但不限于:安装防火墙、使用 DDOS 防护设备、进行服务器优化和加固等。最后,也应注意未授权的信息获取、普通用户权限获取等方面的威胁,加强相应的安全防护。2 2.6 6 漏漏洞洞增增长长趋趋势势通过 CNVD 漏洞信息库对 2021、2022 漏洞公开数据显示,
18、2021 年一共披露漏洞 26558枚,2022 年一共披露漏洞 23900 枚。同比减少 10%,2021 年高危漏洞 7284,2022 年高危可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利11/34漏洞 8379 枚,同比 2021 年增加 15.03%,2021 年中危漏洞 15738 枚,2022 年中危漏洞12862 枚,同比 2021 年减少 18.27%,2021 年低危漏洞 3536 枚,2022 年低危漏洞 2659 枚,同比 2021 年减少 16.32%。图 7 2022 年漏洞增长趋势统计(数据来自 CNVD)根据这份数据我们可以看出,2022 年的
19、漏洞总数相较于 2021 年有所减少,这可能是因为企业和机构在过去一年里加强了对漏洞的检测和修复或者因为在软件开发过程中更加注重了安全性。然而,从高危漏洞的数量来看,2022 年的数量略微高于 2021 年,这说明有些高危漏洞并没有得到很好的修复,存在潜在的威胁。为了提高漏洞管理效率,需要不断优化漏洞管理计划的成熟度和有效性,加强漏洞管理流程。此外,还需注意不同级别漏洞的处理优先级,高风险和严重风险漏洞需要尽快修复,但也不要忽略低风险和中等风险漏洞的修复。同时也要尽力在预算允许的范围内招募和培养安全人才,并定期评估和更新漏洞管理规程,从而更有效地保护自己的网络安全。可信网络 安全世界天融信阿尔
20、法实验室版权所有天融信 保留一切权利12/34第第三三章章 C CV VE E 漏漏洞洞库库安安全全漏漏洞洞概概况况通过对 CVE 在 2022 年公布的漏洞按 CVSS 评分高低进行排序,我们筛选了 CVSS 基本评分最高的前 100 个漏洞进行统计分析。此次统计分析主要从漏洞所影响厂商、影响平台、攻击途径、披露时间、漏洞类型以及 POC 公开情况等 6 个方面展开。结果显示,漏洞影响厂商前三名分别是谷歌、台达及思科。从影响的平台进行统计,受影响的平台大致可分为五类:分别是 PC 端平台、移动端平台、硬件设备平台、跨平台以及其他平台。其中硬件设备平台 38%,占据首位。由此可见漏洞依然集中在
21、传统厂商的设备和产品中,且主流系统和产品所面临的漏洞威胁和安全风险较大。而从高危漏洞的披露时间看,2 月份共披露高危漏洞 22 个,位居全年第一。在 TOP100漏洞中大约有 17%的高危漏洞存在公开 POC,这一数据占比相比往年提高。公开 POC 可能会为攻击者提供便利条件,使其能够更快地研发攻击工具,这将对相关软硬件设备造成重大安全威胁,并给用户带来威胁。为了避免这种情况的发生,开发者应该在软件设计和开发阶段就考虑安全问题,并采取有效措施来防范漏洞的产生。从攻击途径看可被远程利用的漏洞占比约为 98%,本地利用的漏洞约占 2%,这表明大多数漏洞都是可以被远程利用的,只有很少一部分漏洞可以被
22、本地利用。因此,为了保证网络安全,我们应该采取更多有效措施,防止远程攻击。从披露漏洞危害程度前 100 例的统计数据可以看出,远程代码执行漏洞、SQL 注入漏洞、命令注入漏洞是当前网络安全形势下最为严峻的威胁,它们共同占比超过 50%。未来,我们应该加强网络安全管理,健全安全技术,针对这些漏洞提供有效的防护措施,以期确保网络安全。具体统计分析结果如下:3 3.1 1 漏漏洞洞影影响响厂厂商商分分布布情情况况根据 2022 年 1-12 月 CVE 披露漏洞危害程度前 100 例所影响的相同厂商情况进行统计,前三名分别是谷歌、台达及思科。其中谷歌厂商的产品占比达到 17.00%,台达的产品占到1
23、1.00%,思科的产品共占 5.00%。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利13/34图 8 漏洞厂商分布图(数据来自于 CVE)谷歌、台达和思科是在 2022 年 1-12 月中受到漏洞攻击最多的厂商。这也意味着,如果你正在使用谷歌、台达或思科的产品,就应该特别注意保护这些产品的安全。可以考虑采取一些措施来防范漏洞的利用,例如定期更新其应用程序的安全补丁,使用相应的安全产品来监测网络流量,并在发现异常时立即采取行动。定期对网络进行安全审计,以找出并修复潜在的漏洞。最后,还要注意不要下载来自不信任来源的文件,也不要点击未知的链接,以避免意外地触发漏洞。通过这些措施,
24、可以有效地降低遭受漏洞攻击的风险。3 3.2 2 高高危危漏漏洞洞披披露露时时间间趋趋势势图图根据 2022 年 1-12 月 CVE 披露漏洞危害程度前 100 例相同披露时间进行统计,在 2022年全年中,2 月份披露 22 个,占比 22%位居第一,6 月份披露 21 个,占比 21%位居第二,5月份披露 20 个,占比 20%位居第三。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利14/34图 9 高危漏洞披露时间趋势图(数据来自于 CVE)3 3.3 3 攻攻击击途途径径概概况况根据 2022 年 1-12 月 CVE 披露漏洞危害程度前 100 例相同攻击途径进行
25、统计,其中来自远程攻击占比约为 98%,本地攻击约占 2%。图 10 TOP100 攻击途径概况(数据来自于 CVE)可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利15/342022 年远程攻击漏洞数量占比提升。这表明,远程攻击是当前攻击者采用的主要攻击手段,要有效防范网络攻击,应该优先考虑和加强安全策略的实施、进行综合性的安全防御、严格控制网络访问权限、定期进行安全漏洞扫描、保护网络的关键资源、以及采用多层防护技术,这些措施都可以有效地防止远程攻击。3 3.4 4 漏漏洞洞影影响响平平台台分分类类根据 2022 年 1-12 月 CVE 披露漏洞危害程度前 100 例所影响
26、的平台进行统计,受影响的平台大致可分为五类:分别是硬件设备平台、PC 端平台、跨平台、移动端平台以及其他平台。其中硬件设备平台 38%、PC 端平台 19%、跨平台 18%、移动端平台 15%、其他平台10%。图 11 TOP100 漏洞平台分类(数据来自于 CVE)这些数据表明,硬件设备平台受到的漏洞攻击最多,由于硬件设备的复杂度较高,其更新迭代速度较慢,导致在设计、开发和使用过程中容易出现漏洞。另外,PC 端平台和跨平台也受到了较多的漏洞攻击,这与 PC 端平台和跨平台的广泛使用密切相关。而移动端平台的漏洞攻击相对较少,移动端平台的安全机制相对比较完善,更新迭代速度较快,使得漏洞得到及时修
27、复。总的来看,各类平台都需要加强对漏洞的防范和修复工作,以确保系统和设备的安全。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利16/343 3.5 5 漏漏洞洞类类型型统统计计概概况况根据 2022 年 1-12 月 CVE 披露漏洞危害程度前 100 例相同类型进行统计,其中远程代码执行漏洞占比最多,以 28%位居首位,而 SQL 注入占比 15%、命令注入占比 11%、权限提升占比 8%、访问控制不当 6%、越界写入占比 5%、身份验证绕过占比 4%、其他漏洞占比15%。图 12 TOP100 漏洞类型统计概况(数据来自于 CVE)远程代码执行漏洞是最常见的漏洞类型,其次
28、是 SQL 注入和命令注入。可以考虑采用一些措施来防范漏洞的利用,例如使用输入验证、边界检查和访问控制等技术来防止攻击者利用漏洞进行攻击。此外,定期更新操作系统和应用程序的安全补丁也是很有必要的,这可以帮助系统修复已知的漏洞,防止攻击者利用这些漏洞进行攻击。根据 MITRE 今年通过对公开可用的国家漏洞数据库中 37000 项数据调研分析得出的CWE TOP 25 排名如下。排排名名I ID D名名称称分分数数与与 2 20 02 21 1 年年排排名名相相比比1CWE-787越界写入64.2002CWE-79跨站脚本45.9703CWE-89SQL 注入22.11+34CWE-20输入验证不
29、当20.630可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利17/34CWE-125越界读取17.67-26CWE-78OS 命令注入17.53-17CWE-416Use-After-Free15.5008CWE-22路径遍历14.0809CWE-352跨站请求伪造(CSRF)11.53010CWE-434文件上传9.56011CWE-476NULL 指针解引用7.15+412CWE-502反序列化6.68+113CWE-190整数溢出6.53-114CWE-287身份验证不当6.35015CWE-798使用硬编码凭证5.66+116CWE-862缺少授权5.53+217CW
30、E-77命令注入5.42+818CWE-306缺少关键功能的身份验证5.15-719CWE-119内存缓冲区范围内的操作限制不当4.85-220CWE-276不正确的默认权限4.84-121CWE-918服务器端请求伪造(SSRF)4.27+322CWE-362竞争条件3.57+1123CWE-400不受控制的资源消耗3.56+424CWE-611XML 外部实体引用限制不当3.38-125CWE-94代码注入3.32+3表 1 CVE TOP 25 排名(数据来自于 MITRE)与过去几年一样,CWE 团队在分析今年的变化时指出,前 25 名的漏洞越来越多地转向更具体的基础层漏洞,在今年的漏
31、洞排行榜上,有几种漏洞类型的排名与去年有所变化,其中有的完全消失或是首次进入前 25 名。排排名名大大幅幅提提升升的的漏漏洞洞有有:(1)CWE-362(竞争条件):从第 33 名提升到第 22 名;(2)CWE-94(代码注入):从第 28 名提升到第 25 名;(3)CWE-400(不受控制的资源消耗):从第 27 名提升到第 23 名;(4)CWE-77(命令注入):从第 25 名提升到第 17 名;(5)CWE-476(NULL 指针解引用):从第 15 名提升到第 11 名。排排名名大大幅幅下下降降的的漏漏洞洞有有:可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利18
32、/34(1)CWE-306(缺少关键功能的身份验证):从第 11 名下降到第 18 名;(2)CWE-200(未授权访问敏感信息):从第 20 名下降到第 33 名;(3)CWE-522(凭证失效):从第 21 名下降到第 38 名;(4)CWE-732(权限分配错误):从第 22 名下降到第 30 名。T To op p 2 25 5 中中的的新新入入围围的的漏漏洞洞有有:(1)CWE-362(竞争条件):从第 33 名上升到第 22 名;(2)CWE-94(代码注入):从第 28 名上升到第 25 名;(3)CWE-400(不受控制的资源消耗):从第 27 名上升到第 23 名。从从 T
33、To op p 2 25 5 中中落落选选的的漏漏洞洞有有:(1)CWE-200(未授权访问敏感信息):从第 20 名降至第 33 名;(2)CWE-522(凭据失效):从第 21 名降至第 38 名;(3)CWE-732(权限分配错误):从第 22 名降至第 30 名。3 3.6 6 P PO OC C 公公开开情情况况统统计计根据 2022 年 1-12 月 CVE 披露漏洞危害程度前 100 例 POC 公开情况进行统计,其中未公开 POC 居多,占比 83%,公开 POC 的仅有 17%。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利19/34图 13 TOP100P
34、OC 公开情况概况(数据来自于 CVE)由此可见,大多数漏洞没有被正确有效地揭示出来。及时更新软件修复版本可以有效地防止漏洞利用的产生。企业可以采用自动化补丁管理流程,通过使用自动化工具来监控补丁发布,并自动部署补丁,来提高应用补丁的速度和效率。这样做还能帮助企业避免人为错误,并减少补丁管理过程中的工作量。在快速应用安全补丁的同时,也需要确保补丁的有效性。补丁应用过程中,应该进行测试,以确保补丁不会对系统性能造成负面影响。同时也应该对补丁进行监控,以确保补丁能够有效修复漏洞。此外企业安全团队需要准确的漏洞信息,仅依靠公开的漏洞库可能不够充分,因此有必要引入并收集更多的漏洞资源。拥有更充分的漏洞
35、信息可以帮助安全团队更准确地评估漏洞的可利用性和是否存在解决方案,从而更有针对性地进行漏洞修复。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利20/34第第四四章章 漏漏洞洞预预警警统统计计情情况况2022 年,天融信阿尔法实验室通过漏洞监测系统共监测发现各类漏洞信息 45627 条,经过漏洞监测系统自动智能筛选后留存高危漏洞信息 365 条,进一步经人工研判后发布高危漏洞风险提示通告 62 条。涉及众多厂商的软件产品,由漏洞引发的安全威胁也多种多样,统计结果显示,主流操作系统是漏洞高发产品。2022 年针对 Microsoft 厂商漏洞预警次数达 15 次,其中 Windo
36、ws 系统的漏洞占大多数。OpenSSL、Vmware 等关键基础设施漏洞也是受关注度较高的方向。2022 年预警的漏洞中,代码执行类漏洞占比最高,达到 71%。这一类漏洞也是 APT 攻击者的重要方向和攻击武器,攻击者利用这类漏洞可以远程执行任意代码或者指令,有些漏洞甚至无需用户交互即可达到远程代码执行的效果,对目标网络和信息系统造成严重影响。具体预警统计分析情况如下:4 4.1 1 漏漏洞洞厂厂商商情情况况在 2022 年内发布的 62 条漏洞通告内所涉及到的知名厂商中,针对 Microsoft 厂商漏洞预警次数最多,为 15 次,占比约 24%,针对 Google 和 Apache 的均
37、为 6 次,占比 10%,并列第二名。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利21/34图 14 2022 年漏洞预警厂商情况从整体情况来看,微软使用广泛、影响力大无疑是一个重要因素,同时其也非常重视安全性,一直依靠强大的安全能力来应对各种外部攻击。由于微软的产品影响力如此之大,因此涉及到的安全风险也就更大。就算是在合理或者正常的使用情况下,也有可能出现未修补的危险问题。因此,在使用微软产品的过程中,应当特别注意安全问题,及时更新修复版本,防止漏洞被利用。同时,对于使用微软产品的组织或者个人来说,也应当加强对相关安全知识的学习和掌握,以便在使用过程中尽早发现和处理问题。
38、Google 在技术开源方面做出了巨大贡献。其广泛发布使用的开源代码应用,为业界带来了许多方便。然而,由于 Google 产品涵盖面广,涉及的行业和领域也各不相同,因此其所面临的风险也各有不同。包含浏览器、智能手机、云计算、物联网、大数据存储、移动应用程序、自动驾驶等领域。例如,在浏览器领域,Google Chrome 可能会面临 V8 引擎内核漏洞、浏览器扩展漏洞、第三方应用漏洞以及针对浏览器恶意软件的威胁。个别风险来源于其使用的开源组件,因此需要密切关注漏洞修复情况并及时升级。此外,用户也应该注意自己的网络安全,避免下载未知来源的软件以及注意保护个人信息。在智能手机市场,开源的 Andro
39、id 系统底层代码对所有人都是可见的,这意味着任何人都可以检查代码,寻找潜在的漏洞并尝试利用它们。因此,Android 系统也会面临着来自第三方应用或恶意软件利用系统漏洞的威胁,这些漏洞可能会被黑客用来获取用户的个人信息或者控制用户的设备。此外,由于 Android 市场份额的巨大优势,它也可能成为攻击者针对的主要目标。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利22/34为了应对这些威胁,Android 开发商必须不断加强系统安全性,并且需要不断地对系统进行更新以修补漏洞。Android 用户也应该注意安装来自可靠来源的应用,并且应该及时安装系统更新以保证信息安全。在 W
40、eb 架构中,开源软件的应用范围同样广泛,不仅如 Log4j 这样的日志组件会受到攻击者的影响,还有像 Tomcat、Dubbo、Solr、Hadoop 等 Apache 软件基金会管理的顶级开源项目也都存在被攻击的可能性。由于组件之间存在相互依赖关系,一旦存在安全漏洞,就会导致漏洞在组件之间传播,从而影响到 90%以上基于 Java 开发的应用平台。因此,我们在使用开源软件时,一定要制订完善的安全管理措施,以防止开源软件带来的漏洞威胁。4 4.2 2 漏漏洞洞威威胁胁情情况况在 2022 年发布的 62 条漏洞通告中,所通告的漏洞可分为 8 大类,分别是远程代码执行漏洞、权限提升漏洞、身份验
41、证绕过漏洞、任意文件上传漏洞、拒绝服务漏洞、命令注入漏洞、沙箱逃逸漏洞,其中代码执行漏洞占比 71%,位于首位,权限提升漏洞占比 10%,位于第二位,身份验证绕过漏洞占比 8%,位于第三位。图 15 2022 年预警漏洞威胁情况由此可见,随着网络安全技术的发展,攻击者们越来越倾向于利用代码执行漏洞来获取服务器权限,进而实现攻击目的。其次是权限提升漏洞,这类漏洞允许攻击者在没有正确授权的情况下获得系统或软件的高级权限,可能导致数据泄露或其他严重后果。紧随其后的是身份验证绕过漏洞,这类漏洞可以让攻击者绕过身份验证机制,获取未授权的访问权限。在其他漏洞类型中,任意文件上传漏洞、拒绝服务漏洞、命令注入
42、漏洞和沙箱逃逸可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利23/34漏洞的比例都较低,但仍需引起重视。任意文件上传漏洞可能导致未经授权的文件被上传到系统中,拒绝服务漏洞可能导致系统无法正常运行,命令注入漏洞可能允许攻击者在系统中执行任意命令,而沙箱逃逸漏洞则可以让攻击者跳出限制性安全措施的限制,获取未授权的访问权限。因此应该继续加强安全意识,不断更新防护措施。4 4.3 3 年年度度 T TO OP P1 10 0 高高危危漏漏洞洞本节内容筛选自天融信 2022 年预警的漏洞信息,并根据漏洞的利用难易程度、漏洞利用成功后造成的损失、漏洞影响的范围进行排名,根据排名节选出排名
43、前十的漏洞。危危害害程程度度排排名名漏漏洞洞编编号号标标题题概概述述NO.1CVE-2022-30190MicrosoftWindows支持诊断工具(MSDT)远程代码执行漏洞CVE-2022-30190:远程代码执行漏洞,攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过ms-msdtURI 来执行恶意 PowerShell代码。该漏洞在宏被禁用的情况下,仍能通过MSDT(MicrosoftSupportDiagnostics Tool)功能执行代码,将恶意 doc 文件另存为 RTF 格式时,无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执
44、行任意代码。NO.2CVE-2022-41082MicrosoftExchangeServer 远程代码执行漏洞CVE-2022-41082:是一个远程命令执行漏洞,要成功利用该漏洞必须先经过身份认证,之后即可利用一个网络调用来触发恶意 程 序 代 码。被 微 软 列 为 重 大(Critical)漏洞,经微软证实,黑客们利用 ProxyNotShell 漏洞,在被攻击的Exchange服 务 器 上 部 署 了ChinaChopper web shell 恶意脚本。这个漏洞在微软发布的 11 月周二补丁包中都已得到了解决。NO.3CVE-2022-22965SpringFramework 任
45、 意文件写入漏洞CVE-2022-22965:该漏洞是SpringFramework 的一个漏洞,攻击者可以在未授权的情况下,通过发送数据包,在目标服务器上写入任意文件,例如通过漏洞将 WebShell 写入目标服务器,然后通过访问 WebShell 来执行命令,进而获取整个服务器的权限。虽然该漏洞的利用可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利24/34方式并没有那么容易,但是该漏洞已经成为不法犯罪分子的武器,所以值得被关注。NO.4CVE-2022-3723GoogleChrome 远程代码执行漏洞2022 年 10 月 27 日 google 官方紧急发布Googl
46、e Chrome 远程代码执行漏洞 CVE-2022-3723。该漏洞是由于 Chrome V8 引擎中存在类型混淆所导致,此类漏洞通常会在成功读取或写入超出缓冲区边界的内存后造成浏览器崩溃或者执行任意代码。NO.5CVE-2022-1388F5BIG-IPiControlREST 身份验证绕过漏洞CVE-2022-1388 该漏洞是一个身份验证绕过漏洞,未经身份验证的攻击者利用此漏洞可以通过管理端口或利用自身 IP 对BIG-IP 系统进行网络访问绕过身份验证,并且可以任意执行系统命令、创建或删除文件以及禁用 BIG-IP 上的服务。NO.6CVE-2022-25845Fastjson 反序
47、列化漏洞此 次 漏 洞 的 影 响 范 围 是 1.2.80,Fastjson 使用黑白名单用于防御反序列化漏洞,在特定条件下可绕过默认 autoType关闭限制,攻击远程服务器,风险影响较大。NO.7CVE-2022-22947SpringCloudGateway远程代码执行漏洞当 启 用 和 暴 露 不 安 全 的GatewayActuator 端点时,使用Spring CloudGateway 的应用程序容易受到代码注入攻击。远程攻击者可以发出恶意制作的请求,成功利用该漏洞可以导致代码执行。NO.8CVE-2021-4034Polkit 权限提升漏洞CVE-2021-4034 是由于 p
48、kexec 无法正确处理调用参数,从而将环境变量作为命令执行,具有任意用户权限的攻击者都可以在默认配置下通过修改环境变量来利用此漏洞,从而获得受影响主机的 root 权限,漏洞的影响范围较广,应值得被关注。NO.9CVE-2021-31805ApacheStruts2远程代码执行导致该漏洞的原因是对 S2-061 修复不够完整,当开发人员使用%语法强制OGNL 解析时,还是会有一些特殊的标签属性会被二次解析,攻击者可以向受害主机发送恶意的 OGNL 表达式执行任意代码。NO.10CVE-2022-26134AtlassianConfluenceRCE 漏洞该漏洞允许在未经身份验证的情况下,通过
49、发送恶意的 Web 请求注入命令,实现在受 影 响 的 Confluence Server 或DataCenter 实例上执行任意代码。可信网络 安全世界天融信阿尔法实验室版权所有天融信 保留一切权利25/344 4.4 4 漏漏洞洞预预警警 T TO OP P1 10 0 漏漏洞洞回回顾顾4 4.4 4.1 1M Mi ic cr ro os so of ft t W Wi in nd do ow ws s 支支持持诊诊断断工工具具(M MS SD DT T)远远程程代代码码执执行行漏漏洞洞Microsoft Windows 支持诊断工具(MSDT)是一种 Windows 系统工具,可以帮助
50、您诊断和解决 Windows 系统中出现的问题。它包含了大量的诊断工具和修复程序,可以帮助您解决各种问题,如蓝屏错误、系统崩溃、网络连接问题等。攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过ms-msdtURI 来执行恶意 PowerShell 代码。该漏洞在宏被禁用的情况下,仍能通过MSDT(Microsoft Support Diagnostics Tool)功能执行代码,将恶意 doc 文件另存为RTF 格式时,无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。影响范围:Microsoft Office 2013、2016、