2023漏洞威胁分析报告

2023 VULNERABILITY THREATANALYSIS REPORT 千里目 - 深瞳漏洞实验室 引言 漏洞危害程度趋向高危化，未修补的漏洞依然是黑客利用的最主要攻击载体。在国家级漏洞库披露的漏洞中，高危和超危漏洞占比超过 50%，根据已知被利用漏洞（KEV）目录收录标准及近 10 年已知被漏洞利用情况分析总结，95% 以上被利用漏洞是 2023 年以前漏洞。 2023 年 0day 漏洞利用数量明显攀升，网络安全形势日益严峻。从 2014 年到 2023 年，在野利用的 0day 数量整体呈上升趋势，近三年在野利用的 0day 漏洞数量占比为近十年在野利用的 0day 数量的 50%。 热门漏洞逐渐趋向围绕开源软件漏洞。2023 年较为热门的漏洞多数为 Apache 开源软件，高危的开源软件漏洞危害大，且造成的影响范围更广，更易受到业内的关注。 本次报告将介绍 2023 年的整体漏洞态势，并从 0day 漏洞、开源软件漏洞、漏洞治理等三个方向展开谈一谈漏洞未来的演变趋势。 本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深瞳漏洞实验室，目的仅为帮助客户及时了解中国或其他地区漏洞威胁的最新动态和发展，仅供参考。 本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。 目录 引言 一、安全漏洞态势01 安全漏洞治理情况01 国际安全漏洞治理动向我国在安全漏洞管理方面的发展现状概述0102 安全漏洞总体情况03 漏洞公开披露情况漏洞利用情况0305 年度热点漏洞分析07 Atlassian Confluence 权限提升漏洞(CVE-2023-22515)Oracle WebLogic Server 远程代码执行漏洞（CVE-2023-21931）Apache ActiveMQ 远程命令执行漏洞(CVE-2023-46604)Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)Apache Struts2 文件上传漏洞0710131518 安全漏洞态势小结22 二、0day漏洞趋势分析23 0day漏洞态势分析23 0day漏洞概况0day勒索利用0day在野利用周期0day变体与Nday利用23242626 攻防场景下的0day漏洞趋势27 攻防场景0day漏洞概况攻防场景漏洞攻击手法2728 0day猎捕案例某帆报表反序列化漏洞某安防平台文件上传漏洞某户OA远程代码执行漏洞0day漏洞趋势小结2929323336 三、开源软件安全趋势分析37 四、深信服漏洞防护解决方案45 0day漏洞检测与防护虚拟补丁(HIPS)防御漏洞修复优先级&知识图谱传统漏洞评估的现状先进合理的优先级技术未来趋势454748484850 五、参考链接51 安全漏洞态势 安全漏洞治理情况 国际安全漏洞治理动向 （1）美国相关政策强化漏洞共享与治理能力： 美国始终将“协调”与“共享”作为其网络安全战略的核心。2021 年 5 月，拜登政府颁布了旨在打破政府与私营部门间信息壁垒的《改善国家网络安全的行政命令》。美国网络安全与基础设施安全局（CISA）致力于推动漏洞管理的协同工作，通过实施协同漏洞披露（CVD）、漏洞披露策略（VDP）以及发布约束性操作指令（BOD），加强了联邦政府与私营部门之间的合作，确保了对关键基础设施的安全威胁能够及时被发现和有效控制。这些措施显著提高了漏洞资源的共享和共治能力，从而增强了美国在国家层面上的网络安全漏洞管理能力。 （2）CISA 发布新战略计划，聚焦关键基础设施脆弱性 : 2022 年 9 月，CISA 推出了“2023-2025 年战略计划”，这是自 2018 年成立以来的首个全面战略规划。该计划强调了识别对国家安全至关重要的系统和资产的重要性，以及发现并管理关键信息基础设施的脆弱性。其首要任务是构建国家层面的网络攻击防御和恢复能力。CISA 将与全球伙伴合作，共同构建国家级的威胁防御体系，以增强对国家级威胁的防御能力。 （3）CISA 颁布指令加强漏洞修复，降低被利用风险 : 2021 年 11 月，CISA 发布了《约束性操作指令（BOD）22-01》，旨在减少已知被利用漏洞（KEV）带来的重大风险。该指令要求所有联邦民事行政部门（FCEB）在规定时间内修复 KEV 目录中列出的漏洞。CISA 鼓励所有相关方将 KEV 目录中的漏洞纳入其漏洞管理流程，并优先处理这些漏洞，以提高其安全防护和应对能力。 我国在安全漏洞管理方面的发展现状概述 （1）政策出台，强化国家网络安全防护 : 我国陆续推出相关政策，旨在确保国家网络安全和网络产品及关键系统的稳定运行。依据《网络安全法》的规定，工业和信息化部、国家互联网信息办公室、公安部联合发布了《网络产品安全漏洞管理规定》。该规定的核心目标是规范漏洞的发现、报告、修补和发布流程，明确网络产品提供者、运营者及漏洞发现和发布相关方的责任与义务，并鼓励各方利用自身技术和机制优势，积极参与漏洞管理工作。 （2）推进《网络产品安全漏洞管理规定》的实施 : 我国正从政策宣传、机制完善和平台建设等多个方面，全面推进《网络产品安全漏洞管理规定》的执行。首先，加强政策宣传和指导，为相关企业和机构提供政策咨询，引导漏洞收集平台依法运作。其次，完善相关工作机制，确立漏洞评估、发布和通报的标准流程，并明确漏洞收集平台的备案和报告要求。最后，加强网络安全威胁和漏洞信息共享平台的建设，与国内外其他平台和数据库进行信息共享，提升平台的技术支撑能力。 （3）信创安全建设的深化，推动漏洞管理规范化： 随着信创建设的不断深入，信创安全问题也日益凸显。我国已出台《网络安全法》、《网络产品安全漏洞管理规定》等法律法规，并正在制定相关的信创漏洞国家标准，以推动漏洞管理工作向制度化、规范化和法治化方向发展，提升各责任主体的管理水平，为国家数字化建设打下坚实的安全基础。 安全漏洞总体情况 漏洞公开披露情况 近十年漏洞收录情况 漏洞收录数量逐年增长，超危漏洞占比整体呈上升趋势。 截止 2023 年 11 月 30 日，国家信息安全漏洞库（CNNVD）共收录 2023 年漏洞信息 25748 条，近 10 年漏洞收录情况如下图所示，可以看出，漏洞收录数量逐年增长，超危漏洞占比整体呈上升趋势，超危漏洞占比峰值为 2022 年（占比 16.7%），按照历年收录漏洞数量及超危漏洞占比趋势推测，预计 2024 年漏洞收录数量和超危漏洞占比将进一步增长。 漏洞影响对象情况 Web 应用漏洞占比逐年上升，应用程序漏洞占比逐年下降。 截至 2023 年 11 月 30 日，根据国家信息安全漏洞共享平台（CNVD）的统计数据显示：在过去五年中，Web 应用漏洞的比例持续上升，而应用程序漏洞的比例则稳步下降，如下图所示。同时，网络设备漏洞的比例略有增加，操作系统漏洞的比例则略有减少。 Web 应用漏洞的增加主要源于安全意识的不足、输入验证的不当、访问控制的不精确以及编码的不安全性等因素。随着互联网的迅猛发展，Web 应用程序的使用变得越来越普遍，这也在一定程度上解释了 Web 应用漏洞比例的年增长。 另一方面，应用程序漏洞的减少可以归因于应用程序结构的复杂性、新兴技术的持续出现以及编码问题等因素。随着 Web应用程序越来越多地取代传统的应用程序，应用程序漏洞的比例也随之降低。 漏洞引发威胁情况 从 2023 年 1 月至 11 月的统计数据来看，国家信息安全漏洞共享平台（CNVD）的分析显示，本年度由安全漏洞引发的主要威胁是未经授权的信息泄露，如下图所示。此类泄露事件可能严重侵犯个人隐私，引发财务损失，损害商业信誉，甚至可能触发法律诉讼。此外，敏感信息如秘钥、令牌的泄露可能成为黑客攻击的跳板，使攻击者得以进一步利用这些信息访问受保护的资源或执行未授权操作。 其次是管理员访问权限获取，一旦获得管理员权限，攻击者便能完全控制系统，访问敏感数据、更改系统设置、甚至进行其他恶意活动。 黑客攻击手段通常可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击旨在扰乱系统运行，而破坏性攻击则以入侵系统、盗取机密信息、破坏数据为目的。我国网络攻击以破坏性攻击为主，可能导致系统崩溃、数据丢失、服务中断等严重后果，对受害者造成极大损失。 漏洞利用情况 近十年总体情况 近 10 年，已知被利用漏洞（KEV）目录持续更新，目录当前维护了超过 1000 个已知被利用漏洞。该目录的收录标准包括漏洞已分配 CVE 编号、有可靠证据表明该漏洞在真实攻击中已被积极利用、漏洞已有明确的补救措施。 针对已知被利用漏洞（KEV）分析显示，近 10 年真实漏洞利用数量总体呈现先上升后下降趋势，2021 年漏洞利用总数和被勒索软件利用数量分别达到了 118 个和 54 个的峰值。2021 年以前漏洞利用总数呈上升趋势，2021 年后呈下降趋势。CISA 将漏洞治理作为重要任务，通过协同漏洞披露、漏洞披露策略、相关约束性操作指令等措施取得了初步成效。 特别值得注意的是，2021 年后被勒索软件利用的 漏洞数量也呈下降趋势，这与西方国家开展的打击勒索软件活动密切相关。许多勒索软件事件是攻击者利用已知漏洞实施的，因此漏洞治理的成功对于减少勒索软件攻击具有重要意义。 被利用漏洞主要厂商及产品情况 通过对已知被利用漏洞（KEV）目录的统计和分析，我们得到各大厂商的漏洞分布及其增长情况，如下图所示。在已知被利用漏洞数量方面，Microsoft 以 275 个漏洞位居榜首，其次是 Cisco 和 Apple，均有 68 个漏洞。 与 2022 年相比，各大厂商的已知被利用漏洞数量增长情况用黄色折线图表示。分析发现，Apache、Apple、Google、Oracle 等厂商的漏洞增长速度较高。基于当前的增长趋势，预计在未来一年中，这些厂商的已知被利用漏洞数量将会有显著的增加。 这一分析结果强调了对于这些领先厂商的产品和服务，持续的安全监测和及时的漏洞修补工作尤为重要。用户和组织应当密切关注这些厂商发布的安全更新和补丁，以确保其系统和网络环境的安全性。同时，厂商也应加大在产品安全设计和漏洞预防方面的投入，以减少漏洞的出现和利用。 下图展示了已知被利用漏洞的产品分布情况，其中 Windows 操作系统受到的影响最为严重，占据了 10.4% 的比例。作为一款全球广泛使用的操作系统，Windows 的用户群体分布极为广泛。根据深信服千里目安全技术中心的数据显示，全球Windows 公网资产超过 1.2 亿，而在中国，公网资产也超过了 2200 万。这一数据凸显了 Windows 操作系统的巨大影响力和安全防护的重要性。因此，建议国内用户特别关注 Windows 操作系统的漏洞评估，并及时进行补丁更新，以确保系统安全。 紧随 Windows 之后，排名第二的是 Internet Explorer，其占比为 3.0%。该产品的漏洞类型主要涉及远程代码执行和内存损坏问题。浏览器漏洞的潜在危害极大，攻击者可能通过这些漏洞执行恶意代码、窃取用户敏感信息等。特别是 APT 组织和黑灰产团伙，他们经常利用钓鱼链接触发浏览器漏洞来获取权限，这种攻击手法隐蔽性强，用户很难意识到自己正遭受攻击。攻击者还可能通过不断变化的攻击策略和手段来规避安全防护，这进一步增加了安全防护的难度。因此，用户需要保持高度警惕，并采取有效的安全措施来防范这类攻击。 年度热点漏洞分析 Atlassian Confluence 权限提升漏洞（CVE-2023-22515） 漏洞简介 漏洞描述 由于 Atlassian Confluence 的用户权限控制存在问题，攻击者可利用该漏洞在未授权的情况下，通过创建管理员账号执行权限提升攻击，最