在数字的世界里，安全是一个永恒的话题。回顾刚刚过去的2021年，安全事件频发，网络攻击愈演愈烈，2021年第二季度网络攻击量达到2018年初以来最高值。一方面，安全研究人员规模在不断扩大，不断挖掘和修复新的安全漏洞维护网络安全；另一方面，随着厂商安全性的提高，及时分发补丁策略，黑客组织不惜使用0day漏洞发起攻击。网络空间的战场看不见硝烟，却和我们的生活越来越息息相关，开源应用安全、云安全、供应链安全......越来越多的受到大家关注。 《奇安信CERT——2021年度漏洞态势观察报告》围绕漏洞监测、漏洞分析与研判、漏洞情报获取、漏洞风险处置等方面描绘过去一年全网漏洞态势，并对2021年度有现实威胁的漏洞进行重点分析和回顾。思考在漏洞造成实际危害前，对于个人、企业以及漏洞情报供应商而言，可以采取哪些措施来有效隔离风险。基于我们所收集到的事实，本报告的主要洞见如下： 1. 尽管存在对应Exploit（漏洞利用代码或工具）的漏洞占到了总漏洞数的22.06%，但其中的大部分并未监测到实际利用的发生，漏洞是否真的被利用，还取决于漏洞的可达性、利用条件和危害程度。从公开信息来看，实际存在野外利用的漏洞，仅占漏洞总量的1 %~2 %左右。所以，基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。 2. 另一方面看漏洞的利用，已知存在野外利用的漏洞有46%也就是一小半左右并没有公开的漏洞Exploit，这个事实暗示了一大部分漏洞的威胁并没有显式的呈现，攻击面的削减管理也非常重要。 3. 2021年的攻防演习期间大量的0day漏洞被使用，其中很大部分为国外漏洞库并不收录的国产软件漏洞，这些漏洞如果被国家级的对手利用将导致非常严重的后果。事实上我们看到的活跃国外APT组织已经在这样做了，提示了国内挖掘自己特有软件漏洞并共享情报的高度必要性。 4. 明星漏洞存在很强的聚光灯效应，当某个软件出现重大漏洞时会引起超高关 注度的产品极易在未来一段时间出现更多漏洞，如：Apache Log4j连续被曝4个远程代码执 行漏洞、Microsoft Exchange Server在被曝出ProxyLogon漏洞之后又出现了ProxyShell等漏洞。但是，由于明星漏洞衍生出来的新漏洞大概率未必有同等的威胁和影响面，需要漏洞情报分析运营团队进行深入的研判确认其利用真正的威胁，非常考验团队的响应能力。 5. 由于多种技术层面以外因素的影响，相同CVSS评分的漏洞所能导致实际安全风险往往天差地别，结合情报的导致影响威胁升级的关键因素监测，确认漏洞对于风险的影响才具备了真正的动态性。 6. 有效的漏洞情报可以帮助用户快速、准确、全面的定位资产相关的漏洞风险，在详细多角度的处理方案的建议下实现相应威胁的消除和缓解。基于漏洞对不同类型用户的影响和处理要求，个人用户、企业用户以及安全监管单位在漏洞情报的选择上应遵循“C端用户挑产品、B端用户挑服务、监管机构挑供应商”的原则。 1 2021年度漏洞态势 ................................................. 1 1.1 年度漏洞处置情况 ............................................. 1 1.2 漏洞风险等级占比情况 ......................................... 3 1.3 漏洞威胁类型占比情况 ......................................... 4 1.4 漏洞影响厂商占比情况 ......................................... 5 1.5 关键漏洞占比情况 ............................................. 6 1.6 年度安全大事件 ............................................... 8 1.6.1 背景介绍 ................................................ 8 1.6.2 事件描述 ............................................... 10 1.6.3 事件影响 ............................................... 11 2 2021年度关键漏洞回顾 ............................................ 13 2.1 重点关注厂商 ................................................ 13 2.1.1 微软漏洞回顾 ........................................... 13 2.1.2 Apache漏洞回顾 ......................................... 27 2.1.3 Linux漏洞回顾 .......................................... 31 2.2 供应链安全 .................................................. 34 2.3 中间件 ...................................................... 37 2.4 云原生及虚拟化 .............................................. 40 2.5 网络设备及应用 .............................................. 45 2.6 企业级应用及办公软件 ........................................ 49 3 漏洞情报展望..................................................... 55 3.1 为什么我们需要漏洞情报？ .................................... 55 3.2 好的漏洞情报应该提供哪些价值？ .............................. 55 3.2.1 全面的多维漏洞信息整合及属性标定 ....................... 56 3.2.2 及时的与组织自身相关漏洞风险通知 ....................... 57 3.2.3 准确的漏洞所导致实际安全风险判定 ....................... 59 3.2.4 可靠的综合性漏洞处理的优先级排序 ....................... 60 3.2.5 可行的包含详细操作步骤的处置措施 ....................... 62 3.3 个人、企业、安全监管单位如何选择优质的漏洞情报？ ............ 62 附录1：历年在野利用漏洞列表 ....................................... 64 附录2：2021年度APT活动相关漏洞列表............................... 65 1 1 2021年度漏洞态势 1.1 年度漏洞处置情况 2021年NVD（美国国家漏洞库）每月新增漏洞信息条数如图1-1所示： 图1-1 2021年每月新增漏洞信息数量 2021年全年NVD共发布CVE漏洞信息21,957条，其中有详细信息的漏洞有20,791个,无详细信息的漏洞有1,166个（占漏洞总条目的5.31%），如图1-2所示： 2 图1-2 2021年CVE漏洞无详细信息占比情况 2021年奇安信CERT的漏洞库新增漏洞信息121,664条2（其中20,206条有效漏洞信息在NOX安全监测平台上显示），经NOX安全监测平台筛选后有14,544条敏感漏洞信息3触发人工研判，其中2,124条漏洞信息达到奇安信CERT的处置标准对其进行初步研判，并对初步研判后较为重要的1,890条漏洞信息进行深入研判。相较于2020年，初步研判的漏洞环比增长159.02%，深入研判的漏洞环比增长154.71%。2021年奇安信CERT漏洞处置情况如图1-3所示： 1 奇安信 CERT 将互联网上包含漏洞相关内容的信息统称为漏洞信息 2 漏洞信息来源包含NVD、CNVD、CNNVD等开源漏洞库，以及各大互联网厂商和安全媒体披露的安全漏洞 3 敏感信息触发条件由漏洞影响的产品、漏洞热度、可能的影响范围等多个维度综合决定 3 图1-3 2021年奇安信CERT漏洞处置情况 1.2 漏洞风险等级占比情况 奇安信CERT结合CVSS评价标准以及漏洞产生的实际影响将漏洞定级分为极危、高危、中危、低危四种等级，用来评价漏洞不同的影响程度。2021年奇安信CERT研判过的2,124条漏洞信息中，各个等级占比情况如图1-4所示。 4 图1-4 漏洞风险等级占比 其中，低危漏洞占比17.43%，此类漏洞利用较为复杂或对可用性、机密性、完整性造成的影响较低；中危漏洞占比31.60%，此类漏洞产生的影响介于高危漏洞与低危漏洞之间，可能需要一些复杂的配置或对漏洞成功利用的要求较高；高危漏洞占比50.35%，此类漏洞极大可能造成较严重的影响或攻击成本较低；极危漏洞占比0.62%，此类漏洞无需复杂的技术能力就可以利用，并且对机密性、完整性和可用性的影响极高。 1.3 漏洞威胁类型占比情况 将2021年度研判过的2,124条漏洞信息根据漏洞威胁类型进行分类总结，如图1-5所示，其中漏洞数量占比最高的五种类型分别为：代码执行、信息泄露、权限提升、拒绝服务、内存损坏。 5 图1-5 漏洞类型占比 漏洞数量排名靠前的威胁类型与2021 Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses（2021年CWE前25名最危险的软件漏洞）列表4具有较高相似性。这些类型的漏洞通常很容易被发现、利用，并且可以让攻击者完全接管系统、窃取数据或阻止应用程序运行，因而具有很高的危险性，是安全从业人员的重点关注对象。 1.4 漏洞影响厂商占比情况 将2021年度研判过的2,124条漏洞信息根据漏洞影响厂商进行分类总结，如图1-6所示，其中漏洞数量占比最高的前五家厂商为：Microsoft、Apache、Oracle、Apple、VMware。 4 http://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html 6 图1-6 2021漏洞影响厂商占比 Microsoft、Apache、Apple、Oracle这类商业软件漏洞多发，且因为其有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件和应用在企业中越来越多的使用，关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位，以获得了安全研究员更为重点的关注。 1.5 关键漏洞占比情况 2021年奇安信CERT漏洞库新增的21,664个漏洞中存在Exploit漏洞数量为4,779个（占漏洞总量的22.06%）、有在野利用漏洞数量为337个、0day漏洞数量为23个、APT相关漏洞数量为88个（见附录2：2021年度APT活动相关漏洞列表）。奇安信CERT将存在公开Exploit/PoC、有在野利用、0day漏洞、APT相关，且漏洞相关软件影响面较大的漏洞定义为关键漏洞，2021年共标记