2024年度网络安全漏洞威胁态势研究报告
AI智能总结
2025年1月 前言P r e f a c e 2024年,全球网络安全领域继续面对日益严峻的挑战。在数字化转型的大背景下,漏洞利用成为网络攻击的重中之重。根据统计,全球新增漏洞数量再创新高,漏洞的复杂性加剧,修复周期也在不断缩短。然而,攻击者的手段日趋复杂,基于漏洞的攻击路径更加隐蔽且复合化。开源项目、云计算、物联网(IoT)、国产软件以及关键基础设施领域漏洞威胁显著增加。 展望2025年,人工智能、量子计算、云原生架构和物联网的快速发展进一步扩展了漏洞暴露面。漏洞挖掘、修复和利用的矛盾将成为未来的攻防焦点。本报告立足2024年奇安信CERT汇集的漏洞数据、典型案例及安全事件,全面展示漏洞态势,同时也对2025年漏洞相关新兴技术发展趋势作出前瞻性展望,为企业、政府机构和网络安全从业者提供参考。 摘要 2024年漏洞态势的关键发现: 漏洞数量持续增长:2024年新增漏洞43,757个,同比增长46.7%,其中高危漏洞占比17.8%,总体漏洞威胁程度持续加深。 漏洞从暴露到被利用时间窗口持续缩短,平均时间18天,对有实际威胁的漏洞识别与及时修补提出了越来越大的挑战。 漏洞深度助力APT攻击:APT组织更倾向于使用零日漏洞和复合攻击链,目标集中于政府、能源、金融及国产软件行业。 国产软件漏洞更多关注:706个国产软件漏洞被披露,主要集中于OA、ERP等,暴露国内软件安全审计能力不足。 供应链来源漏洞显示高威胁度:供应链漏洞频发,典型案例如XZUtils工具库后门事件,其传播范围广泛、修复难度大。 勒索软件持续通过漏洞攻击获益:勒索软件团伙频繁利用漏洞进行攻击,高危行业为医疗、教育和能源领域。 2025年漏洞发展趋势展望: AI驱动的漏洞挖掘与利用:人工智能将被广泛用于漏洞发现、分析和攻击路径优化,攻击及防御复杂性大幅度提升。 量子计算冲击传统密码算法:量子计算能力逐步突破,对传统加密协议可能在远期产生影响。 云原生与虚拟化漏洞爆发:云原生架构中的容器逃逸、Kubernetes配置错误等漏洞成为热点。 物联网设备漏洞激增:物联网设备固件漏洞和通信协议漏洞被攻击者大规模利用。 漏洞利用自动化与产业化:漏洞利用即服务(Exploitation-as-a-Service)将推动漏洞攻击规模化。 目录 第一章 2024年度漏洞态势分析 一、漏洞数量统计与趋势二、漏洞类型分布与威胁分析三、漏洞影响厂商与行业分布四、关键漏洞占比情况五、漏洞标签占比情况六、漏洞热度排名TOP 10七、2024年最危险的CWE类型八、漏洞修复时效性 第二章 重大漏洞案例分析 一、XZ Utils 库中发现秘密后门,触发紧急安全警报二、黑客利用零日漏洞攻破 Palo Alto Networks 的数千个防火墙三、零点击 Windows TCP/IP RCE 会影响所有启用 IPv6 的系统,请立即修补四、谷歌披露 Chrome 零日漏洞,已被用于部署恶意软件五、UNC5820 威胁集群利用 Fortinet 零日漏洞窃取企业配置数据六、Firefox 零日漏洞被网络犯罪集团使用七、VMware vCenter Server 中的关键 RCE 漏洞现已被利用于攻击八、微软高危漏洞“狂躁许可”引起广泛关注 目录 第三章 关键种类漏洞分析 一、0day漏洞二、在野利用相关漏洞三、勒索软件相关漏洞四、APT活动相关漏洞五、其它类别关键漏洞 第七章 奇安信漏洞情报服务订阅 附录1:2024年0DAY漏洞列表 附录2:2024年在野利用漏洞列表 2024年度漏洞态势分析 第一章 一、漏洞数量统计与趋势 2024年1月1日至12月31日期间,奇安信安全监测与响应中心(又称奇安信CERT)共监测到新增漏洞43757个,较2023年同比增长46.7%。总高危、极危漏洞数量为7777个,占总量的17.8%。漏洞数量激增的主要原因包括技术生态复杂化、开源组件应用增加以及攻击者专业化程度提升。 根据奇安信CERT的基于多维度的筛选流程,对其中5498个高潜在威胁漏洞进行了人工研判。奇安信CERT认为本年度值得重点关注的漏洞共965个,达到发布安全风险通告标准的漏洞共392个,并对其中82个漏洞进行深度分析。[1][2][3] 2024年漏洞披露高峰为1月和6月,这与年度安全更新周期和大规模披露活动相关。攻击集中时间在下半年,体现了攻击者利用企业年末漏洞修复滞后的情况。 二、漏洞威胁类型占比情况 代码执行、信息泄露和权限提升是攻击者利用的漏洞核心类型,特别是在复杂攻击链中。 对2024年度新增的漏洞信息根据漏洞威胁类型进行分类总结,如图1-2所示: 其中漏洞数量占比最高的前三种类型分别为:代码执行、拒绝服务、信息泄露。这些类型的漏洞通常很容易被发现、利用,其中代码执行、权限提升类型的漏洞可以让攻击者完全接管系统、窃取数据或阻止应用程序运行,具有很高的危险性,应该成为安全从业人员的重点关注对象。 三、漏洞影响厂商与行业分布 将2024年度新增的43757个条漏洞信息根据漏洞影响厂商进行分解,如图1-3所示: 其中漏洞数量占比最高的前十家厂商为:开放源代码项目、Microsoft、Linux、Google、Apple、WordPress、Adobe、Apache、Jenkins、Cisco。Google、Microsoft、Apple这些厂商漏洞多发,且因为其有节奏的发布安全补丁,必然成为漏洞处置的关注重点。开源软件和应用在企业中被使用的越来越多,关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位,因而获得了安全研究员的重点关注。 2024年新增的漏洞中,有706个在NVD上没有相应的CVE编号,未被国外漏洞库收录,为国产软件漏洞,占比情况如图1-4所示。这些漏洞中OA和ERP系统尤为突出。受影响行业包括:政府机构(APT攻击的首要目标)、金融领域(高危漏洞利用频发)、能源与关键基础设施(攻击者重点关注的领域)。此类漏洞具有较高威胁,如果被海外国家背景攻击组织利用将导致非常严重的安全后果。 四、关键漏洞占比情况 奇安信将0day、APT相关、发现在野利用、存在公开Exploit/PoC,且漏洞关联软件影响面较大的漏洞标记为“关键漏洞”。此类漏洞的技术细节或验证利用代码已在互联网上被公开,或已经发现在野攻击利用,且漏洞关联产品具有较大的影响面,综合来看威胁程度相对较高,需要重点关注。 2024年奇安信CERT共标记关键漏洞450个,占全年新增漏洞的1.03%;存在公开Exploit/PoC漏洞数量为1100个,占全年新增漏洞的2.51%;发现已有在野利用漏洞数量为343个,占全年新增漏洞的0.78%;0day漏洞数量为113个,占全年新增漏洞的0.26%;APT相关漏洞数量为24个,占全年新增漏洞的0.05%。上述各类漏洞在2024年新增漏洞中占比情况如图1-5所示: 五、漏洞标签占比情况 为了更加有效的管控漏洞导致的风险,奇安信漏洞情报建立了全面的多维漏洞信息整合及属性标定机制,使用“关键漏洞”、“在野利用”、“POC公开”、“影响量级”、“Botnet类型”、“攻击者名称”、“漏洞别名”等标签,标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、Exploit工具、概念验证代码(PoC)、是否已经出现野外利用、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获取对系统控制途径等属性。 六、漏洞热度排名TOP 10 根据奇安信CERT全面的漏洞信息监测数据,总结2024年漏洞舆论热度榜TOP 10漏洞如下: 第一章 2024年度漏洞态势分析/网络安全漏洞威胁态势研究报告 在本年度总热度舆论榜前十的漏洞中,热度最高的漏洞为OpenSSH远程代码执行漏洞(CVE-2024-6387)。该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。但是,漏洞的热度高并不一定代表漏洞的实际风险大。该漏洞为之前CVE-2006-5051漏洞修补不完善导致的二次引入,当前的漏洞利用代码仅针对在32位Linux系统上运行的OpenSSH,64位Linux系统上利用该漏洞的难度会更大,在Linux系统上以Glibc编译的OpenSSH上成功利用,不过利用过程复杂、成功率不高且耗时较长。平均要大于10000次才能赢得竞争条件,需要6~8小时才能获得远程root shell。在以非Glibc编译的OpenSSH上利用此漏洞据说也是可能的,但尚未证实。虽然目前还没有发现真正实现远程代码执行的POC,鉴于该漏洞影响范围较大,建议受影响用户升级至OpenSSH 9.8p1。 七、2024年最危险的CWE类型 CWE是代码、设计或架构中可能导致漏洞的常见软件弱点或缺陷的列表,它们本身列在常见漏洞和披露(CVE)数据库中。某些漏洞通常很容易找到并加以利用,攻击者通过这些漏洞能够窃取数据、完全接管系统或阻止应用程序运行。CWE 是这些漏洞的根本原因。 为了定义软件弱点的严重性级别,2024年,奇安信CERT汇集本年度7777个高危、极危漏洞,从中总结出最危险 CWE 列表供参考。2024年最危险CWE排行如图1-7所示,该排名不仅为开发人员和安全专业人员提供了可靠信息,还为企业和公司提供了安全战略指南。 今年,在7777个高危、极危漏洞中,数据验证不恰当(也称为“输入验证不恰当“(CWE-20))占据首位,有1201个漏洞,占总数的15.44%。 SQL注入,也称为“SQL命令中使用的特殊元素转义处理不恰当”(CWE-89)位居第二,有608个漏洞,且存在很多已知被利用的相关漏洞,占总数的7.82%。 第三名是释放后重用(CWE-416),有494个漏洞,占总数的6.35%。 建议查看此列表并通过它获悉软件安全策略。在开发和采购流程中优先考虑这些弱点有助于防止软件生命周期核心的漏洞。 八、漏洞修复时效性 2024年漏洞平均修复时间:45天,较2023年缩短10%。零日漏洞修复不足:75个零日漏洞中30%修复时间超过30天,部分漏洞已在披露前被利用。披露与利用时间差:公开后4天内被利用的漏洞占50%。值得注意的是,2024年新增中,有33564个漏洞存在CVE编号,其中有9602个存在CVE的漏洞,在NVD(National Vulnerability Database,美国国家漏洞数据库)收录前已被奇安信CERT通过第一手信息源的监控发现并收录,占本年度存在CVE漏洞总数的28.6%,且漏洞平均定级速度快于NVD约61%。这些漏洞通过奇安信CERT多源汇聚技术,在厂商发布安全通告的第一时间即可捕获漏洞信息,由分析人员研判入库。快于NVD占比如图1-8、图1-9所示: 在这些漏洞中,奇安信CERT漏洞收录时间平均快NVD约6天4小时,其中,Rancher Kubernetes Engine 信息泄露漏洞(CVE-2023-32191)收录时间快NVD约119天,达到本年度之最。奇安信CERT在2024年6月20日捕获漏洞信息源,由分析人员研判入库,而NVD在长达119天后的2024年10月16日公开此漏洞。漏洞时间线如表1-10所示: 漏洞发现的时效性在网络安全领域至关重要,它直接影响到组织和个人的数据安全、业务连续性和声誉。漏洞发现得越早,攻击者利用该漏洞进行攻击的时间窗口就越小。及时的漏洞发现可以减少攻击者利用漏洞的机会。一旦确认资产存在相关的漏洞,组织可以迅速采取行动,如打补丁、更新系统或采取临时的缓解措施,以阻止潜在的攻击。及时修复漏洞可以减少数据泄露、服务中断和其他安全事件造成的损害,从而降低相关的财务成本和声誉损失。 重大漏洞案例分析 第二章 本章节梳理了2024年度影响较大网络安全事件中关联的高危漏洞,这些漏洞已经被威胁行为体用于发起网络攻击,部分
