2024年网络安全漏洞态势报告：新华三主动安全系列报告

-新华三主动安全系列报告- 1概述 2.1新增漏洞趋势82.2漏洞分类92.3重点漏洞回顾102.4攻击态势分析12 3操作系统漏洞12 4网络设备漏洞17 4.2漏洞分类17 4.3重点漏洞回顾4.4攻击态势分析 18 20 5.1新增漏洞趋势205.2漏洞分类215.3重点漏洞回顾225.4攻击态势分析23 6.1新增漏洞趋势246.2漏洞分类256.3重点漏洞回顾266.4攻击态势分析27 7云计算平台漏洞28 7.1新增漏洞趋势287.2漏洞分类287.3重点漏洞回顾297.4攻击态势分析30 8总结与建议31 8.1总结318.2安全建议32 2024年网络安全漏洞态势报告 新华三安全攻防实验室持续关注国内外网络安全漏洞和态势，协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布《2024年网络安全漏洞态势报告》。报告开篇概述了2024年漏洞和攻击的总体趋势，正文从Web应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析2024年网络安全领域新增漏洞情况以及演变趋势，希望为各行业网络安全建设者提供参考和帮助。 1.1漏洞增长趋势 2024年新华三安全攻防实验室漏洞知识库收录的漏洞总数为40050条，比2023年（29039条）增长37.9%，为历史之最。其中超危漏洞5135条，高危漏洞13992条，如图1所示，超危与高危漏洞占比47.8%，如图2所示，高危以上漏洞比2023年增长27.2%。2017年至2024年漏洞总体呈逐年增长趋势，每年增加数量超过10%。 主动安全 1.2攻击总体态势 将2024年漏洞按照影响对象进行统计，Web应用类漏洞占比持续占据第一位，达到44.9%，其次是应用软件、操作系统漏洞，分别占比20.5%、16.7%，如图3所示。操作系统漏洞数量比去年增长1.5倍，增幅较大；WEB应用漏洞数量比去年增长50.9%，应用软件、智能终端相比去年漏洞数量有所回落。 将2024年漏洞按照攻击分类进行统计，如图4所示，排名前三的漏洞为跨站脚本、权限许可和访问控制、信息泄露，分别占比24.0%，13.2%和11.2%。跨站脚本占比较2023年有大幅提升，跨站脚本是由于Web应用程序对用户输入数据的不严格，攻击者向web页面里插入恶意的HTML代码，用户浏览该页面时，嵌入其中的HTML代码会被执行，从而达到恶意攻击用户的目的。注入类漏洞，如代码注入、SQL注入、命令注入共占比16.8%，仍然是最突出的漏洞类型。 安全漏洞数量持续增长不仅会导致数据泄露、系统故障、业务中断等直接损失，还会增加网络攻击的频率与复杂性，使企业与组织面临更高的安全风险、声誉损害和合规成本，给整个网络生态的稳定性和安全性带来严重挑战。2024年，针对各个领域网络资产的攻击进一步加剧，根据对2024年漏洞及网络攻击进行的观察，我们得出一些结论： 1.漏洞类型更加多样化，攻击手段更加复杂和隐蔽 随着新兴技术的快速普及，漏洞类型将不再局限于传统的软件缺陷，而是扩展到更广泛的领域。例如，人工智能系统漏洞（如对抗样本攻击、模型投毒）可能被利用来操纵AI决策；物联网设备的脆弱性（如默认密码、固件漏洞）易成为攻击者的跳板；云原生技术（如容器、Kubernetes）的配置错误和权限漏洞可能导致大规模数据泄露。此外，供应链攻击将继续增长，攻击者通过第三方软件或服务渗透目标系统，类似SolarWinds事件的影响可能进一步扩大。与此同时，攻击手段将变得更加复杂和隐蔽。利用AI和机器学习自动化攻击，跨平台攻击成为趋势，社会工程与漏洞利用结合更紧密，如钓鱼获凭证后用零日漏洞进一步渗透。这种演变迫使企业和组织采用更先进安全技术与策略应对复杂威胁。 2.漏洞披露到利用时间间隔缩短，零日漏洞威胁加剧 在2024年的网络安全领域，漏洞披露到利用的时间间隔显著缩短，零日漏洞所带来的威胁呈现出愈发严峻的态势。攻击者针对网络安全设备的零日攻击不断增多，像Ivanti Connect Secure和Ivanti PolicySecure等设备暴露的零日漏洞，包括身份验证绕过和命令注入等，被黑客组织组合成攻击链加以利用。同时，远程监控和管理工具、管理文件传输软件、CI/CD工具等也成为零日漏洞攻击的重点目标。此外，2024年漏洞利用手段也更趋高级。攻击者越来越多地利用逻辑类和传输加密类零日漏洞，以隐藏攻击特征，其攻击的隐蔽性更高。与此同时，AI大模型的应用降低了漏洞利用的攻击门槛，使得初级黑客也能批 主动安全 量生产攻击脚本和工具，缩短了利用时间间隔。这意味着更多的攻击者有能力利用漏洞发动攻击，安全防护面临着更大的挑战。 3.数据泄露规模和影响增大，数据安全领域隐患重重 2024年，数据安全领域犹如置身于风暴中心，数据泄露规模和影响呈现出令人震惊的增大趋势，其中AT&T以及美国国家公共数据等相关事件尤为引人关注。这些事件涉及的数据规模极其庞大，数亿条记录遭到泄露，其影响范围之广，几乎涵盖了社会生活的各个层面。如此大规模的数据泄露，不仅严重侵犯了用户的隐私权益，还引发了公众对现有数据保护措施的广泛质疑。2024年的数据安全状况在漏洞频发的大背景下，数据泄露规模不断突破上限，影响范围之广、危害程度之深令人担忧，数据安全领域正面临着一场前所未有的危机，亟待各方采取有效措施加以应对，以避免更大的损失和风险。 4.AI迅速发展致使供应链攻击智能化，供应链漏洞影响更加广泛 开源软件漏洞数量不断攀升，其中高危漏洞占比超过40%，软件供应链安全风险不断增大。攻击者可借助开源组件或第三方软件的攻击进而渗透到整个网络环境中，对各业务系统的安全性构成严重威胁。同时，伴随着人工智能技术的发展，在漏洞未修复的时间窗口内，攻击者可利用AI针对不同组件自动化分析代码安全风险，并同步编写一键扫描和利用工具，以快速发起大规模攻击。由于开源软件漏洞传播链长、影响范围大、持续时间长，而现代技术环境的相互关联性和复杂性，一处存在漏洞往往会导致被挖掘出更多的漏洞，单一的安全漏洞可能会对多个行业产生广泛的影响。 5.API接口处理不当引发的漏洞难以发现，成为防御突破口 网络安全格局不断演变，Web应用程序编程接口（API）成为网络攻击者的焦点。API促进了不同软件应用程序之间的通信，通过将复杂的应用程序分解为更小的组件，企业借助它将复杂的应用程序拆解为更小的组件，不仅降低了系统的复杂程度，加快了开发进程，还提升了应用程序的可扩展性，伴随而来相较于传统的web应用程序具有更广泛的攻击面。API面临的问题在于，它被许多应用程序和人员使用且调用方式多样，这使其极易成为黑客攻击的主要目标。据相关数据统计，大约有三分之一的API漏洞与授权、身份验证和访问控制有关，API因安全风险敞口引发的漏洞难以发现，且利用成本低，攻击者可在成功利用该类漏洞后，以其作为立足点，逐步挖掘出更多的利用方式。 6.物联网（IoT）漏洞持续增加，其安全风险仍未引起足够重视 在2024年，物联网设备在智能家居、可穿戴设备和工业设备等领域的广泛普及加剧物联网漏洞的发生。许多设备制造商在产品研发过程中，往往优先考虑快速推向市场和用户友好性，而对安全性重视不足。此外，物联网设备种类繁多，这一特性给通用安全解决方案的实施带来了巨大挑战。许多物联网设备的处理能力和内存有限，难以运行强大的安全软件，进而沦为黑客易于攻击的对象。与此同时，物联网设备的互联性质意味着某个设备的漏洞极有可能成为攻击网络中其他设备的突破口。最后，用户行为也起着重要作用,大量用户未及时更改默认密码或更新设备，无疑进一步加大了设备遭受攻击的风险。综上所述，物联网 主动安全 设备的迅速普及、设计中对安全性的忽视、安全资源有限、供应链的复杂性以及用户的疏忽，共同构成了2024年物联网漏洞增加的主要成因。 7.关键基础设施的安全性不足带来诸多隐患，身份识别能力需增强 在2024年，关键设施所面临的网络安全形势愈发严峻，安全性不足的问题不断凸显，由此带来了一系列令人担忧的隐患，其中身份识别能力薄弱更是成为了关键痛点。关键设施犹如国家与社会运转的“中枢神经”，涵盖能源、交通、通信等诸多领域，对保障民众生活、推动经济发展起着不可替代的作用。而在这些关键设施面临的众多安全问题中，身份识别能力不足尤为突出。目前，许多关键设施仍依赖相对简单的用户名与密码组合进行身份验证，这种方式极易被破解。不法分子通过网络钓鱼、暴力破解等手段获取账号密码后，便能轻松冒充合法用户访问系统，实施恶意操作。 2.1新增漏洞趋势 针对Web应用的攻击依然是互联网的主要威胁来源之一，更多的流量入口和更易调用的方式在提高应用开发效率的同时也带来了更复杂的安全问题。2024年新华三漏洞知识库收录Web应用漏洞17665条，较2023年（11739条）增长50.5%。对比2023年和2024年每月Web应用漏洞变化趋势如图5所示： 2.2漏洞分类 黑客普遍会利用Web应用漏洞对网络进行渗透，以达到控制服务器、进入内网、获取大量有价值信息的目的。可以看出2024年Web应用漏洞主要集中在跨站脚本、SQL注入、权限许可和访问控制问题三种类型，占据全部漏洞类型的64%。跨站脚本与注入是Web应用最常见的漏洞，利用跨站脚本漏洞，黑客可以对受害用户进行Cookie窃取、会话劫持、钓鱼欺骗等各种攻击；利用注入漏洞，黑客可能窃取、更改、删除用户数据，或者执行系统命令等，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。权限许可和访问控制相比2024年增幅较大，权限许可与访问控制漏洞是指由于系统或应用程序在权限分配、访问控制策略制定及实施等方面存在缺陷，导致攻击者能够绕过预期的权限限制，非法获取或提升权限，进而访问未授权资源、执行未授权操作。 2.3重点漏洞回顾 主动安全 经典漏洞盘点： ⚫JenkinsCLI任意文件读取漏洞(CVE-2024-23897) Jenkins是一款由Java编写的开源持续集成工具，内置了一个命令行界面（CLI），可从脚本或shell环境访问Jenkins。该漏洞是由于处理CLI命令时，Jenkins使用args4j库解析Jenkins控制器上的命令参数和选项，特定的解析器功能expandAtFiles可将@参数中文件路径的字符替换为文件内容。美国网络安全和基础设施安全局（CISA）已将CVE-2024-23897加入其“已知漏洞利用目录”（CISA KEV），因为勒索软件团伙开始利用该漏洞攻破企业网络并窃取敏感数据。印度上百家中小银行使用的数字支付系统被勒索团伙利用该漏洞实施了勒索攻击而导致服务中断，勒索软件团伙RansomEXX宣称对这次攻击负责，并在其泄露网站上声称，他们从与C-Edge相关的数字支付平台中窃取了142GB的数据。 ⚫JetBrainsTeamCity身份验证绕过漏洞(CVE-2024-27198) JetBrains TeamCity是一款由JetBrains公司开发的持续集成和持续交付（CI/CD）服务器。支持包括Java、C#、C/C++、PL/SQL、Cobol等二十几种编程语言的代码质量管理与检测，提供了强大的功能和工具，旨在帮助开发团队构建、测试和部署软件项目。TeamCity版本2023.11.4之前在TeamCity Web组件中存在身份验证绕过漏洞，可构造恶意URL绕过身份验证检查，从而可以直接访问需要身份验证的端点。远程威胁者可利用该漏洞导致RCE、新建管理员帐户并完全控制易受攻击的TeamCity服务器，并可能进一步利用导致供应链攻击。美国网络安全和基础设施安全局（CISA）也已将CVE-2024-27198添加到“已知漏洞利用目录”（CISA KEV）中。已在野发现多个攻击者利用该漏洞来部署勒索软件、加密货币挖矿程序、Cobalt Strike木马以及Spark RAT的远程访问木马。 ⚫