2020年度漏洞态势观察报告

 奇安信CERT监测到互联网中的网络安全漏洞信息整体呈爆发增长趋势，其中微软、Oracle、Google等软件巨头的安全漏洞在全年的占比依然较大。在APT方向攻击者选用的漏洞目标逐渐从Windows下的原生浏览器，向Chrome、Firefox等用户量更大的浏览器转移。  奇安信CERT致力于向客户提供监测全面、响应迅速、认定客观、建议可行的漏洞情报。  受地缘政治局势影响，网络设备相关漏洞增幅较大，攻击组织更喜欢使用利用门槛低、危害大的网络设备漏洞作为攻击突破口。  漏洞细节一旦在网络上公开，漏洞将极大可能由理论威胁上升为实际威胁，如Citrix ADC和Citrix Gateway远程代码执行漏洞，从漏洞公告发出到成熟完整的具有实际威胁的EXP出现仅用了5天时间，甚至快于官方补丁修补的时间。F5 BIG-IP TMUI 远程代码执行漏洞更是直接监测到了漏洞利用代码。对重要漏洞进行长期的持续监测是规避安全风险的有效方法。奇安信 CERT 已经建立起有效的漏洞持续监测与响应机制，可及时全面的响应全网重要高危漏洞。  面向资产、配置、漏洞、补丁的系统安全工作可提高企业漏洞修复的确定性，实现及时、准确、可持续的系统安全保护。  随着互联网的发展和 5G 网络的建设，当前进入了海量数据处理时代。漏洞的处理从人工转向自动化成为必然趋势。传统“条文式”漏洞修补和防护的管理模式，已经无法适应数字化转型深入的要求，安全能力体系及安全运行体系的升级，需要更加先进的漏洞情报体系进行支撑。奇安信CERT将漏洞处理流程化、系统化，通过大数据处理和人工智能的方式将海量信息进行过滤、去重、匹配、筛选，达到人工可处理的数量级。大大提升了漏洞处理的效率和准确性。  在5G通讯技术、相关安全研究技术及逆向工程工具（Ghidra、IDA Pro等）快速发展以及缺乏常见的安全防护等因素的共同作用下，IoT漏洞数量持续上升。 2020，注定是不平常的一年，受国内外疫情影响，很长一段时间内工厂停工、停产，学校停课、停学，企业办公也受到了不同程度的影响。 平静的湖面下暗潮汹涌，2020年以漏洞挖掘和漏洞利用为核心的网络攻击，在无数的地方不断发生着。纵观全年，业界共提交了CVE漏洞1万3千余个，较2019年17304个增长趋势有所放缓。国家信息安全漏洞共享平台CNVD收录的漏洞仍在不断突破新的记录，2020年CNVD收录的漏洞总数较2019年同比增长24.23%。面对如此庞大的漏洞数量，奇安信监测与响应中心（奇安信CERT）建立了适合自己的漏洞情报方法论，从漏洞监测、漏洞评价、漏洞处置以及漏洞情报输出四方面进行全方位的整理，以客户优先的原则向客户输出优质的漏洞情报。 在2020年度，奇安信CERT作为安全研究团队向WebLogic、Jackson等安全厂商共提交了十余个研究发现漏洞，并对全年度的热点漏洞进行了深入研究，以创新优先的原则向公众输出我们的研究成果。 道阻且长，行则将至。对于安全而言，没有一劳永逸的解决方案，攻防交替的博弈中，率先掌握漏洞情报的一方，往往更加容易占据优势地位。 由此，奇安信安全监测与响应中心（奇安信CERT）、奇安信红雨滴高级威胁研究团队（天眼实验室）、奇安信技术研究院联合发布《2020年度漏洞态势观察报告》，从漏洞视角出发，梳理全年漏洞数据、分享漏洞研究成果、总结漏洞监测与响应方法论，并以此展望安全漏洞发展趋势。旨在为各企事业单位持续提供精准漏洞情报、为各行业安全能力建设提供参考。 奇安信安全监测与响应中心 奇安信应急响应部（奇安信CERT）成立于2016年，隶属于奇安信旗下的安全监测与响应中心，旨在第一时间为客户提供漏洞或网络安全事件安全风险通告、响应处置建议、相关技术和奇安信相关产品的解决方案。早在Oracle 2020年第二季度关键补丁更新公告中，就被评为了“在线状态安全性贡献者”。并且多次率先提供WebLogic、Jackson等重大安全问题的风险通告及可行的处置措施并获得官方致谢。同时奇安信CERT在Web漏洞研究、二进制漏洞研究、前瞻性攻防工具预研等方面均积累了丰富的经验。欢迎大家关注公众号【奇安信 CERT】了解更多有趣信息。 奇安信威胁情报中心 奇安信旗下的高级威胁研究团队红雨滴（天眼实验室）,成立于2015年，持续运营奇安信威胁情报中心至今，专注于APT攻击类高级威胁的研究，是国内首个发布并命名“海莲花”（APT-C-00，OceanLotus）APT攻击团伙的安全研究团队，也是当前奇安信威胁情报中心的主力威胁分析技术支持团队。目前，红雨滴团队拥有数十人的专业分析师和相应的数据运营和平台开发人员，覆盖威胁情报运营的各个环节：公开情报收集、自有数据处理、恶意代码分析、网络流量解析、线索发现挖掘拓展、追踪溯源，实现安全事件分析的全流程运营。 奇安信技术研究院 奇安信技术研究院是专注于网络空间安全相关技术的研究机构，聚焦网络空间安全领域基础性或前沿性的研究课题，结合国家和社会的实际需求，开展创新性和实践性的技术研究。研究院在互联网基础设施领域，软件基础分析方法和漏洞挖掘技术有多年的研究基础，并建立了互联网基础数据安全平台、威胁分析系统、软件行为分析系统、软件空间安全测绘系统和物联网安全分析平台。 年度漏洞处置情况 2020年奇安信CERT共监测到漏洞信息183692条2，经过NOX安全监测平台筛选后，其中750条漏洞信息达到奇安信CERT的处置标准并进行初步研判，并对较为重要的661条漏洞信息进行深入研判。 相比于2019年，2020年新增了30252条漏洞信息，研判后的漏洞环比增长153.4%，深入研判的漏洞环比增长123.3%。 每月的漏洞信息数量增长曲线如图1-1所示，微软和Oracle同时发布补丁通告的月份（一月、四月、七月、十月）漏洞数量会明显增多，软件巨头的补丁发布仍然主导着漏洞趋势。 2020年上半年由于受新冠疫情的影响整体漏洞量较少，下半年疫情逐步平稳后漏洞数量逐步增加。 图 1-1 每月漏洞新增 奇安信CERT结合CVSS评价标准以及漏洞产生的实际影响将漏洞定级分为高、中、低危三种等级，用来评价漏洞不同的影响程度。2020年奇安信CERT初步研判的750条漏洞信息 1 奇安信 CERT将互联网上包含漏洞相关内容的信息统称为漏洞信息。 2 报告中的数据为奇安信CERT监测数据，时间截止到2020年12月24日。 中，各个等级按数量分布如图1-2所示。 图1-2 漏洞危害占比 其中低危漏洞占比24%，此类漏洞利用较为复杂或对可用性、机密性、完整性造成的影响较低；中危漏洞占比31%，此类漏洞产生的影响介于高危漏洞与低危漏洞之间，可能需要一些复杂的配置或对漏洞成功利用的要求较高；高危漏洞占比45%，此类漏洞极大可能造成较严重的影响或攻击成本较低。 对于进行初步研判的750条漏洞信息的漏洞类型奇安信CERT对其进行了分类总结，如图1-3所示，其中占比最高的五种类型分别为：代码执行漏洞、拒绝服务漏洞、权限提升漏洞、信息泄露漏洞、安全特性绕过漏洞。 图 1-3 漏洞类型占比 年度热门漏洞 奇安信CERT持续关注每个漏洞的全网讨论情况，对于讨论次数较多的漏洞我们会特别关注并给予热度值。2020年度总舆论热度值排行榜 TOP20漏洞如表1-1所示， 表1-1 总舆论热度值排行榜 漏洞编号 热度 漏洞名称 影响组件 CVSS CVE-2019-19781 1084 Citrix ADC和Citrix Gateway远程代码执行漏洞 Citrix ADC和Citrix Gateway 9.8 CVE-2020-0796 985 Microsoft SMBv3远程代码执行漏洞 SMBv3 10.0 CVE-2020-0601 952 Microsoft Windows CryptoAPI欺骗漏洞 Windows CryptoAPI 8.1 CVE-2020-1472 664 Microsoft NetLogon特权提升漏洞 NetLogon 10.0 CVE-2020-5902 595 F5 BIG-IP 远程F5 BIG-IP 9.8 16771010111112131418262737577886310020406080100120140160180200220240260280300320340其他中间人攻击内存泄漏服务端请求伪造SQl注入内存损坏XML外部实体注入文件上传目录遍历跨站脚本漏洞身份认证绕过命令执行错误的访问控制安全特性绕过信息泄漏权限提升拒绝服务代码执行漏洞类型占比 代码执行漏洞 CVE-2020-11651 412 SaltStack身份验证绕过漏洞 SaltStack 9.8 CVE-2020-1350 381 Microsoft Windows DNS Server远程代码执行漏洞 Windows DNS Server 10.0 CVE-2020-0688 378 Microsoft Exchange远程代码执行漏洞 Exchange ECP 8.8 CVE-2020-0674 326 Microsoft Internet Explorer JScript远程代码执行漏洞 Internet Explorer JScript 7.5 CVE-2020-11652 305 SaltStack目录遍历漏洞 SaltStack 6.5 CVE-2020-2883 246 Oracle Coherence 远程代码执行漏洞 Coherence 9.8 CVE-2020-0022 236 Android 蓝牙模块远程代码执行漏洞 Android 蓝牙模块 8.8 CVE-2020-16898 203 Microsoft Windows TCP/IP 远程代码执行漏洞 Windows TCP/IP 8.8 CVE-2019-11510 194 Pulse Secure SSL VPN 多个版本任意文件读取漏洞 HTML5 Access 10.0 CVE-2020-1938 192 Apache Tomcat 服务器文件包含漏洞 Tomcat 9.8 CVE-2020-0609 178 Microsoft Windows远程桌Windows远程桌面网关 9.8 面网关(RD Gateway)远程代码执行漏洞 CVE-2019-17026 178 Firefox远程代码执行漏洞 Mozilla Firefox 8.8 CVE-2020-0610 168 Microsoft Windows远程桌面网关(RD Gateway)远程代码执行漏洞 Windows远程桌面网关 9.8 CVE-2020-0932 159 Microsoft SharePoint 远程代码执行漏洞 SharePoint 8.8 CVE-2020-0687 158 Microsoft Graphics 远程代码执行漏洞 Windows字体库 8.8 奇安信CERT对各厂商漏洞处置情况 奇安信CERT持续监测国内外各厂商的漏洞披露情况，2019年和2020年各厂商漏洞处置数量如图1-4和图1-5所示： 图1-4 2019年各厂商漏洞处置数量 开源软件33%微软21%网络设备7%办公软件7%WRS5%Google3%IBM3%Apple1%Adobe1%Oracle1%其他18%漏洞数量开源软件微软网络设备办公软件WRSGoogleIBMAppleAdobeOracle其他 图1-5 2020年各厂商漏洞处置数量 从以上两张图的对比可以看出，微软、苹果、Oracle、IBM这类商业软件漏洞多发，且因为其基本有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件在企业中越来越多的使用，关注度逐渐攀升。部署在