2024上半年网络安全漏洞态势报告
AI智能总结
2024 MIDYEAR CYBERSECURITY VULNERABILITY TRENDS REPORT 工业和信息化部电子第五研究所软件与系统研究院科研创新部深信服千里目安全技术中心 报告编写工作组 工业和信息化部电子第五研究所:陈平、李帅、刘茂珍、余果、顾欣、魏光辉、陈俊名、张宇锖、谢梦珊、李颖琪深信服科技股份有限公司:周欣、王振兴、安东冉、禹廷婷、辛佳橼、胡屹松、杜笑宇、刘志远 引言 近年来,网络空间安全的战略地位不断提升,网络安全漏洞作为威胁网络安全的根本性因素之一,其重要性日益凸显。随着新兴技术的不断发展,网络架构日益复杂,系统间的互联互通更加紧密,使得网络安全漏洞的形态和利用手段不断演变。在此背景下,深入了解网络安全漏洞的发展态势,把握其演变规律,对于提升网络安全防护能力、构建安全可信的网络环境具有重要意义。 本报告旨在通过网络安全漏洞总体视角,分析漏洞发展态势与流行利用趋势;根据国内外开源软件漏洞发展现状,分析当前开源软件漏洞威胁态势和治理成效 ; 从实际攻防场景出发,分析漏洞利用新趋势。与此同时,随着人工智能技术的快速发展,也为漏洞利用带了新的变化。本报告围绕以上内容开展分析,希望能够为网络安全行业提供有价值的参考,与全行业共同应对日益严峻的网络安全挑战。 声明 本报告由工业和信息化部电子第五研究所软件与系统研究院和深信服科技股份有限公司联合编写。文中漏洞数据来源于 CNNVD、NVD 等国家级漏洞库和 KEV、OSV、Google Project Zero 项目等行业代表性数据,均明确注明来源,其余数据来源于报告编写团队,目的仅为帮助读者及时了解中国或其他地区漏洞威胁的最新动态和发展,仅供参考。 本报告中所含内容乃一般性信息,不应被视为任何意义上的决策意见或依据,任何编制单位的关联机构、附属机构并不因此构成提供任何专业建议或服务。 摘要 2024 年漏洞发现和披露速度再次加快,2024 年上半年披露漏洞 20548 个,与 23 年同期相比增长 46.16%。预计年底收录漏洞数将突破三万个,这预示着今年的网络安全工作不能放松警惕,需要对安全漏洞的防御和修复投入更多精力。 2024 年全球漏洞利用的产品分布方面,操作系统和浏览器 0day 漏洞数量最多,其中浏览器 0day 漏洞量整体占比呈下降趋势;第三方组件的 0day 漏洞利用量呈上升趋势;针对移动设备的 0day 漏洞利用手段升级,其中接近 50% 被用于执行间谍活动。 2024 年典型攻防场景中,以利用逻辑类 0day 漏洞和传输加密类 0day 漏洞为主,攻击者以此来隐藏攻击特征,比以往攻击更具隐蔽性。其中逻辑类漏洞主要包括业务接口漏洞、认证绕过、账密找回、越权访问等类型。 2024 年典型攻防场景中,漏洞利用方式从战前储备 0day 漏洞逐渐向战前储备和后期新挖掘 0day 为主的方式转变。这一变化与攻防活动周期拉长有较大关系,也与目标范围逐年扩大存在一定关系。 2024 年上半年,披露开源软件漏洞 3618 个,高危及以上占比超 40%。今年仍然需要重点关注由开源软件漏洞引发的软件供应链安全风险。我国应加快开源软件漏洞治理步伐,抓住市场、人才、技术发展机遇与国际化合作趋势,建立“政产学研用”一体化协同共治体系,鼓励开源界先试先行。 2024 年人工智能已成熟落地应用于未知漏洞猎捕和漏洞优先级排序中。在未知漏洞猎捕方面,基于相似度算法和 AI Agent 模式 0day 漏洞归因定性,可以实现自动化 0day 猎捕。在漏洞优先级排序 (VPT) 上,人工智能结合 SSVC 决策树模型,能够快速推理决策出需要优先处置的漏洞。 CONTENTS 目录 引言 摘要 安全漏洞总体态势01 漏洞公开披露情况漏洞利用情况0day漏洞利用情况010205 攻防场景漏洞利用趋势07 攻防场景下的0day利用情况攻防场景下的Nday利用情况攻防场景下的漏洞利用路径070911 开源软件漏洞态势12 开源软件漏洞威胁态势开源软件漏洞的影响国外开源软件漏洞治理工作与成效我国开源软件漏洞治理挑战与机遇12151617 人工智能技术对安全漏洞的影响18 人工智能技术发展过程对安全漏洞利用的影响人工智能产品自身存在的安全漏洞风险人工智能技术为安全漏洞防御力提升赋能182023 安全漏洞发展趋势总结与应对措施24 安全漏洞发展趋势总结开源软件漏洞治理措施建议攻防场景下安全漏洞治理措施建议人工智能场景下安全漏洞治理措施建议24252627 附录 参考链接28 安全漏洞总体态势 漏洞公开披露情况 2014 年至 2024 年,我国国家信息安全漏洞库(CNNVD)和美国国家漏洞库(NVD)漏洞收录情况如图 1-1 所示,国内外漏洞库收录漏洞数量的变化趋势保持一致。 2024 年漏洞发现和披露速度再次加快,预测年底收录漏洞数将突破三万个,可见在网络安全工作中,对安全漏洞的防御和修复需要投入更多精力。截至 2024 年 6 月 30 日,CNNVD 共收录 2024 年漏洞信息 20548 条,同比 2023 年漏洞收录数量增加 46.16%,收录速率达到近十年最大值。 由于 2024 年漏洞数量快速增长,美国因预算、流程标准以及合作商等问题导致在 NVD 漏洞库的治理工作上出现了大量堆积工作和时效性不足的问题。自 2024 年 2 月起,美国国家标准与技术研究院(National Institute of Standards andTechnology,NIST)几乎完全停止了对 NVD 的信息更新。直至 2024 年 5 月,为填补 NVD 信息空白对美国漏洞治理带来的影响,美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)宣布启动“漏洞丰富”(Vulnrichment)计划,在 Github 上开展漏洞分析工作和信息补充工作。 漏洞利用情况 已知被利用漏洞情况 2021 年,美 国 将 已 知 漏 洞 利 用 视 为 影 响 其 国 家 网 络 安 全 的 重 大 风 险,建 立 已 知 被 利 用 漏 洞(KnownExploitedVulnerabilities,KEV)目录以要求美国联邦机构降低已知利用漏洞的重大风险。至此,KEV 目录也成为了国际上已知被利用的漏洞的权威来源,为各组织提供漏洞修复优先级提供重要指导。KEV 目录的漏洞收录原则有以下三点:漏洞已分配CVE(Common Vulnerabilities & Exposures)编号、有可靠证据表明该漏洞在真实攻击中已被积极利用、漏洞已有明确的补救措施。 KEV 目录运营效果明显,有效帮助机构识别重要漏洞,加快了漏洞修复速度,平均提速 3.5 倍。截至 2024 年 6 月 30 日KEV 目录累计已收录漏洞 1126 个。KEV 目录投入运营期间,前两年快速收敛历史漏洞,较好地控制了已知漏洞利用风险。2023 年 9 月,KEV 目录收录漏洞数达到 1000 个,CISA 公布其运营效果称该目录对美国政府 100 多个联邦民用机构的网络安全产生了明显影响,将暴露 45 天或更长时间的可利用漏洞的百分比下降了 72%。从对全球影响效果来看,2024 年 5月,美国网络安全机构 Bitsight 的研究数据表明,在全球 140 多万个实体(包括公司、学校、地方政府等)对 KEV 所列漏洞的修复时间中位数为 174 天,而非 KEV 所列漏洞的修复时间为 621 天。KEV 目录中列出的漏洞所需的修复时间中位数是非 KEV 漏洞的 3.5 倍。 近十年漏洞利用情况 (一)数量趋势 近 10 年真实漏洞利用数量总体呈现先上升后下降趋势。KEV 目录收录漏洞的 CVE 编号年份进行统计,2021 年漏洞被收录数量最多,达到峰值。2021 年以前漏洞利用总数呈上升趋势,2021 年后呈下降趋势。CISA 将统筹漏洞治理作为重要任务,通过协同漏洞披露(CVD)、漏洞披露策略(VDP)、相关约束性操作指令(BOD)等一系列措施的执行,漏洞利用数量于 2021 年开始下降,美国漏洞治理初见成效。 截至 2024 年上半年,KEV 目录中已知被勒索软件利用漏洞共 228 个,其数量变化与整体趋势一致,在 2021 年达到了峰值。随着全球范围内对勒索软件大型组织的打击,勒索软件整体在漏洞利用上的能力有所减弱,这一变化得益于国际执法机构的协作整治,但勒索软件攻击仍然对企业机构存在着严重威胁。值得注意的是,随着国际执法机构对勒索组织的打击,对其组织运营产生极大影响,为提高攻击效率勒索组织可能会优先考虑使用能够有效提供访问权限的漏洞开展攻击。 2024 年 8 月,美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency ,CISA)与美国联邦调查局(Federal Bureau of Investigation,FBI)和美国国防部网络犯罪中心(DoD Cyber Crime Center,DC3)共同发布了一份联合网络安全公告,揭露近期勒索软件组织的攻击活动,其中重点标记了被利用来执行攻击活动的漏洞,这些漏 洞 主 要 用 于 提 供 攻 击 的 初 始 访 问 权 限。包 括 Citrix Netscaler(CVE-2019-19781 和 CVE-2023-3519)、F5 BIG-IP(CVE-2022-1388)、Pulse Secure/Ivanti VPN(CVE-2024-21887)以 及 最 近 的 PanOS 防 火 墙(CVE-2024-3400)。其 中2 个 2024 年漏洞在其他攻击活动中也频繁被利用。例如俄罗斯网络安全机构卡巴斯基观测到,Pulse Secure/Ivanti VPN(CVE-2024-21887)在 2024 年第一季度的 APT 攻击活动中利用情况排行第二;PanOS 防火墙(CVE-2024-3400)漏洞在2024 年第二季度的 APT 攻击活动中利用排行第一。 (二)受影响厂商和产品情况 根据截止到 2024 上半年 KEV 目录收录的 1126 个漏洞分析,受影响厂商排行前十情况如图 1-3 所示。2024 年上半年,KEV 目 录 收 录 漏 洞 73 个,Microsoft 和 Google 的 漏 洞 最 多,其 主 要 受 影 响 产 品 分 别 为 Windows 操 作 系 统 和Chromium V8。 从全部收录数据来看,Microsoft 被利用情况最严重,已知被利用漏洞数量高达 287 个,其次分别为 Apple(75 个)、Cisco(71 个)、Adobe(67 个)、Google(58 个)。从增长趋势来看,Apple、Ivanti、Google 增长明显,三年间增长60% 以上。而 Adobe、Oracle、Apache、D-Link 等近年来被利用漏洞情况有所缓解,其 CVE 编号在 2021 年及以前的漏洞被利用情况相对严重。 从影响产品情况来看,如图 1-4 所示,在 2021 年已知被利用漏洞数量达到峰值,成为了漏洞趋势变化的一个关键点。2024 年上半年,根据深信服千里目安全技术中心监测发现,受影响最大的产品仍旧是操作系统和浏览器。 Microsoft 的 Windows 操作系统已知被利用漏洞最多,且近几年来保持稳定增长趋势。Win32k 作为 Windows 操作系统内核中的一个关键组件,被利用情况集中在 2021 年及以前。Exchange Server 存在多个高危 0day 漏洞在 2021 年和2022 年被广泛利用,对全球范围的用户造成了严重威胁。直至 2024 年 Exchange Server 和相关组件漏洞仍然是攻击者重点关注的对象。 随着主流
