2023年网络空间安全漏洞态势分析研究报告

目录 2023年网络空间安全漏洞态势分析研究报告..................................................................................1第一章前言.................................................................................................................................................3第二章国家漏洞库概况..........................................................................................................................42.1漏洞威胁等级统计........................................................................................................................52.2漏洞影响对象类型统计..............................................................................................................62.3漏洞产生原因统计........................................................................................................................72.4漏洞引发威胁统计........................................................................................................................82.5行业漏洞收录统计........................................................................................................................92.6漏洞修复情况统计.....................................................................................................................102.7漏洞增长趋势..............................................................................................................................11第三章在野利用漏洞概况..................................................................................................................123.1漏洞影响厂商分布情况...........................................................................................................133.4漏洞影响平台产品分类...........................................................................................................143.5漏洞类型统计概况.....................................................................................................................153.6EXP公开情况统计......................................................................................................................18第四章漏洞预警统计情况..................................................................................................................194.1漏洞厂商情况..............................................................................................................................194.2漏洞威胁情况..............................................................................................................................204.3年度TOP10高危漏洞................................................................................................................214.4漏洞预警TOP10漏洞回顾.......................................................................................................23第五章总结..............................................................................................................................................295.1安全防护建议..............................................................................................................................305.22024年漏洞态势展望...............................................................................................................32 第一章前言 随着信息技术的迅猛发展和数字化转型的深入推进，网络空间已经成为人们生产、生活、交流不可或缺的重要组成部分。然而，与此同时，网络安全威胁也呈现出前所未有的复杂性和严峻性。安全漏洞，作为网络安全领域的核心问题之一，在这一年中频繁曝光，给全球各地的组织和个人带来了巨大挑战。2023年，网络空间安全漏洞态势呈现出总体数量降低，但影响范围扩大、利用难度降低的趋势。从传统的系统和应用漏洞，到新兴技术如云计算、物联网、车联网、人工智能等领域的安全隐患，各种类型的安全漏洞层出不穷。这些漏洞不仅威胁着网络系统的正常运行和数据安全，更可能对国家安全、社会稳定和经济发展产生深远影响。 近年来，我们目睹了多起重大的网络安全事件。例如，某知名软件公司的操作系统被发现存在严重的远程代码执行漏洞，攻击者利用该漏洞成功入侵了数百万台计算机，窃取了大量敏感信息。又如，某大型云服务提供商因为配置错误导致客户数据泄露，引发了公众对云安全的广泛关注。这些事件再次提醒我们，网络安全无小事，任何一个看似微小的漏洞都可能成为攻击者的突破口。此外，随着物联网设备的普及和智能化进程的加速推进，物联网安全也成为了一个不容忽视的问题。智能家居设备、智能城市基础设施等物联网设备频繁被曝出存在安全漏洞的情况。这些设备一旦被攻击者控制，不仅可能影响用户的正常生活和工作秩序还可能对用户的隐私和安全造成威胁甚至可能被用于发动更大规模的网络攻击。 作为中国领先的网络安全、大数据与云服务提供商，天融信始终以捍卫国家网络空间安全为己任，创新超越，致力于成为民族安全产业的领导者、领先安全技术的创造者和数字时代安全的赋能者。为了更好地了解网络空间安全漏洞的发展趋势，并采取适当的措施应对漏洞威胁，特发布《2023年网络空间安全漏洞态势分析研究报告》。本报告旨在全面梳理和分析2023年网络空间安全漏洞的态势和特点并结合实例剖析典型安全事件的成因和影响以期为政府、企业和个人提供有针对性的防护建议和措施建议共同应对网络安全挑战维护网络空间的安全与稳定。 天融信阿尔法实验室版权所有©天融信保留一切权利3/34本报告重点内容共分两个部分，第一部分为2023年漏洞趋势，通过对国家漏洞库及前100个在野利用漏洞进行综合分析而产生。据CNVD公开数据显示，2022年共披露漏洞 23900枚，2023年共披露漏洞18635枚，同比降低22.03%。这可能表明，在过去一年里，安全运维人员加强了对系统安全的管理，降低了漏洞数量。其中，低危漏洞占5.85%，中危漏洞占46.93%，高危漏洞占47.22%。相对于低危漏洞，中危和高危漏洞的数量要多得多，这也需要安全运维人员提高警惕，加强对中高危漏洞的控制。 第二部分为天融信2023年度高危漏洞预警情况概述,在2023年整个年度中，天融信阿尔法实验室监测发现了上万条漏洞情报，经过情报人员快速研判分析，第一时间预警并处理了多起突发高危漏洞，并根据漏洞的影响范围、影响对象及产生威胁的因素，挑出了排名 前 十 的 漏 洞。2023年度 重 点 漏 洞含Microsoft Word远程 代 码 执行 漏洞 、ApacheRocketMQ命令注入漏洞、Atlassian Confluence远程代码执行漏洞、Linux Kernel权限提升漏洞等。天融信第一时间监测到漏洞后，进行了漏洞复现和应急响应处理，并给出临时解决方案，保障了客户网络空间安全。 企业安全部门应该提升网络安全威胁感知能力，建立有效的监测预警体系，并制定应急指挥计划，加强对威胁的发现、监测、预警和应对能力。以便在网络攻击发生时快速作出应对。此外，还需要强化攻击溯源能力，重点建设辅助攻击溯源相关能力（如授权控制、流量记录），使得对网络攻击的溯源工作更加轻松，以便有效地防御和应对来自外部的网络攻击。 天融信阿尔法实验室秉承攻防一体的理念，以保卫国家网络空间安全为己任，在未来的工作中将持续针对网络空间漏洞进行实时侦测，并灵活应对和防护突发漏洞的产生，攻防相结合，为国家及客户安全进行全方位赋能。 第二章国家漏洞库概况 漏洞的统计与评判是评估网络安全情况的一个重要指标，天融信阿尔法实验室参考国家漏洞数据库数据,对2023年披露的漏洞进行了全方位的统计分析,下图是近十年漏洞数量走势图，从这个数据中可以看出，近十年来，CNVD披露的漏洞数量总体呈现上升趋势。尤其是在2018年至2021年之间，漏洞数量大幅增加。2023年来看，漏洞数量出现了持续下降。这种变化可能是网络安全生态系统中各种因素交互作用的结果，可能是由于新的安全技术的采用，也可能是由于黑客行为的调整。这种波动性提示着网络安全领域的不断演 化和对抗的复杂性。与此同时，我们也不能忽视网络安全仍然面临着多样化和不断变化的威胁，因此