2022年全网漏洞态势研究报告
AI智能总结
核心洞见/2022年度全网漏洞态势研究报告 核COR心EIN洞SIG见HTS 奇安信CERT研究并发布《全网漏洞态势研究2022年度报告》,围绕漏洞监测、漏洞分析与研判、漏洞风险评估与处置等方面,对2022年全年发生的重大安全事件和有现实威胁的关键漏洞进行了盘点和分析。报告研究发现,目前互联网各个领域的漏洞态势,呈现出以下特点: 奇安信将0day、APT相关、发现在野利用、存在公开Exploit/PoC,且漏洞关联软件影响面较大的漏洞定义为“关键漏洞”。2022年标记的关键漏洞仅占新增漏洞总量的3.99%,基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。 部分漏洞在NVD上没有相应的CVE编号,未被国外漏洞库收录,为国产软件漏洞。此类漏洞如果被国家级的对手利用将导致非常严重的后果。 Microsoft、Apple、Oracle这类商业软件漏洞多发,且因为其有节奏的发布安全补丁,为漏洞处置的关注重点。同时,开源软件和应用在企业中越来越多的使用,关注度逐渐攀升。 漏洞拥有的标签越多,与其关联的攻击团伙或者恶意家族就越多,说明漏洞正在被积极利用。从侧面印证了这个漏洞具有较高的可达性和危害性,漏洞修补时应该放在最高的优先级。 有65.26%左右的漏洞在被公开后的6至14天内官方才发布补丁。奇安信将漏洞被公开后、官方发布漏洞补丁前的这段时间称为“漏洞修复窗口期”,这一期间漏洞被成功利用的可能性极大,危害程度最高,企业尤其应该注意这一期间的漏洞管理。 补丁修复不彻底,会导致新的漏洞出现。例如:CVE-2022-41040漏洞是由于官方对CVE-2021-34473漏洞的补丁修复不彻底,导致补丁可以被绕过,从而引发的新漏洞。 高效的企业漏洞管理,需要可靠的漏洞情报。基于漏洞情报的新型漏洞管理模式,能够在企业安全运营过程起到收集器、过滤器和富化器的作用,帮助企业摆脱漏洞处理的泥潭,更加高效的进行漏洞处置和管理。 关键词:漏洞标签、在野利用、补丁修复、漏洞情报深度运营 2022年度全网漏洞态势研究报告 目CATAL录OGUE 第一章2022年度漏洞态势01 1.1年度漏洞处置情况01 1.2漏洞风险等级占比情况02 1.3漏洞威胁类型占比情况03 1.4漏洞影响厂商占比情况04 1.5漏洞标签占比情况 1.6关键漏洞占比情况 1.7漏洞补丁占比情况 05 07 08 第二章2022年度安全大事件10 2.1“Spring4Shell”背景介绍2.2“Spring4Shell”事件描述2.3“Spring4Shell”事件影响 10 10 10 第三章2022年度关键漏洞回顾12 3.10day漏洞回顾12 3.2APT相关漏洞回顾16 3.3在野利用相关漏洞回顾20 3.4其它类别关键漏洞回顾28 第四章奇安信漏洞情报的深度运营40 4.1收集器:多维漏洞信息整合及属性标定40 目录/2022年度全网漏洞态势研究报告 4.2过滤器:准确判定漏洞导致的实际安全风险、及时通知与组织相关漏洞风险、漏洞处理优先级综合性排序 2022年度全网漏洞态势研究报告 43 4.3富化器:包含详细操作步骤的处置措施 49 附录:MicrosoftWindows支持诊断工具(MSDT)远程代码执行漏洞深度分析报告示例 52 第一章2022年度漏洞态势/2022年度全网漏洞态势研究报告 第一章2022年度漏洞态势 1.1年度漏洞处置情况 2022年奇安信CERT的漏洞库新增漏洞信息[1]26,128条[2](24,039条有效漏洞信息在NOX安全监测平台上显示[3]),经NOX安全监测平台筛选后有25,301条敏感信息[4]触发人工研判,其中20,667条漏洞信息达到奇安信CERT的处置标准对其进行初步研判,并对初步研判后较为重要的1,914条漏洞信息进行深入研判。相较于2021年,初步研判的漏洞环比增长873.02%[5],深入研判的漏洞环比增长1.27%。2022年奇安信CERT漏洞库每月新增漏洞信息数量如图1-1所示: 图1-12022年奇安信CERT漏洞库每月新增漏洞信息数量 值得注意的是,2022年新增的24,039条漏洞信息中,有402个漏洞在NVD上没有相应的CVE编号,未被国外漏洞库收录,为国产软件漏洞,占比情况如图1-2所示。此类漏洞具有较高威胁,如果被国家级的对手利用将导致非常严重的后果。 1*奇安信CERT将互联网上包含漏洞相关内容的信息统称为漏洞信息 2*漏洞信息来源包含NVD、CNVD、CNNVD等开源漏洞库,以及各大互联网厂商和安全媒体披露的安全漏洞3*NOX安全监测平台网址:https://nox.qianxin.com/4*敏感信息触发条件由漏洞影响的产品、漏洞热度、可能的影响范围等多个维度综合决定 5*初步研判漏洞较2021年大幅提升,是由于2022年奇安信CERT漏洞库优化了自动化工单处理机制,将漏洞初步研判流程前置,极大程度提高了漏洞处置能力 图1-2国产软件漏洞占比 1.2漏洞风险等级占比情况 奇安信CERT结合CVSS评价标准以及漏洞产生的实际影响将漏洞定级分为极危、高危、中危、低危四种等级,用来评价漏洞不同的影响程度。2022年奇安信CERT研判过的21,034条漏洞信息中,各个等级占比情况如图1-3所示。 图1-3漏洞风险等级占比 第一章2022年度漏洞态势/2022年度全网漏洞态势研究报告 其中,低危漏洞占比2.00%,此类漏洞利用较为复杂或对可用性、机密性、完整性造成的影响较低;中危漏洞占比40.08%,此类漏洞产生的影响介于高危漏洞与低危漏洞之间,可能需要一些复杂的配置或对漏洞成功利用的要求较高;高危漏洞占比57.72%,此类漏洞极大可能造成较严重的影响或攻击成本较低;极危漏洞占比0.20%,此类漏洞无需复杂的技术能力就可以利用,并且对机密性、完整性和可用性的影响极高。 1.3漏洞威胁类型占比情况 将2022年度新增的24,039条漏洞信息根据漏洞威胁类型进行分类总结,如图1-4所示: 图1-4漏洞类型排名 其中漏洞数量占比最高的前十种类型分别为:代码执行、信息泄露、拒绝服务、身份认证绕过、权限提升、安全特性绕过、命令执行、错误的访问控制、跨站脚本攻击。这些类型的漏洞通常很容易被发现、利用,其中代码执行、权限提升等类型的漏洞可以让攻击者完全接管系统、窃取数据或阻止应用程序运行,具有很高的危险性,是安全从业人员的重点关注对象。 1.4漏洞影响厂商占比情况 将2022年度新增的24,039条漏洞信息根据漏洞影响厂商进行分类总结,如图1-5所示: 图1-5漏洞影响厂商占比 其中漏洞数量占比最高的前十家厂商为:Microsoft、Apple、Oracle、Google、开放源代码项目、Cisco、Adobe、Linux、Apache、VMware。Microsoft、Apple、Oracle这类商业软件漏洞多发,且因为其有节奏的发布安全补丁,为漏洞处置的关注重点。开源软件和应用在企业中越来越多的使用,关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位,因而获得了安全研究员更为重点的关注。 第一章2022年度漏洞态势/2022年度全网漏洞态势研究报告 1.5漏洞标签占比情况 为了更加有效的管控漏洞导致的风险,奇安信CERT建立了全面的多维漏洞信息整合及属性标定机制,使用“关键漏洞”、“在野利用”、“POC公开”、“影响万/十万/百万/千万/亿级”、“Botnet类型”、“攻击者名称”、“漏洞别名”等标签标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、Exploit工具、概念验证代码(PoC)、是否已经有了野外利用、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获取对系统控制途径等属性。涵盖的漏洞标签类别如图1-6所示: 图1-6漏洞标签词云图 将2022年奇安信CERT人工标记的977个漏洞,按照标签数量进行分类总结,拥有的标签数量排名前十的漏洞如图1-7所示: 图1-7漏洞标签数量排名 其中MicrosoftWindows支持诊断工具远程代码执行漏洞(CVE-2022-30190)拥有的标签数量最多为19个,如图1-8。其次是AtlassianConfluenceServer及DataCenter远程代码执行漏洞(CVE-2022-26134)拥有18个标签,如图1-9。排名第三和第四的SpringFramework远程代码执行漏洞(CVE-2022-22965)和MicrosoftExchangeServer远程代码执行漏洞(CVE-2022-41082)分别被标记了11个和10个漏洞标签,如图1-10。 第一章2022年度漏洞态势/2022年度全网漏洞态势研究报告 图1-8MicrosoftWindows支持诊断工具远程代码执行漏洞标签示例 图1-9AtlassianConfluenceServer及DataCenter远程代码执行漏洞标签示例 图1-10SpringFramework远程代码执行漏洞和MicrosoftExchangeServer远程代码执行漏洞标签示例 漏洞拥有的标签越多,与其关联的攻击团伙或者恶意家族就越多,说明漏洞正在被积极利用。从侧面印证了这个漏洞具有较高的可达性和危害性,这样的漏洞已经不仅仅是潜在的威胁,而是具有了较高的现时威胁,漏洞修补时应该放在最高的优先级。 1.6关键漏洞占比情况 2022年奇安信CERT漏洞库新增的24,039条漏洞信息中监测到有公开Exploit/PoC漏洞数量为721个、有在野利用漏洞数量为238个、0day漏洞数量为41个、APT相关漏洞数量为33个。奇安信CERT将0day、APT相关、发现在野利用、存在公开Exploit/PoC,且漏洞关联软件影响面较大的漏洞定义为“关键漏洞”。此类漏洞利用代码已在互联网上被公开,或者已经发现在野攻击利用,并且漏洞关联产品具有较大的影响面,因此威胁程度非常高,需要重点关注。2022年共标记关键漏洞960个,仅占新增漏洞总量的3.99%,由此可见,基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。 此外,发现在野利用的238个漏洞中有88个漏洞有公开Exploit,还有近三分之二的在野利用漏洞没有监测到公开的Exploit/PoC,处于私有状态,仅被某些APT组织或者个人使用。关键漏洞利用代码公开情况如图1-11: 图1-11关键漏洞利用代码公开情况 1.7漏洞补丁占比情况 2022年奇安信CERT漏洞库新增的24,039个漏洞中,共有24,027漏洞监测到了官方发布的补丁(已收录在NOX安全监测平台漏洞补丁库中),占新增漏洞总量的99.95%。2022年奇安信CERT漏洞库新增的960个关键漏洞中,共有960个漏洞监测到官方发布了补丁,占新增关键漏洞总量的100%。 根据奇安信CERT漏洞研判情况,从漏洞被公开时间到监测到官方发布漏洞补丁的间隔时间(奇安信CERT将漏洞公开后、官方发布漏洞补丁前的这段时间称为“漏洞修复窗口期”)分布如图1-12所示。有65.26%左右的漏洞在被公开后6至14天内官方才发布补丁,这一期间漏洞被成功利用的可能性极大,危害程度最高,企业尤其应该注意这一期间的漏洞管理。 第一章2022年度漏洞态势/2022年度全网漏洞态势研究报告 图1-12“漏洞修复窗口期”分布情况 第二章2022年度安全大事件 2.1“Spring4Shell”背景介绍 SpringFramework是一个开源应用框架,旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的,具有分层体系结构,允许用户选择组件,同时还为J2EE应用程序开发提供了一个有凝聚力的框架。 自2022年3月29日,SpringFramework远程代码执行漏洞(CVE-2022-22965)在互联网小范围内被公开后,其影响面迅速扩大,国外
