2023年度全网漏洞态势研究报告

漏洞态势 全网漏洞态势研究报告 2023年度报告 2024年1月 关键词：漏洞事件、勒索攻击、关键漏洞、APT相关 主要观点/全网漏洞态势研究报告 主要观点MAINPOINTS 过去一年，奇安信漏洞情报，聚焦国内外新增高危漏洞，迅速响应、权威研判、持续跟踪。已经形成一套完整的漏洞情报供应体系，帮助企业前置漏洞处置流程、及时发现漏洞风险、修复潜在威胁，构建更加完善的安全防护能力。 《2023年全网漏洞态势研究报告》从漏洞视角出发，观察2023年网络安全现状，梳理全年整体漏洞态势、盘点和分析漏洞利用相关的安全事件以及有现实威胁的关键漏洞。核心洞见如下： 2023年公开漏洞的总数持续上升，类型分布与往年类似，导致实际安全风险的漏洞比例并没有增加，我们还是应该通过威胁情报及时发现那些关键漏洞，以最快的速度加以处置。 APT组织利用了不少高端0day漏洞执行高度定向的攻击，甚至在卡巴斯基揭露的三角行动中使用了非常罕见的硬件漏洞。这些漏洞的利用基本上是无法防御的，对于敏感的人员和机构使用可信可追溯的软硬件进行工作必须成为一个认真考虑的选项。 当前定向勒索攻击活动对于政企机构的数据安全构成巨大的威胁，甚至比APT活动更甚，因为勒索攻击会直接影响业务的连续性，造成非常大的外部影响。1day/Nday漏洞的快速利用是黑产活动的最主要渗透入口之一，特别是那些涉及软硬件流行面很广而又利用稳定的场景，几乎必然会被勒索黑产大规模利用，对于影响面大而又稳定的漏洞需要尽早发现尽早修补。 国产软件相关的漏洞在总体漏洞中占比不高，但由于在国内的流行度高，在国内触发的实际威胁非常明显，国产软件中的漏洞挖掘值得投入，政企机构对于所使用的软件系统最好有流程化的漏洞挖掘和分析过程，或者加入补天这样的漏洞众包响应平台，以尽可能地减少严重线上漏洞的威胁。漏洞发现这件事，如果自己不做，并不能阻止网络威胁行为体去做，后果就是自己失陷而不自知。 有50%左右发现在野利用的0day漏洞没有监测到公开的利用代码，处于私有状态，仅被某些APT组织或者个人使用，可能用于高度定向、高价值目标、隐蔽性和供应链等攻击。所以，仅仅通过事后打补丁或采取临时规避措施很难甚至解决大部分问题，组织需要采取综合的安全措施，包括削减攻击面、威胁情报共享、安全意识培训等，以应对这些未公开的漏洞利用。 已知被利用的漏洞中，漏洞从公开到发现在野利用平均时间差为35天，有一半以上的漏洞在被公开后5天之内发现在野利用。显示对于大多数漏洞在公开后的短时间内就会被恶意攻击者发现并开始利用。因此，及时修补漏洞和加强网络安全措施对于保护系统和数据的安全至关重要。 奇安信CERT在2023年推荐必修漏洞共360个，标记了共超过4000个已发现在野利用的漏洞，这些基本是有实际安全威胁的问题，建议客户尽快参考处置建议做好自查及防护，同时通过邮件或加入微信群订阅奇安信的漏洞情报服务随时获取相关更新。 全网漏洞态势研究报告 目录/全网漏洞态势研究报告 目录CATALOGUE 第一章2023年度漏洞态势 一、年度漏洞处置情况 二、漏洞威胁类型占比情况三、漏洞影响厂商占比情况四、漏洞标签占比情况 五、漏洞热度排名TOP10 第二章安全漏洞大事件 一、CVE-2023-70240day漏洞威胁数百万Chrome浏览器用户安全二、CitrixBleed在有限的攻击中被作为零日漏洞滥用 三、威胁行为体正在积极利用F5BIG-IP远程代码执行漏洞 四、思科披露了新的IOSXE零日漏洞，可用于部署恶意软件植入 五、用于传递基于Nim恶意软件诱骗MicrosoftWord文档的武器化零日漏洞六、Apple修复了用于秘密传送间谍软件的零日漏洞 第三章勒索软件攻击中使用的漏洞 一、LockBit勒索软件使用的CitrixBleed漏洞二、Akira勒索的组织使用的Cisco产品漏洞三、勒索软件团伙使用的0day漏洞 四、QlikSense应用程序漏洞 五、IBMAsperaFaspex文件共享软件漏洞六、各类权限提升漏洞 全网漏洞态势研究报告 目录/全网漏洞态势研究报告 第四章关键漏洞回顾 一、0day漏洞回顾 二、APT相关漏洞回顾 三、在野利用相关漏洞回顾四、其它类别关键漏洞回顾 第五章通用处置建议及最佳实践第六章奇安信漏洞情报服务订阅 附录1：2023年APT活动相关漏洞列表 附录2：2023年风险通告（建议必修）漏洞列表 全网漏洞态势研究报告 第一章2023年度漏洞态势/全网漏洞态势研究报告 2023年度漏洞态势 第一章 全网漏洞态势研究报告 一、年度漏洞处置情况 2023年1月1日至12月31日期间，奇安信安全监测与响应中心（又称奇安信CERT）共监测到新增漏洞 28975个，较2022年同比增长10.9%。其中，有7602个高危漏洞触发了人工研判。经研判：本年度值得重点关注的漏洞共793个[1]，达到奇安信CERT发布安全风险通告标准的漏洞共360个[2]，并对其中109个漏洞进行深度分析[3]。2023年奇安信CERT漏洞库每月新增漏洞信息数量如图1-1所示： 28975个 奇安信安全监测与响应中心共监测到新增漏洞 10.9% 较2022年同比增长 7602个 高危漏洞触发了人工研判 793个 本年度值得重点关注的漏洞 360个 达到奇安信CERT发布安全风险通告标准的漏洞 109个 漏洞进行深度分析 单位:个 2023年每月新增漏洞数量 3500 2594 2784 2798 2570 2381 24712412 2165 2075 2301 2277 2088 3000 2500 2000 1500 1000 500 1月2月3月4月5月6月7月8月9月10月11月12月 △图1-12023年奇安信CERT漏洞库每月新增漏洞信息数量 值得注意的是，2023年新增的28975个漏洞中，有715个漏洞在NVD上没有相应的CVE编号，未被国外漏洞库收录，为国产软件漏洞，占比情况如图1-2所示。此类漏洞具有较高威胁，如果被国家背景攻击组织利用将导致严重后果。 1.奇安信漏洞情报页面：https://ti.qianxin.com/vulnerability/list2.漏洞风险通告发布页面：https://ti.qianxin.com/vulnerability/notice-list3.漏洞深度分析报告发布页面：https://ti.qianxin.com/vulnerability/deep-analysis-report 2023年国产软件漏洞占比 2.47% 国产软件漏洞 △图1-2国产软件漏洞占比 二、漏洞威胁类型占比情况 将2023年度新增的28975条漏洞信息根据漏洞威胁类型进行分类总结，如图1-3所示： 14515 5355 3543 1801 1608 1098 987 02000400060008000100002000014000 代码执行信息泄露拒绝服务 身份认证绕过 权限提升安全特性绕过 命令执行 △图1-3漏洞威胁类型排名 其中漏洞数量占比最高的前三种类型分别为：代码执行、信息泄露、拒绝服务。这些类型的漏洞通常很容易被发现、利用，其中代码执行、权限提升等类型的漏洞可以让攻击者完全接管系统、窃取数据或阻止应用程序运行，具有很高的危险性，是安全从业人员的重点关注对象。 三、漏洞影响厂商占比情况 将2023年度新增的28975条漏洞信息根据漏洞影响厂商进行分类总结，如图1-5所示： 其他 61.15% 开放源代码项目10.58% Google6.9% Microsoft6.63% WordPress3.01% Apple2.76% Adobe2.44% Apache1.73% Jenkins1.68% Cisco 1.57% Linux1.55% △图1-5漏洞影响厂商占比 其中漏洞数量占比最高的前十家厂商为：开放源代码项目、Google、Microsoft、WordPress、Apple、Adobe、Apache、Jenkins、Cisco、Linux。Google、Microsoft、Apple这些厂商漏洞多发，且因为其有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件和应用在企业中被使用的越来越多，关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位，因而获得了安全研究员的重点关注。 四、漏洞威胁类型占比情况 为了更加有效的管控漏洞导致的风险，奇安信漏洞情报建立了全面的多维漏洞信息整合及属性标定机制，使用“关键漏洞”、“在野利用”、“POC公开”、“影响量级”、“Botnet类型”、“攻击者名称”、“漏洞别名”等标签，标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、Exploit工具、概念验证代码（PoC）、是否已经有了野外利用、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获取对系统控制途径等属性。涵盖的漏洞标签类别如图1-6所示： △图1-6漏洞标签词云图 将2023年奇安信CERT人工标记的漏洞，按照标签数量进行分类总结，拥有的标签数量排名前十的漏洞如下表所示： 排名漏洞名称 漏洞编号 标签数量 修复建议 2 MicrosoftOutlook 权限提升漏洞 CVE-2023-23397 17 安装补丁 1RARLABWinRAR代码执行漏洞 CVE-2023-3883128 升级至6.DEL23版本 4 JetBrainsTeamCity 身份认证绕过漏洞 CVE-2023-42793 14 升级至安全版本 3ApacheActiveMQ远程代码执行漏洞 CVE-2023-4660415 升级至安全版本 6 ProgressMOVEitTransferSQL 注入漏洞 CVE-2023-34362 13 升级至安全版本 5ZohoManageEngineOnPremise多款产品远程代码执行漏洞 CVE-2022-4796613 升级至安全版本 8 PaperCutNG和MF 身份认证绕过漏洞 CVE-2023-27350 11 MF-20.DEL1．7, 升级至DEL21.DEL2.DEL11,DEL22.DEL0.DEL9、NG-20.DEL1.DEL7,DEL21.DEL2.DEL11, 22.DEL0.DEL9版本 7BarracudaEmailSecurityGateway远程命令注入漏洞 CVE-2023-286812 升级至安全版本 9VeeamBackup&Replication身份认证绕过漏洞 CVE-2023-2753211 升级至安全版本 10 TP-LINKArcherAX21 代码注入漏洞 CVE-2023-1389 11 升级至安全版本 其中RARLABWinRAR代码执行漏洞(CVE-2023-38831)拥有的标签数量最多为28个，如图1-7所示。其次是MicrosoftOutlook权限提升漏洞(CVE-2023-23397)拥有17个标签，如图1-8所示。排名第三的ApacheActiveMQ远程代码执行漏洞(CVE-2023-46604)被标记了15个标签，如图1-9所示。 △图1-7CVE-2023-38831漏洞标签示例 △图1-8CVE-2023-23397漏洞标签示例 △图1-9CVE-2023-46604漏洞标签示例 漏洞拥有的攻击者标签越多，与其关联的攻击团伙或者恶意家族就越多，说明漏洞正在被积极利用。从侧面印证了这个漏洞具有较高的可达性和危害性，这样的漏洞已经不仅仅是潜在的威胁，而是具有了较高的现时威胁，漏洞修补时应该放在最高的优先级。 五、漏洞热度排名TOP10 根据奇安信CERT的监测数据，2023年漏洞舆论热度榜TOP10漏洞如下： 排名 1 漏洞名称 Nacos身份认证绕过漏洞 漏洞编号 QVD-2023-6271 危险等级高危 修复建议 升级至2.2.0.1或以上版本 2