2023年度全网漏洞态势研究报告

2023年度报告全网漏洞态势研究报告 2024年1月 关键词：漏洞事件、勒索攻击、关键漏洞、APT相关 主要观点 M A I NP O I N T S 过去一年，奇安信漏洞情报，聚焦国内外新增高危漏洞，迅速响应、权威研判、持续跟踪。已经形成一套完整的漏洞情报供应体系，帮助企业前置漏洞处置流程、及时发现漏洞风险、修复潜在威胁，构建更加完善的安全防护能力。 《2023年全网漏洞态势研究报告》从漏洞视角出发，观察2023年网络安全现状，梳理全年整体漏洞态势、盘点和分析漏洞利用相关的安全事件以及有现实威胁的关键漏洞。核心洞见如下： 2023年公开漏洞的总数持续上升，类型分布与往年类似，导致实际安全风险的漏洞比例并没有增加，我们还是应该通过威胁情报及时发现那些关键漏洞，以最快的速度加以处置。 APT组织利用了不少高端0day漏洞执行高度定向的攻击，甚至在卡巴斯基揭露的三角行动中使用了非常罕见的硬件漏洞。这些漏洞的利用基本上是无法防御的，对于敏感的人员和机构使用可信可追溯的软硬件进行工作必须成为一个认真考虑的选项。 当前定向勒索攻击活动对于政企机构的数据安全构成巨大的威胁，甚至比APT活动更甚，因为勒索攻击会直接影响业务的连续性，造成非常大的外部影响。1day/Nday漏洞的快速利用是黑产活动的最主要渗透入口之一，特别是那些涉及软硬件流行面很广而又利用稳定的场景，几乎必然会被勒索黑产大规模利用，对于影响面大而又稳定的漏洞需要尽早发现尽早修补。 国产软件相关的漏洞在总体漏洞中占比不高，但由于在国内的流行度高，在国内触发的实际威胁非常明显，国产软件中的漏洞挖掘值得投入，政企机构对于所使用的软件系统最好有流程化的漏洞挖掘和分析过程，或者加入补天这样的漏洞众包响应平台，以尽可能地减少严重线上漏洞的威胁。漏洞发现这件事，如果自己不做，并不能阻止网络威胁行为体去做，后果就是自己失陷而不自知。 有50%左右发现在野利用的0day漏洞没有监测到公开的利用代码，处于私有状态，仅被某些APT组织或者个人使用，可能用于高度定向、高价值目标、隐蔽性和供应链等攻击。所以，仅仅通过事后打补丁或采取临时规避措施很难甚至解决大部分问题，组织需要采取综合的安全措施，包括削减攻击面、威胁情报共享、安全意识培训等，以应对这些未公开的漏洞利用。 已知被利用的漏洞中，漏洞从公开到发现在野利用平均时间差为35天，有一半以上的漏洞在被公开后5天之内发现在野利用。显示对于大多数漏洞在公开后的短时间内就会被恶意攻击者发现并开始利用。因此，及时修补漏洞和加强网络安全措施对于保护系统和数据的安全至关重要。 奇安信CERT在2023年推荐必修漏洞共360个，标记了共超过4000个已发现在野利用的漏洞，这些基本是有实际安全威胁的问题，建议客户尽快参考处置建议做好自查及防护，同时通过邮件或加入微信群订阅奇安信的漏洞情报服务随时获取相关更新。 目录 C A T A L O G U E 第一章 2023年度漏洞态势 年度漏洞处置情况漏洞威胁类型占比情况漏洞影响厂商占比情况漏洞标签占比情况漏洞热度排名TOP 10一、二、三、四、五、 第二章 安全漏洞大事件 CVE-2023-7024 0day漏洞威胁数百万Chrome浏览器用户安全Citrix Bleed在有限的攻击中被作为零日漏洞滥用威胁行为体正在积极利用F5 BIG-IP 远程代码执行漏洞思科披露了新的IOS XE零日漏洞，可用于部署恶意软件植入用于传递基于Nim恶意软件诱骗Microsoft Word文档的武器化零日漏洞Apple修复了用于秘密传送间谍软件的零日漏洞一、二、三、四、五、六、 第三章 勒索软件攻击中使用的漏洞 LockBit勒索软件使用的Citrix Bleed漏洞Akira勒索的组织使用的Cisco产品漏洞勒索软件团伙使用的0day漏洞Qlik Sense 应用程序漏洞IBM Aspera Faspex 文件共享软件漏洞各类权限提升漏洞一、二、三、四、五、六、 第四章 关键漏洞回顾 0day漏洞回顾APT相关漏洞回顾在野利用相关漏洞回顾其它类别关键漏洞回顾一、二、三、四、 第五章 通用处置建议及最佳实践 第六章 奇安信漏洞情报服务订阅 附录1：2023年APT活动相关漏洞列表 附录2：2023年风险通告（建议必修）漏洞列表 2023年度漏洞态势 第一章 一、年度漏洞处置情况 2023年1月1日至12月31日期间，奇安信安全监测与响应中心（又称奇安信CERT）共监测到新增漏洞28975个，较2022年同比增长10.9%。其中，有7602个高危漏洞触发了人工研判。经研判：本年度值得重点关注的漏洞共793个，达到奇安信CERT发布安全风险通告标准的漏洞共360个，并对其中109个漏洞进行深度分析。2023年奇安信CERT漏洞库每月新增漏洞信息数量如图1-1所示：[1][2][3] 值得注意的是，2023年新增的28975个漏洞中，有715个漏洞在NVD上没有相应的CVE编号，未被国外漏洞库收录，为国产软件漏洞，占比情况如图1-2所示。此类漏洞具有较高威胁，如果被国家背景攻击组织利用将导致严重后果。 2023年国产软件漏洞占比 二、漏洞威胁类型占比情况 将2023年度新增的28975条漏洞信息根据漏洞威胁类型进行分类总结，如图1-3所示： 其中漏洞数量占比最高的前三种类型分别为：代码执行、信息泄露、拒绝服务。这些类型的漏洞通常很容易被发现、利用，其中代码执行、权限提升等类型的漏洞可以让攻击者完全接管系统、窃取数据或阻止应用程序运行，具有很高的危险性，是安全从业人员的重点关注对象。 三、漏洞影响厂商占比情况 将2023年度新增的28975条漏洞信息根据漏洞影响厂商进行分类总结，如图1-5所示： 其中漏洞数量占比最高的前十家厂商为：开放源代码项目、Google、Microsoft、WordPress、Apple、Adobe、Apache、Jenkins、Cisco、Linux。Google、Microsoft、Apple这些厂商漏洞多发，且因为其有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件和应用在企业中被使用的越来越多，关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位，因而获得了安全研究员的重点关注。 四、漏洞威胁类型占比情况 为了更加有效的管控漏洞导致的风险，奇安信漏洞情报建立了全面的多维漏洞信息整合及属性标定机制，使用“关键漏洞”、“在野利用”、“POC公开”、“影响量级”、“Botnet类型”、“攻击者名称”、“漏洞别名”等标签，标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、Exploit工具、概念验证代码（PoC）、是否已经有了野外利用、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获取对系统控制途径等属性。涵盖的漏洞标签类别如图1-6所示： 将2023年奇安信CERT人工标记的漏洞，按照标签数量进行分类总结，拥有的标签数量排名前十的漏洞如下表所示： 其中RARLAB WinRAR 代码执行漏洞(CVE-2023-38831)拥有的标签数量最多为28个，如图1-7所示。其次是Microsoft Outlook 权限提升漏洞(CVE-2023-23397)拥有17个标签，如图1-8所示。排名第三的ApacheActiveMQ 远程代码执行漏洞(CVE-2023-46604)被标记了15个标签，如图1-9所示。 漏洞拥有的攻击者标签越多，与其关联的攻击团伙或者恶意家族就越多，说明漏洞正在被积极利用。从侧面印证了这个漏洞具有较高的可达性和危害性，这样的漏洞已经不仅仅是潜在的威胁，而是具有了较高的现时威胁，漏洞修补时应该放在最高的优先级。 五、漏洞热度排名TOP 10 根据奇安信CERT的监测数据，2023年漏洞舆论热度榜 TOP10漏洞如下： 在本年度总热度舆论榜前十的漏洞中，热度最高的漏洞为Nacos身份认证绕过漏洞(QVD-2023-6271)。该漏洞是由于开源服务管理平台Nacos在默认配置下未对token.secret.key进行修改，导致远程攻击者可以绕过密钥认证进入后台，造成系统受控等后果。该系统通常部署在内网，用作服务发现及配置管理，历史上存在多个功能特性导致认证绕过、未授权等漏洞，建议升级至最新版本或修改默认密钥，并禁止公网访问，避免给业务带来安全风险。 安全漏洞大事件 第二章 本章节梳理了2023年度影响较大网络安全事件中关联的高危漏洞，这些漏洞已经被威胁行为体用于发起网络攻击，部分漏洞利用代码已在互联网上被公开，威胁程度极高，需要重点关注、优先修补。基于威胁情报的漏洞处理优先级排序对于威胁的消除能够起到事半功倍的效果。 一、 CVE-2023-7024 0day漏洞威胁数百万Chrome浏览器用户安全 事件描述 谷歌威胁分析小组安全研究团队的成员Vlad Stolyarov和Clément Lecigne发现了今年影响Chrome浏览器用户的第八个零日漏洞。Google威胁分析小组（Threat Analysis Group，TAG）在2023年12月19日报告，当时已发现针对该漏洞的攻击样本。 为了响应该漏洞，Google向所有Chrome用户发布了紧急修复补丁，CVE-2023-7024被评为高严重性漏洞，影响Chrome Web浏览器的开源WebRTC组件，属于堆缓冲区溢出类型。该实时通信组件支持网页内的音频和视频通信，并由大多数现代浏览器部署，任何基于Chromium项目的Web浏览器都易受到相同的攻击。谷歌提醒Windows用户，将Chrome版本升级到20.0.6099.129或20.0.6099.130；Linux和macOS用户升级到120.0.6099.129修复版本。 关联漏洞 Google Chrome WebRTC 堆缓冲区溢出漏洞(CVE-2023-7024)1.1 WebRTC(Web Real-Time Communication)是一个由Google发起的实时通信开源项目，通过应用程序编程接口(API)为Web浏览器和移动应用程序提供实时通信(RTC)。它允许直接点对点通信，从而允许音频和视频通信在网页内进行，无需安装插件或下载本地应用程序。 奇安信CERT监测到Google修复Google Chrome WebRTC堆缓冲区溢出漏洞(CVE-2023-7024)，该漏洞存在在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码或导致浏览器崩溃。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。 修复建议 二、Citrix Bleed在有限的攻击中被作为零日漏洞滥用 事件描述 Mandiant表示，自2023年8月下旬以来，攻击者一直在利用CVE-2023-4966作为零日漏洞来窃取身份验证会话和劫持帐户。攻击者可以利用该漏洞绕过因素身份验证或其他强身份验证要求。即使在修补后，受感染的会话仍然存在，并且根据受感染账户的权限，攻击者可以在网络上横向移动或危及其他账户。此外，Mandiant还发现了利用CVE-2023-4966渗透政府实体和技术公司基础设施的案例。 CVE-2023-4966 Citrix Bleed缺陷是一个未经身份验证的缓冲区相关漏洞，影响Citrix NetScaler ADC和 NetScaler Gateway、用于负载平衡、防火墙实施、流量管理、VPN 和用户身份验证的网络设备。漏洞于2023年10月10日被披露，Citrix发布了补丁来修复该漏洞。 关联漏洞 NetScaler ADC 和 NetScaler Gateway 敏感信息泄露漏洞(CVE-2023-4966)2.1 Citrix NetScaler Gateway（以前称为Citrix Gateway）和NetScaler ADC（以前称为Citrix ADC）都是