2023年网络安全漏洞态势报告

-新华三主动安全系列报告- 目录 1概述 2.1新增漏洞趋势82.2漏洞分类92.3重点漏洞回顾102.4攻击态势分析12 3操作系统漏洞13 3.1新增漏洞趋势133.2漏洞分类133.3重点漏洞回顾143.4攻击态势分析16 4网络设备漏洞17 4.1新增漏洞趋势17 4.2漏洞分类18 4.4攻击态势分析21 22 5.1新增漏洞趋势225.2漏洞分类235.3重点漏洞回顾245.4攻击态势分析25 26 6.1新增漏洞趋势266.2漏洞分类276.3重点漏洞回顾286.4攻击态势分析29 7云计算平台漏洞30 7.1新增漏洞趋势307.2漏洞分类307.3重点漏洞回顾317.4攻击态势分析32 8总结与建议 33 8.1总结338.2安全建议34 9结语 2023年网络安全漏洞态势报告 新华三安全攻防实验室持续关注国内外网络安全漏洞和态势，协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布《2023年网络安全漏洞态势报告》。报告开篇概述了2023年漏洞和攻击的总体趋势，正文从Web应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析2023年网络安全领域新增漏洞情况以及演变趋势，希望为各行业网络安全建设者提供参考和帮助。 1.1漏洞增长趋势 2023年新华三安全攻防实验室漏洞知识库收录的漏洞总数为29039条，比2022年（24892条）增长16.6%，为历史之最。其中超危漏洞4298条，高危漏洞10741条，如图1所示，超危与高危漏洞占比51.8%，如图2所示，高危以上漏洞比2023年增长7.1%。自2017年以来，公开漏洞数量一直在稳步增加，每年增加数量超过10%。 1.2攻击总体态势 将2023年漏洞按照影响对象进行统计，Web应用类漏洞占比仍然为第一位，占比40.2%，其次是应用程序、操作系统漏洞，分别占比29.2%、9.1%，如图3所示。应用程序漏洞数量比去年增长60.8%，增幅较大；智能终端（IOT设备）漏洞数量比去年增长64.4%，操作系统、网络设备、云计算、数据库漏洞相比去年漏洞数量有所回落。漏洞数量是危险的一方面，在已披露的漏洞中，有超过7000个漏洞具有“概念验证利用代码”，超过100个漏洞已经被黑客“广泛利用”。 将2023年漏洞按照攻击分类进行统计，如图4所示，排名前三的漏洞为跨站脚本、权限许可和访问控制、缓冲区错误，分别占比17.0%，13.4%和11.2%。权限许可和访问控制占比较2022年有大幅提升，权限许可和访问控制漏洞是由于权限限制不正确，或者访问控制设置错误，导致远程攻击者可以绕过身份验证因素或者访问控制设置，达到获取敏感信息，读写任意文件或者权限提升的目的。注入类漏洞，如代码注入、SQL注入、命令注入共占比18.7%，仍然是最突出的漏洞类型。 安全漏洞数量持续增长成为了各行各业不可忽视的挑战，尤其是在工业、金融、交通、国防、医疗和信息技术等领域，安全漏洞的爆发和利用对社会、企业和个人造成了巨大的安全风险。同时，生成式人工智能等一批新技术在带来巨大机遇的同时，也意味着其在安全性上会产生更多挑战。2023年，针对各个领域网络资产的攻击进一步加剧，根据对2023年漏洞及网络攻击进行的观察，我们得出一些结论： 1.漏洞数量持续增长，0day漏洞利用数量明显增加 随着黑客攻击技术的提升和市场化，0day漏洞的数量和利用呈明显增长趋势，大量攻击团伙利用未公开及厂商未及时修复的漏洞对目标系统进行未授权访问、数据窃取、数据勒索或其他恶意活动，这类漏洞的利用往往具有高度隐秘性和攻击性，使得安全防护和应对的难度进一步提高。GoAnywhere今年爆出的CVE-2023-0669漏洞被黑客大规模利用，最早利用该漏洞进行大规模攻击的仍然是Clop勒索软件组织，在最初的一波攻击中就有130家企业受到了影响。由于GoAnywhere是在漏洞被披露可能存在利用的第5天才推出修复程序，这留给了黑客充裕的利用时间，政府、能源、金融、医疗行业多家知名企业成为攻击受害者，也充分展现了“零日漏洞+供应链攻击”的可怕之处。 2.大量N-Day漏洞被积极利用，Log4j漏洞仍是攻击首要目标 2023年涌现出数以万计的新漏洞，但根据相关现网攻击检测数据报告，2023年被用于现网攻击尝试利用次数较多的漏洞反而是过去几年已经披露和修补的N-Day漏洞。这些漏洞通常已经被成熟的工具化，且已有修补补丁。由于现网仍有海量的产品和服务未对这些漏洞进行修补，进而被攻击者“趁虚而入”。根据统计，2023年利用最多的漏洞有ApacheLog4j2远程代码执行漏洞（CVE-2021-44228）、MS17-010系列漏洞、ApacheStruts2远程代码执行漏洞(CVE-2017-5638)、GNUBash远程命令执行漏洞(CVE-2014-6271)等。尽管Log4j是一个出现时间已久的漏洞，但在2023年期间仍然是攻击者的首要选择。 3.配置不当引发整体安全风险，身份验证和访问权限管理不当漏洞增加 随着互联网的加速发展，企业和组织不断推进内外网业务由线下转向线上，以便于协同及效率提升，业务之间的对接、耦合、互通，使得业务数据大量的产生、传输、交互、公开等。而不同系统、软件和应用程序的默认配置、身份验证和访问权限管理等配置不当问题逐渐成为网络中最易忽视的攻击风险。错误配置可能会导致敏感数据的泄漏，比如未做好严格的权限校验和限制以及未采取严格的加密措施等都会被黑客充分利用。当服务器存在未及时修复的安全漏洞时，错误配置会为攻击者提供突破口，以入侵单个安全控制点作为跳板进一步危及整个系统的安全性。 4.数据泄露与滥用风险涌现，数据泄漏事件创下记录 2023年数据泄漏事件还处于高发的态势，根据报告，2021和2022年，全球泄露了惊人的26亿条个人记录，仅2022年一年就泄漏了约15亿条个人记录。2023年创下新的数据泄漏记录，仅2023年前9个月的数据泄露总数就已经比2022年全年总数高出20%。2023年5月，据Emsisoft报道，文件传输服务MOVEit的漏洞已经导致2706个组织遭到（勒索软件）攻击，超过9300万人的个人数据被泄露。2023年10月基因检测提供商23andMe遭遇撞库攻击，导致重大数据泄露，690万用户的数据被泄露。史上最畅销游戏大作GTA5（侠盗猎车手5）的源代码在2023年圣诞夜被泄露，发布者声称此举是为了替近日被宣判永久监视医疗的Lapsus$黑客组织成员Arion Kurtaj复仇，同时也是为了阻止恶意版本的GTA5源代码在网上流传。2023年12月，PayPal披露其用户账户在大规模撞库攻击中被泄露，攻击者攻破了34942个PayPal账户。 5.勒索团伙加速高危漏洞武器化利用，勒索攻击高位增长 2023年，勒索软件攻击的复杂性和敏捷性快速提高。根据德国“statista”网站统计显示，全球高达72%的企业成为攻击受害者，其中包括英国“皇家邮政”和美国波音等企业。过往勒索团队常以钓鱼、水坑、Nday等利用手段作为主要的初始载体和入侵手段来部署勒索软件。2023年，勒索团伙攻击方式逐渐升级转变为对关键的零日漏洞加速武器化利用。其中以利用漏洞而闻名的Clop勒索软件组织利用MOVEit等多个关键的零日漏洞进行了广泛攻击，黑客组织LockBit利用Citrix Bleed漏洞（CVE-2023-4966）对金融企业成功实施了攻击，可能窃取、泄露金融和医疗等领域的价值、敏感数据。以LockBit为首的勒索组织通过“勒索软件即服务”（RaaS），将恶意软件售卖给其他黑客组织，形成攻击产业链，并不断衍生出新变种，导致恶意软件泛滥。勒索攻击形式也逐渐从有组织高烈度转向无序化低烈度，涉及的行业领域更多、破坏性更严重。 6.大语言模型成为攻防“双刃剑”，其快速演进加剧攻防不对等 随着人工智能技术的飞速发展，生成式AI狂潮席卷全球，成为了各行各业的新研究热点。在不断对抗发展的网络安全领域，大语言模型不仅成为抵御复杂网络攻击的利器，也已然被攻击者充分利用，不断开发演进新的攻击方式。例如防御方面可以开发和建立自动化威胁检测和安全防护系统等，攻击方面可以用于攻击自动化、智能化社会工程攻击、恶意软件检测规避等。大语言模型的应用极大地降低了攻击利用的门 主动安全 槛，攻击者无需再花费大量时间手动阅读源码、验证漏洞和构建恶意利用代码，极大提高攻击效率和成功率，使得开发团队和安全团队需要以更快速处置速度应对。 7. VR/AR设备漏洞开始显现，以人体感官为中心的设备安全面临挑战 网络安全是一个动态的领域，随着技术的进步，各种类型的漏洞与攻击都会被引入。例如，对于VR/AR等新型设备，鉴于内容的潜在不可靠性，VR/AR等增强现实设备可以作为黑客欺骗用户的有效工具，成为社会工程学攻击的一部分。例如，黑客可以通过虚假的标志或画面显示来扭曲用户对现实的看法，在侵入用户的VR/AR设备后，改变用户通过设备看到的场景，这就可能会让他们通过冒充用户认识和信任的人来实施诈骗。在Vision Pro发布后的一天内，其头显系统visionOS就被发现存在一个内核漏洞。此外，在Vision Pro即将登陆美国市场之际，苹果公司发布了一项紧急系统更新。此次visionOS 1.0.2版本的发布距离上一版本的推出仅隔一周，突显了安全问题的紧迫性。此次更新修复了一个WebKit漏洞，该漏洞允许攻击者精心制作恶意网页，一旦Vision Pro用户访问这些被感染的网页，攻击者便能在用户设备上执行任意代码，进而控制设备或窃取信息。 2.1新增漏洞趋势 针对Web应用的攻击依然是互联网的主要威胁来源之一，更多的流量入口和更易调用的方式在提高应用开发效率的同时也带来了更复杂的安全问题。2023年新华三漏洞知识库收录Web应用漏洞11739条，较2022年（10488条）增长11.9%。对比2022年和2023年每月Web应用漏洞变化趋势如图5所示： 2.2漏洞分类 黑客普遍会利用Web应用漏洞对网络进行渗透，以达到控制服务器、进入内网、获取大量有价值信息的目的。可以看出2023年Web应用漏洞主要集中在跨站脚本、注入、跨站请求伪造三种类型，占据全部漏洞类型的69%。跨站脚本与注入是Web应用最常见的漏洞，利用跨站脚本漏洞，黑客可以对受害用户进行Cookie窃取、会话劫持、钓鱼欺骗等各种攻击；利用注入漏洞，黑客可能窃取、更改、删除用户数据，或者执行系统命令等，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。跨站请求伪造相比2023年增幅较大，跨站请求伪造是一种通过挟制当前用户已登录的Web应用程序从而实现非用户本意的操作的攻击方法，比如发邮件、发消息、改密码、购买商品、银行转账等，相对于跨站脚本攻击来说跨站请求伪造危害更严重。 2.3重点漏洞回顾 主动安全 经典漏洞盘点： OracleWeblogicIIOP协议远程代码执行漏洞(CVE-2023-21839) Weblogic是由美国Oracle公司出品的一款基于JAVAEE架构的中间件，主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器，在国内外应用十分广泛。该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏WebLogic服务器，成功利用此漏洞可导致关键数据的未授权访问或直接获取WebLogic服务器权限。漏洞原理是通过WeblogicT3/IIOP协议支持远程绑定对象bind到服务端，当远程对象继承自OpaqueReference，lookup查看远程对象时，服务端调用远程对象getReferent方法，其中的remoteJNDIName参数可控，导致攻击者可利用rmi/ldap远程协议进行远程命令执行。 GitLab目录遍历漏洞(CVE-2023-2825)