2022年全网漏洞态势研究报告

核心洞见 /2022 年度全网漏洞态势研究报告奇安信将 0day、APT 相关、发现在野利用、存在公开 Exploit/PoC，且漏洞关联软件影响面较大的漏洞定义为“关键漏洞”。2022 年标记的关键漏洞仅占新增漏洞总量的 3.99%，基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。部分漏洞在 NVD 上没有相应的 CVE 编号，未被国外漏洞库收录，为国产软件漏洞。此类漏洞如果被国家级的对手利用将导致非常严重的后果。Microsoft、Apple、Oracle 这类商业软件漏洞多发，且因为其有节奏的发布安全补丁，为漏洞处置的关注重点。同时，开源软件和应用在企业中越来越多的使用，关注度逐渐攀升。漏洞拥有的标签越多，与其关联的攻击团伙或者恶意家族就越多，说明漏洞正在被积极利用。从侧面印证了这个漏洞具有较高的可达性和危害性，漏洞修补时应该放在最高的优先级。有 65.26% 左右的漏洞在被公开后的 6 至 14 天内官方才发布补丁。奇安信将漏洞被公开后、官方发布漏洞补丁前的这段时间称为“漏洞修复窗口期”，这一期间漏洞被成功利用的可能性极大，危害程度最高，企业尤其应该注意这一期间的漏洞管理。补丁修复不彻底，会导致新的漏洞出现。例如：CVE-2022-41040 漏洞是由于官方对 CVE-2021-34473 漏洞的补丁修复不彻底，导致补丁可以被绕过，从而引发的新漏洞。高效的企业漏洞管理，需要可靠的漏洞情报。基于漏洞情报的新型漏洞管理模式，能够在企业安全运营过程起到收集器、过滤器和富化器的作用，帮助企业摆脱漏洞处理的泥潭，更加高效的进行漏洞处置和管理。奇安信 CERT 研究并发布《全网漏洞态势研究 2022 年度报告》，围绕漏洞监测、漏洞分析与研判、漏洞风险评估与处置等方面，对 2022 年全年发生的重大安全事件和有现实威胁的关键漏洞进行了盘点和分析。报告研究发现，目前互联网各个领域的漏洞态势，呈现出以下特点：2022 年度全网漏洞态势研究报告核心洞见CORE INSIGHTS关键词：漏洞标签、在野利用、补丁修复、漏洞情报深度运营 第一章 2022 年度漏洞态势 1.1 年度漏洞处置情况 1.2 漏洞风险等级占比情况 1.3 漏洞威胁类型占比情况 1.4 漏洞影响厂商占比情况 1.5 漏洞标签占比情况 1.6 关键漏洞占比情况 1.7 漏洞补丁占比情况第二章 2022 年度安全大事件 2.1 “Spring4Shell”背景介绍 2.2“Spring4Shell”事件描述 2.3“Spring4Shell”事件影响第三章 2022 年度关键漏洞回顾 3.1 0day 漏洞回顾 3.2 APT 相关漏洞回顾 3.3 在野利用相关漏洞回顾 3.4 其它类别关键漏洞回顾第四章 奇安信漏洞情报的深度运营 4.1 收集器：多维漏洞信息整合及属性标定 4.2 过滤器：准确判定漏洞导致的实际安全风险、及时通 知与组织相关漏洞风险、漏洞处理优先级综合性排序 2022 年度全网漏洞态势研究报告目录 /2022 年度全网漏洞态势研究报告目 录0101020304050708101010101212162028404043CATALOGUE 4.3 富化器：包含详细操作步骤的处置措施附录：Microsoft Windows 支持诊断工具 (MSDT) 远程 代码执行漏洞深度分析报告示例4952邮箱：ti_support@qianxin.com 电话：95015 官网：https://nox.qianxin.com/ 2022 年度全网漏洞态势研究报告1值得注意的是，2022年新增的24,039条漏洞信息中，有402个漏洞在NVD上没有相应的CVE编号，未被国外漏洞库收录，为国产软件漏洞，占比情况如图1-2所示。此类漏洞具有较高威胁，如果被国家级的对手利用将导致非常严重的后果。第一章 2022年度漏洞态势1.1 年度漏洞处置情况2022年奇安信CERT的漏洞库新增漏洞信息[1]26,128条[2]（24,039条有效漏洞信息在NOX安全监测平台上显示[3]），经NOX安全监测平台筛选后有25,301条敏感信息[4]触发人工研判，其中20,667条漏洞信息达到奇安信CERT的处置标准对其进行初步研判，并对初步研判后较为重要的1,914条漏洞信息进行深入研判。相较于2021年，初步研判的漏洞环比增长873.02%[5]，深入研判的漏洞环比增长1.27%。2022年奇安信CERT漏洞库每月新增漏洞信息数量如图1-1所示：1*奇安信CERT将互联网上包含漏洞相关内容的信息统称为漏洞信息2*漏洞信息来源包含NVD、CNVD、CNNVD等开源漏洞库，以及各大互联网厂商和安全媒体披露的安全漏洞3*NOX安全监测平台网址：https://nox.qianxin.com/4*敏感信息触发条件由漏洞影响的产品、漏洞热度、可能的影响范围等多个维度综合决定5*初步研判漏洞较2021年大幅提升，是由于2022年奇安信CERT漏洞库优化了自动化工单处理机制，将漏洞初步研判流程前置，极大程度提高了漏洞处置能力图 1-1 2022 年奇安信 CERT 漏洞库每月新增漏洞信息数量 第一章 2022 年度漏洞态势 /2022 年度全网漏洞态势研究报告 邮箱：ti_support@qianxin.com 电话：95015 官网：https://nox.qianxin.com/21.2 漏洞风险等级占比情况奇安信CERT结合CVSS评价标准以及漏洞产生的实际影响将漏洞定级分为极危、高危、中危、低危四种等级，用来评价漏洞不同的影响程度。2022年奇安信CERT研判过的21,034条漏洞信息中，各个等级占比情况如图1-3所示。图 1-2 国产软件漏洞占比图 1-3 漏洞风险等级占比 2022 年度全网漏洞态势研究报告3图 1-4 漏洞类型排名其中，低危漏洞占比2.00%，此类漏洞利用较为复杂或对可用性、机密性、完整性造成的影响较低；中危漏洞占比40.08%，此类漏洞产生的影响介于高危漏洞与低危漏洞之间，可能需要一些复杂的配置或对漏洞成功利用的要求较高；高危漏洞占比57.72%，此类漏洞极大可能造成较严重的影响或攻击成本较低；极危漏洞占比0.20%，此类漏洞无需复杂的技术能力就可以利用，并且对机密性、完整性和可用性的影响极高。其中漏洞数量占比最高的前十种类型分别为：代码执行、信息泄露、拒绝服务、身份认证绕过、权限提升、安全特性绕过、命令执行、错误的访问控制、跨站脚本攻击。这些类型的漏洞通常很容易被发现、利用，其中代码执行、权限提升等类型的漏洞可以让攻击者完全接管系统、窃取数据或阻止应用程序运行，具有很高的危险性，是安全从业人员的重点关注对象。1.3 漏洞威胁类型占比情况将2022年度新增的24,039条漏洞信息根据漏洞威胁类型进行分类总结，如图1-4所示： 第一章 2022 年度漏洞态势 /2022 年度全网漏洞态势研究报告 邮箱：ti_support@qianxin.com 电话：95015 官网：https://nox.qianxin.com/4图 1-5 漏洞影响厂商占比其中漏洞数量占比最高的前十家厂商为：Microsoft、Apple、Oracle、Google、开放源代码项目、Cisco、Adobe、Linux、Apache、VMware。Microsoft、Apple、Oracle 这类商业软件漏洞多发，且因为其有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件和应用在企业中越来越多的使用，关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位，因而获得了安全研究员更为重点的关注。1.4 漏洞影响厂商占比情况将2022年度新增的24,039条漏洞信息根据漏洞影响厂商进行分类总结，如图1-5所示： 2022 年度全网漏洞态势研究报告5将 2022 年奇安信 CERT 人工标记的 977 个漏洞，按照标签数量进行分类总结，拥有的标签数量排名前十的漏洞如图 1-7 所示：1.5 漏洞标签占比情况为了更加有效的管控漏洞导致的风险，奇安信CERT建立了全面的多维漏洞信息整合及属性标定机制，使用“关键漏洞”、“在野利用”、“POC公开”、“影响万/十万/百万/千万/亿级”、“Botnet类型”、“攻击者名称”、“漏洞别名”等标签标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、Exploit工具、概念验证代码（PoC）、是否已经有了野外利用、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获取对系统控制途径等属性。涵盖的漏洞标签类别如图1-6所示：图 1-6 漏洞标签词云图 第一章 2022 年度漏洞态势 /2022 年度全网漏洞态势研究报告 邮箱：ti_support@qianxin.com 电话：95015 官网：https://nox.qianxin.com/6其中Microsoft Windows 支持诊断工具远程代码执行漏洞(CVE-2022-30190)拥有的标签数量最多为19个，如图1-8。其次是Atlassian Confluence Server 及 Data Center 远程代码执行漏洞(CVE-2022-26134)拥有18个标签，如图1-9。排名第三和第四的Spring Framework远程代码执行漏洞(CVE-2022-22965)和Microsoft Exchange Server远程代码执行漏洞(CVE-2022-41082)分别被标记了11个和10个漏洞标签，如图1-10。图 1-7 漏洞标签数量排名 2022 年度全网漏洞态势研究报告7图 1-10 Spring Framework 远程代码执行漏洞和 Microsoft Exchange Server 远程代码执行漏洞标签示例漏洞拥有的标签越多，与其关联的攻击团伙或者恶意家族就越多，说明漏洞正在被积极利用。从侧面印证了这个漏洞具有较高的可达性和危害性，这样的漏洞已经不仅仅是潜在的威胁，而是具有了较高的现时威胁，漏洞修补时应该放在最高的优先级。1.6 关键漏洞占比情况2022年奇安信CERT漏洞库新增的24,039条漏洞信息中监测到有公开Exploit/PoC漏洞数量为721个、有在野利用漏洞数量为238个、0day漏洞数量为41个、APT相关漏洞数量为33个。奇安信CERT将0day、APT相关、发现在野利用、存在公开Exploit/PoC，且漏洞关联软件影响面较大的漏洞定义为“关键漏洞”。此类漏洞利用代码已在互联网上被公开，或者已经发现在野攻击利用，并且漏洞关联产品具有较大的影响面，因此威胁程度非常高，需要重点关注。2022年共标记关键漏洞960个，仅占新增漏洞总量的3.99%，由此可见，基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。此外，发现在野利用的238个漏洞中有88个漏洞有公开Exploit，还有近三分之二的在野利用漏洞没有监测到公开的Exploit/PoC，处于私有状态，仅被