可信网络安全世界 2023年网络空间安全漏洞态势分析研究报告 天融信阿尔法实验室版权所有©天融信保留一切权利1/34 目录 2023年网络空间安全漏洞态势分析研究报告1 第一章前言3 第二章国家漏洞库概况4 2.1漏洞威胁等级统计5 2.2漏洞影响对象类型统计6 2.3漏洞产生原因统计7 2.4漏洞引发威胁统计8 2.5行业漏洞收录统计9 2.6漏洞修复情况统计10 2.7漏洞增长趋势11 第三章在野利用漏洞概况12 3.1漏洞影响厂商分布情况13 3.4漏洞影响平台产品分类14 3.5漏洞类型统计概况15 3.6EXP公开情况统计18 第四章漏洞预警统计情况19 4.1漏洞厂商情况19 4.2漏洞威胁情况20 4.3年度TOP10高危漏洞21 4.4漏洞预警TOP10漏洞回顾23 第五章总结29 5.1安全防护建议30 5.22024年漏洞态势展望32 第一章前言 随着信息技术的迅猛发展和数字化转型的深入推进,网络空间已经成为人们生产、生活、交流不可或缺的重要组成部分。然而,与此同时,网络安全威胁也呈现出前所未有的复杂性和严峻性。安全漏洞,作为网络安全领域的核心问题之一,在这一年中频繁曝光,给全球各地的组织和个人带来了巨大挑战。2023年,网络空间安全漏洞态势呈现出总体数量降低,但影响范围扩大、利用难度降低的趋势。从传统的系统和应用漏洞,到新兴技术如云计算、物联网、车联网、人工智能等领域的安全隐患,各种类型的安全漏洞层出不穷。这些漏洞不仅威胁着网络系统的正常运行和数据安全,更可能对国家安全、社会稳定和经济发展产生深远影响。 近年来,我们目睹了多起重大的网络安全事件。例如,某知名软件公司的操作系统被发现存在严重的远程代码执行漏洞,攻击者利用该漏洞成功入侵了数百万台计算机,窃取了大量敏感信息。又如,某大型云服务提供商因为配置错误导致客户数据泄露,引发了公众对云安全的广泛关注。这些事件再次提醒我们,网络安全无小事,任何一个看似微小的漏洞都可能成为攻击者的突破口。此外,随着物联网设备的普及和智能化进程的加速推进,物联网安全也成为了一个不容忽视的问题。智能家居设备、智能城市基础设施等物联网设备频繁被曝出存在安全漏洞的情况。这些设备一旦被攻击者控制,不仅可能影响用户的正常生活和工作秩序还可能对用户的隐私和安全造成威胁甚至可能被用于发动更大规模的网络攻击。 作为中国领先的网络安全、大数据与云服务提供商,天融信始终以捍卫国家网络空间安全为己任,创新超越,致力于成为民族安全产业的领导者、领先安全技术的创造者和数字时代安全的赋能者。为了更好地了解网络空间安全漏洞的发展趋势,并采取适当的措施应对漏洞威胁,特发布《2023年网络空间安全漏洞态势分析研究报告》。本报告旨在全面梳理和分析2023年网络空间安全漏洞的态势和特点并结合实例剖析典型安全事件的成因和影响以期为政府、企业和个人提供有针对性的防护建议和措施建议共同应对网络安全挑战维护网络空间的安全与稳定。 本报告重点内容共分两个部分,第一部分为2023年漏洞趋势,通过对国家漏洞库及前 100个在野利用漏洞进行综合分析而产生。据CNVD公开数据显示,2022年共披露漏洞 23900枚,2023年共披露漏洞18635枚,同比降低22.03%。这可能表明,在过去一年里,安全运维人员加强了对系统安全的管理,降低了漏洞数量。其中,低危漏洞占5.85%,中危漏洞占46.93%,高危漏洞占47.22%。相对于低危漏洞,中危和高危漏洞的数量要多得多,这也需要安全运维人员提高警惕,加强对中高危漏洞的控制。 第二部分为天融信2023年度高危漏洞预警情况概述,在2023年整个年度中,天融信阿尔法实验室监测发现了上万条漏洞情报,经过情报人员快速研判分析,第一时间预警并处理了多起突发高危漏洞,并根据漏洞的影响范围、影响对象及产生威胁的因素,挑出了排名前十的漏洞。2023年度重点漏洞含MicrosoftWord远程代码执行漏洞、ApacheRocketMQ命令注入漏洞、AtlassianConfluence远程代码执行漏洞、LinuxKernel权限提升漏洞等。天融信第一时间监测到漏洞后,进行了漏洞复现和应急响应处理,并给出临时解决方案,保障了客户网络空间安全。 企业安全部门应该提升网络安全威胁感知能力,建立有效的监测预警体系,并制定应急指挥计划,加强对威胁的发现、监测、预警和应对能力。以便在网络攻击发生时快速作出应对。此外,还需要强化攻击溯源能力,重点建设辅助攻击溯源相关能力(如授权控制、流量记录),使得对网络攻击的溯源工作更加轻松,以便有效地防御和应对来自外部的网络攻击。 天融信阿尔法实验室秉承攻防一体的理念,以保卫国家网络空间安全为己任,在未来的工作中将持续针对网络空间漏洞进行实时侦测,并灵活应对和防护突发漏洞的产生,攻防相结合,为国家及客户安全进行全方位赋能。 第二章国家漏洞库概况 漏洞的统计与评判是评估网络安全情况的一个重要指标,天融信阿尔法实验室参考国家漏洞数据库数据,对2023年披露的漏洞进行了全方位的统计分析,下图是近十年漏洞数量走势图,从这个数据中可以看出,近十年来,CNVD披露的漏洞数量总体呈现上升趋势。尤其是在2018年至2021年之间,漏洞数量大幅增加。2023年来看,漏洞数量出现了持续下降。这种变化可能是网络安全生态系统中各种因素交互作用的结果,可能是由于新的安全技术的采用,也可能是由于黑客行为的调整。这种波动性提示着网络安全领域的不断演 漏洞数量趋势 30000 26558 25000 23900 20248 20000 18635 15479 16079 15000 13064 11508 9124 10301 10000 8168 5000 0 20132014201520162017201820192020202120222023 化和对抗的复杂性。与此同时,我们也不能忽视网络安全仍然面临着多样化和不断变化的威胁,因此需要保持高度警惕,不断创新和完善网络安全防护措施。 图1近十年漏洞数量走势图(数据来自于CNVD) 2.1漏洞威胁等级统计 根据2023年1-12月漏洞引发威胁严重程度统计,其中低危漏洞占5.85%,中危漏洞占46.93%,高危漏洞占47.22%。 2023年收录漏洞威胁级别统计图 低危 5.85% 中危 46.93% 高危 47.22% 0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 图22023年收录漏洞按威胁级别统计(数据来自于CNVD) 分析2022年到2023年漏洞威胁统计的变化,低危漏洞比例的减少虽然降低了一些噪音,但从实际威胁角度来看确实影响较小,因为这些漏洞的潜在威胁相对较低。然而,中危和高危漏洞比例的上升明显突显了网络安全面临的严峻挑战。中高危漏洞往往具有潜在的严重后果,可能导致数据泄露、系统瘫痪或其他更为严重的安全问题。这趋势提示了安全专业人员需要更加紧密地关注和应对中高危漏洞,采取针对性的安全措施和防护策略,以保障组织在面对复杂多变的网络威胁时的稳健性。 2.2漏洞影响对象类型统计 根据2023年1-12月漏洞引发威胁统计,受影响的对象大致可分为八类:分别是WEB应用、应用程序、网络设备、操作系统、智能设备、工业控制、安全产品、数据库、车联网系统。其中WEB应用漏洞52.6%,应用程序漏洞22.8%,网络设备漏洞14.0%,操作系统漏洞3.3%,智能设备漏洞3.2%,工业控制系统漏洞1.7%,安全产品漏洞1.5%,数据库系统漏洞0.7%,车联网系统漏洞0.2%。 2023年漏洞影响对象类型统计图 60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 0.00% 图32023年漏洞影响对象类型统计(数据来自于CNVD) 车联网系统漏洞在今年的统计中首次显现,这反映了新能源汽车的崛起对车联网的推动作用。随着新能源技术的迅速发展,汽车制造商在车辆中集成了更多的智能化和联网功能,以提高能源效率、驾驶体验和车辆管理。然而,这也为安全威胁带来了新的挑战,需要对车联网系统的安全性进行更深入的关注和加强。这一趋势突显了新能源技术不仅在环保和科技创新方面发挥着积极作用,同时也对车辆的数字化和联网化提出了新的安全挑战。 数字化持续地赋能汽车产业,汽车已经从传统的出行工具逐渐演变成了新一代的移动数据中心和互联网服务创新的重要平台,智能网联汽车已成为汽车产业转型升级、交通方式变革、智慧城市建设的重要方向。未来,天融信将持续深耕车联网安全领域,全力构建智能网联汽车产业安全生态体系,为建设交通强国贡献企业力量。 2.3漏洞产生原因统计 根据2023年1-12月漏洞产生原因的统计,设计错误导致的漏洞占比67.6%,屈居首位,紧跟其后的是输入验证错误导致的漏洞占比28.5%,位居第二,接着是边界条件错误导致的漏洞占比2.8%,位居第三。后面的访问验证错误、其他错误、竞争错误、意外情况处理错误、配置错误分别占比0.9%、0.2%、0.1%、0.01%、0.004%、0.004%。 2023年漏洞产生原因统计 80.00% 70.00% 60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 0.00% 图42023年漏洞产生原因统计(数据来自于CNVD) 漏洞的产生原因统计表明,设计错误在导致漏洞的主要原因中居于首位,而这可能反映了在软件开发领域的一种潜在困境。尽管安全开发实践的普及已经在提高,但设计阶段仍然是漏洞频发的根源,这或许意味着在项目早期阶段对于安全性的关注度需要更为强化。此外,输入验证错误紧随其后,揭示了在对用户输入的处理上,一些常见的安全措施可能尚未全面覆盖。这强调了在用户交互方面需要更加深入的安全审查和防范措施。 边界条件错误虽然相对较低,但其出现的频率依然显著,提示着在处理边缘情况时可能存在的漏洞隐患。因此,在开发过程中更加细致入微地考虑输入范围和可能的极端情况是至关重要的。最后,漏洞的根本原因通常与软件开发者对于安全性的认知和培训水平有关,强调了加强安全教育和培训的迫切性,以提高整体开发团队对于潜在风险的敏感性。 2.4漏洞引发威胁统计 根据2023年1-12月漏洞引发威胁统计,未授权的信息泄露占比54.9%居首位,管理员访问权限获取占比27.7%位居第二,拒绝服务占比10.0%位居第三,后面的未授权的信息获取、其他、普通用户权限获取。占比分别是7.1%、0.2%、0.1%。 2023年漏洞引发威胁统计 60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 0.00% 图52023年漏洞引发威胁统计(数据来自于CNVD) 在漏洞引发的威胁统计中,未授权的信息泄露呈现持续增长的趋势,凸显了数字时代企业面临的不断演变的风险。这不仅仅是数据泄露的问题,更是对组织信任和声誉的重大挑战。管理员访问权限获取和拒绝服务攻击的占比虽然相对稳定,但未授权信息泄露的激增表明,攻击者越来越善于利用系统的漏洞,直接侵入和窃取敏感信息。 2023年,随着新一轮科技革命和产业变革的深入发展,中国数据安全产业进入全面快速发展阶段。在数据安全相关机构建设和制度建设日趋完备的“双轮”驱动下,数据安全产业将迎来增长爆发期。天融信作为首批布局数据安全领域的网络安全企业之一,持续探索“数字化安全”新范式,提出了“以数据为中心的安全体系建设”思路,为各行业客户提供体系化的数据安全保障能力。 2023年是天融信数据安全领域硕果累累的一年,在数据安全场景融合、技术创新、人才培养、奖项成果等方面均取得突破,持续为客户提供优质的数据安全产品和服务。 2.5行业漏洞收录统计 根据2023年1-12月行业漏洞统计,2023年一共收录了电信行业漏洞1981枚,移动互联网行业漏洞1690枚。工控行业漏洞422枚。 2023年行业漏洞收录统计 2500 2000 1500 1000 500 0 电信 移