2024年度漏洞态势分析报告

目录 目录.........................................................................................................................-1- 一、前言.................................................................................................................-3- 二、2024年度漏洞数据统计与分析....................................................................-4- 1.基于主流漏洞库已公开披露漏洞的总体趋势分析..................................-4-2.基于主流漏洞库已公开披露漏洞的数据统计..........................................-5-3.基于主流漏洞库已公开披露漏洞的趋势预测........................................-10-4.基于主流漏洞库已公开披露漏洞的厂商分析........................................-11-5.基于国产厂商分布数据的解析................................................................-13-6.本章小结....................................................................................................-14- 1.CWETop25简介..........................................................................................-15-2.2024年度CWETop25排行榜单................................................................-15-3.基于2024年度CWE数据的趋势分析....................................................-18-4.本章小结....................................................................................................-19- 1.年度严重漏洞（CVSS3.1评分>=9.0）...................................................-21-2.基于2024年度漏洞预警数据的分析......................................................-25-3.本章小结....................................................................................................-27- 五、2024年攻防演练高危漏洞回顾..................................................................-28- 1.攻防演练期间常见漏洞类型分布概况....................................................-28- 3.本章小结....................................................................................................-32- 六、AI安全隐患与未来趋势分析.......................................................................-33- 七、关于我们.......................................................................................................-45- 一、前言 随着网络空间应用的普及和依赖程度的提升，随之而来的是日益复杂且严峻的网络安全挑战。网络安全问题已经成为全球关注的焦点，尤其是网络漏洞的存在，不仅威胁着企业和个人的数字资产安全，也对国家安全、社会稳定以及经济发展构成了极大威胁。 在过去的几年里，尽管安全技术不断进步，漏洞的数量和影响力依然没有得到有效遏制。从传统的操作系统和应用程序漏洞到新兴技术领域中的漏洞，如云计算、物联网、车联网、人工智能等，漏洞的类型和形式呈现出多样化和复杂化的趋势。在这些领域中，一些看似微小的漏洞，往往能够成为攻击者的突破口，造成系统瘫痪、数据泄露、甚至影响社会和国家的核心安全。 2024年度漏洞态势分析报告旨在全面回顾和总结这一年内的漏洞数据，分析与揭示网络漏洞的发展趋势、关键特点以及潜在的风险点。通过深入分析来自国内外主流漏洞库的数据，报告全面梳理了2024年度漏洞的各项趋势指标，涵盖漏洞总数、漏洞等级分布、漏洞产生原因等方面。在数据分析过程中，我们通过对历史数据和2024年度漏洞数据的对比分析，揭示漏洞数量的变化趋势，以及漏洞等级分布情况、攻击类型以及漏洞背后可能带来的安全隐患。报告还梳理了2024年度高危漏洞的预警并整理出了2024年度需要注意的严重漏洞，旨在帮助各界及时发现和修补网络漏洞，减少潜在的安全风险。 当今网络安全问题已成为全球范围内急需解决的重要课题，通过加强漏洞监测、加强防护体系建设、提高安全防范意识，政府、企业及个人可以共同构筑一道坚实的网络安全防线，维护网络空间的安全与稳定，推动数字时代的健康发展。 二、2024年度漏洞数据统计与分析 1.基于主流漏洞库已公开披露漏洞的总体趋势分析 自2024年1月1日至2024年12月17日，2024年度安恒信息CERT监测到NVD已公开披露漏洞共计21831个，较2023年同比增长22.08%，通过对历年NVD已公开披露漏洞数据的整理，近十年NVD漏洞库已公开披露漏洞数量分布如下图所示： 从上述图表中可以看出，近十年NVD公开的漏洞数量呈现出显著的逐年增长趋势，尤其是在2020年之后，漏洞数量的增长速度明显加快。2015年NVD公开新增漏洞数量仅为147个，而到2024年这一数字已达到21831个，增长了约150倍。2017年公开漏洞新增数量突破1000个，达到1042个，2020年以后，公开漏洞数量开始显著攀升，2020年到2024年的年均增长率高达30%以上。漏洞数量的快速增长表明系统和软件的复杂性在提升，也反映了近年来信息安全领域的压力正在持续增大。 2.基于主流漏洞库已公开披露漏洞的数据统计 漏洞各等级分布概况 根据NVD2023年度与NVD2024年度公开漏洞数据库中具CVSS3.1评分的漏洞数据分析，整体安全态势呈现出一定的上升趋势。数据详情如下： 低危漏洞：NVD2024年度低危漏洞数量为2768个，2023年度低危漏洞数量2763个，2024年度较2023年度同比增长0.18%。 中危漏洞：NVD2024年度中危漏洞数量为9821个，2023年度中危漏洞数量7014个，2024年度较2023年度同比增长40.01%。 高危漏洞：NVD2024年度高危漏洞数量为3819个，2023年度中危漏洞数量3175个，2024年度较2023年度同比增长20.28%。 严重漏洞：NVD2024年度严重漏洞的数量为586个，2023年度严重漏洞数量413个，2024年度较2023年度同比增幅为41.89%。 漏洞产生原因分布 设计错误（3568条，占比最高，约60%），设计阶段的漏洞占绝对主导地位。这类漏洞往往是由于系统架构或逻辑设计不完善、需求分析不到位导致，后期修复成本较高。设计错误可能导致系统核心功能失效或被绕过，影响深远，覆盖面广，难以完全根除。 输入验证错误（1194条，占比约20%），输入验证错误是由于开发过程中对用户输入的过滤和验证不足导致的漏洞，例如SQL注入、跨站脚本（XSS）等。这类漏洞通常成为攻击者的主要目标，因为其利用门槛较低、成功率较高，容易 导致数据泄露或系统控制。 边界条件错误（605条，占比约10%），此类漏洞主要与程序对边界情况（如数组越界、内存溢出）处理不当有关。边界条件错误容易被攻击者利用进行缓冲区溢出攻击，导致系统崩溃或执行恶意代码。 访问验证错误（114条，占比较低，约2%），访问验证错误是由于对用户或系统访问权限的验证不足，例如缺乏身份认证或错误的授权配置。容易导致未授权访问，直接威胁系统安全性和敏感信息的保护。 其他错误（11条，配置错误1条，竞争条件9条），竞争条件（raceconditions）漏洞常见于多线程程序，由于系统没有正确同步对共享资源的访问，多个执行流在几乎相同的时间内争用资源，导致错误的结果或未授权的访问。。 漏洞产生原因解析 首先从图中可以得出设计阶段问题占主导，设计错误占比高反映出系统在早期设计阶段缺乏全面考量，导致系统开发阶段未对安全问题进行重视出现较多漏洞。其次输入问题较多，开发人员在编码过程中对用户输入缺乏严格处理，而这类输入问题漏洞通常是攻击者的突破口。最后存在部分开发错误，此类开发错误引起的漏洞容易对多线程、高并发系统的稳定性和安全性造成严重影响。 3.基于主流漏洞库已公开披露漏洞的趋势预测 随着软件系统复杂性和规模的增加，安全问题会更多地出现在设计阶段，设计错误的比例可能进一步上升。近年来，互联网的普及和API、Web服务的广泛应用，用户输入相关的攻击面不断扩大。输入验证类漏洞将依然是攻击者的主要目标，特别是在缺乏统一输入验证框架的系统中，输入验证类漏洞将会持续高发云计算和分布式系统的高速发展，随之带来的问题也将愈发严重，例如高并发场 景中的竞争条件问题，以及配置错误在自动化部署和微服务架构中也可能频繁出现。 4.基于主流漏洞库已公开披露漏洞的厂商分析 2024年度漏洞数据的厂商分布概况 Linux占据首位，Linux生态系统在漏洞披露中处于显著位置，可能与其广泛的开源应用和使用场景有关。Microsoft排名第二，漏洞数量为1098个，这与其作为主流操作系统和企业软件供应商的市场地位密切相关。排名前两位的厂商漏洞数量远超其他厂商，表明漏洞分布呈现明显的集中趋势。Adobe位居第三，漏洞数量为740个，主要与其核心产品（如Acrobat、Photoshop）相关。 SourceCodester和Google分别以555个和539个漏洞排在第四和第五，表明了开源项目和互联网巨头存在较大漏洞风险。Apple和OracleCorporation的漏洞数量分别为460个和366个，位居中间，表明其软件生态也存在安全隐患。Cisco以278个漏洞位列第八，体现其网络设备和安全解决方案的潜在风险。Siemens和IBM分别以247个和236个漏洞排在第九和第十，主要涉及工业控制系统和企业级解决方案的安全问题。 厂商涉及操作系统、开源项目、互联网服务、企业级解决方案、网络设备和工业控制系统，说明漏洞分布覆盖广泛。随着软件和硬件生态的复杂化，厂商需要加大对漏洞管理和修复的投入。加强对网络设备（如Cisco）和工业控制系统（如Siemens）的安全监测，以防止潜在漏洞的利用。 根据NVD已公开披露漏洞数据统计，漏洞来源厂商排名Top10如下： 2024年