2023漏洞威胁分析报告

2023漏洞威胁分析报告 2A0N2A3LYVSUILSNREERPAOBRILTITYTHREAT 千里目-深瞳漏洞实验室 引言 漏洞危害程度趋向高危化，未修补的漏洞依然是黑客利用的最主要攻击载体。 在国家级漏洞库披露的漏洞中，高危和超危漏洞占比超过50%，根据已知被利用漏洞（KEV）目录收录标准及近10年已知被漏洞利用情况分析总结，95%以上被利用漏洞是2023年以前漏洞。 2023年0day漏洞利用数量明显攀升，网络安全形势日益严峻。 从2014年到2023年，在野利用的0day数量整体呈上升趋势，近三年在野利用的0day漏洞数量占比为近十年在野利用的0day数量的50%。 热门漏洞逐渐趋向围绕开源软件漏洞。 2023年较为热门的漏洞多数为Apache开源软件，高危的开源软件漏洞危害大，且造成的影响范围更广，更易受到业内的关注。 本次报告将介绍2023年的整体漏洞态势，并从0day漏洞、开源软件漏洞、漏洞治理等三个方向展开谈一谈漏洞未来的演变趋势。 本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深瞳漏洞实验室，目的仅为帮助客户及时了解中国或其他地区漏洞威胁的最新动态和发展，仅供参考。 本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。 录 目 引言 一、安全漏洞态势01 安全漏洞治理情况01 国际安全漏洞治理动向01 我国在安全漏洞管理方面的发展现状概述02 安全漏洞总体情况03 漏洞公开披露情况03 漏洞利用情况05 年度热点漏洞分析07 AtlassianConfluence权限提升漏洞(CVE-2023-22515)07 OracleWebLogicServer远程代码执行漏洞（CVE-2023-21931）10 ApacheActiveMQ远程命令执行漏洞(CVE-2023-46604)13 ApacheOFBiz远程代码执行漏洞(CVE-2023-51467)15 ApacheStruts2文件上传漏洞18 安全漏洞态势小结22 二、0day漏洞趋势分析23 0day漏洞态势分析23 0day漏洞概况23 0day勒索利用24 0day在野利用周期26 0day变体与Nday利用26 攻防场景下的0day漏洞趋势27 攻防场景0day漏洞概况27 攻防场景漏洞攻击手法28 0day猎捕案例29 某帆报表反序列化漏洞29 某安防平台文件上传漏洞32 某户OA远程代码执行漏洞33 0day漏洞趋势小结36 三、开源软件安全趋势分析37 开源软件安全漏洞趋势37 开源软件安全风险39 开源软件漏洞案例40 ApacheActiveMQ远程命令执行漏洞(CVE-2023-46604)40 ApacheStruts2远程代码执行漏洞（CVE-2023-50164）41 libcurlSocks5堆缓冲区溢出漏洞(CVE-2023-38545)41 HTTP/2协议拒绝服务漏洞(CVE-2023-44487)43 开源软件漏洞趋势小结44 四、深信服漏洞防护解决方案45 0day漏洞检测与防护45 虚拟补丁(HIPS)防御47 漏洞修复优先级&知识图谱48 传统漏洞评估的现状48 先进合理的优先级技术48 五、参考链接 未来趋势50 51 安全漏洞态势 安全漏洞治理情况 国际安全漏洞治理动向 （1）美国相关政策强化漏洞共享与治理能力： 美国始终将“协调”与“共享”作为其网络安全战略的核心。2021年5月，拜登政府颁布了旨在打破政府与私营部门间信息壁垒的《改善国家网络安全的行政命令》。美国网络安全与基础设施安全局（CISA）致力于推动漏洞管理的协同工作，通过实施协同漏洞披露（CVD）、漏洞披露策略（VDP）以及发布约束性操作指令（BOD），加强了联邦政府与私营部门之间的合作，确保了对关键基础设施的安全威胁能够及时被发现和有效控制。这些措施显著提高了漏洞资源的共享和共治能力，从而增强了美国在国家层面上的网络安全漏洞管理能力。 （2）CISA发布新战略计划，聚焦关键基础设施脆弱性: 2022年9月，CISA推出了“2023-2025年战略计划”，这是自2018年成立以来的首个全面战略规划。该计划强调了识别对国家安全至关重要的系统和资产的重要性，以及发现并管理关键信息基础设施的脆弱性。其首要任务是构建国家层面的网络攻击防御和恢复能力。CISA将与全球伙伴合作，共同构建国家级的威胁防御体系，以增强对国家级威胁的防御能力。 （3）CISA颁布指令加强漏洞修复，降低被利用风险: 2021年11月，CISA发布了《约束性操作指令（BOD）22-01》，旨在减少已知被利用漏洞（KEV）带来的重大风险。该指令要求所有联邦民事行政部门（FCEB）在规定时间内修复KEV目录中列出的漏洞。CISA鼓励所有相关方将KEV目录中的漏洞纳入其漏洞管理流程，并优先处理这些漏洞，以提高其安全防护和应对能力。 我国在安全漏洞管理方面的发展现状概述 （1）政策出台，强化国家网络安全防护: 我国陆续推出相关政策，旨在确保国家网络安全和网络产品及关键系统的稳定运行。依据《网络安全法》的规定，工业和信息化部、国家互联网信息办公室、公安部联合发布了《网络产品安全漏洞管理规定》。该规定的核心目标是规范漏洞的发现、报告、修补和发布流程，明确网络产品提供者、运营者及漏洞发现和发布相关方的责任与义务，并鼓励各方利用自身技术和机制优势，积极参与漏洞管理工作。 （2）推进《网络产品安全漏洞管理规定》的实施: 我国正从政策宣传、机制完善和平台建设等多个方面，全面推进《网络产品安全漏洞管理规定》的执行。首先，加强政策宣传和指导，为相关企业和机构提供政策咨询，引导漏洞收集平台依法运作。其次，完善相关工作机制，确立漏洞评估、发布和通报的标准流程，并明确漏洞收集平台的备案和报告要求。最后，加强网络安全威胁和漏洞信息共享平台的建设，与国内外其他平台和数据库进行信息共享，提升平台的技术支撑能力。 （3）信创安全建设的深化，推动漏洞管理规范化： 随着信创建设的不断深入，信创安全问题也日益凸显。我国已出台《网络安全法》、《网络产品安全漏洞管理规定》等法律法规，并正在制定相关的信创漏洞国家标准，以推动漏洞管理工作向制度化、规范化和法治化方向发展，提升各责任主体的管理水平，为国家数字化建设打下坚实的安全基础。 安全漏洞总体情况 漏洞公开披露情况 近十年漏洞收录情况 漏洞收录数量逐年增长，超危漏洞占比整体呈上升趋势。 截止2023年11月30日，国家信息安全漏洞库（CNNVD）共收录2023年漏洞信息25748条，近10年漏洞收录情况如下图所示，可以看出，漏洞收录数量逐年增长，超危漏洞占比整体呈上升趋势，超危漏洞占比峰值为2022年（占比16.7%），按照历年收录漏洞数量及超危漏洞占比趋势推测，预计2024年漏洞收录数量和超危漏洞占比将进一步增长。 30000CNNVD近十年漏洞收录情况18.0% 25000 20000 15000 10000 16.0% 14.0% 12.0% 10.0% 8.0% 6.0% 5000 4.0% 02014年2015年2016年2017年2018年2019年2020年2021年2022年2023年0.0% 2.0% 超危占比8.6% 总数 82207735862214671163071783319048208272492125748 9.1% 12.5%15.2%14.3%14.3%13.8%13.1%16.7%15.4% CNNVD近十年漏洞收录情况 漏洞影响对象情况 Web应用漏洞占比逐年上升，应用程序漏洞占比逐年下降。 截至2023年11月30日，根据国家信息安全漏洞共享平台（CNVD）的统计数据显示：在过去五年中，Web应用漏洞的比例持续上升，而应用程序漏洞的比例则稳步下降，如下图所示。同时，网络设备漏洞的比例略有增加，操作系统漏洞的比例则略有减少。 Web应用漏洞的增加主要源于安全意识的不足、输入验证的不当、访问控制的不精确以及编码的不安全性等因素。随着互联网的迅猛发展，Web应用程序的使用变得越来越普遍，这也在一定程度上解释了Web应用漏洞比例的年增长。 另一方面，应用程序漏洞的减少可以归因于应用程序结构的复杂性、新兴技术的持续出现以及编码问题等因素。随着Web应用程序越来越多地取代传统的应用程序，应用程序漏洞的比例也随之降低。 60.0% 50.0% 40.0% 30.0% 20.0% 10.0% 0.0% CNVD近5年漏洞影响对象类型占比情况 2019年 2020年 2021年 操作系统 智能设备 应用程序 Web应用 安全产品 数据库 2022年2023年 网络设备 CNVD近5年漏洞影响对象类型占比情况 漏洞引发威胁情况 从2023年1月至11月的统计数据来看，国家信息安全漏洞共享平台（CNVD）的分析显示，本年度由安全漏洞引发的主要威胁是未经授权的信息泄露，如下图所示。此类泄露事件可能严重侵犯个人隐私，引发财务损失，损害商业信誉，甚至可能触发法律诉讼。此外，敏感信息如秘钥、令牌的泄露可能成为黑客攻击的跳板，使攻击者得以进一步利用这些信息访问受保护的资源或执行未授权操作。 其次是管理员访问权限获取，一旦获得管理员权限，攻击者便能完全控制系统，访问敏感数据、更改系统设置、甚至进行其他恶意活动。 黑客攻击手段通常可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击旨在扰乱系统运行，而破坏性攻击则以入侵系统、盗取机密信息、破坏数据为目的。我国网络攻击以破坏性攻击为主，可能导致系统崩溃、数据丢失、服务中断等严重后果，对受害者造成极大损失。 拒绝服务11.0% 未授权信息修改6.8% 2023年漏洞引发威胁情况 其他0.3%未知0.1% 管理员访问权限获取27.3% 普通用户访问权限获取0.1% 未授权信息泄露54.4% 2023年漏洞引发威胁情况 管理员访问权限获取普通用户访问权限获取未授权信息泄露 未授权信息修改拒绝服务 其他未知 28 43 55 80 81 18 31 34 13 54 25 15 漏洞利用情况 近十年总体情况 近10年，已知被利用漏洞（KEV）目录持续更新，目录当前维护了超过1000个已知被利用漏洞。该目录的收录标准包括漏洞已分配CVE编号、有可靠证据表明该漏洞在真实攻击中已被积极利用、漏洞已有明确的补救措施。 针对已知被利用漏洞（KEV）分析显示，近10年真实漏洞利用数量总体呈现先上升后下降趋势，2021年漏洞利用总数和被勒索软件利用数量分别达到了118个和54个的峰值。2021年以前漏洞利用总数呈上升趋势，2021年后呈下降趋势。CISA将漏洞治理作为重要任务，通过协同漏洞披露、漏洞披露策略、相关约束性操作指令等措施取得了初步成效。 CVE总数 KEV目录近十年漏洞利用情况 被勒索软件利用数量 KEV目录近十年漏洞利用情况 108 131 188 115 109 特别值得注意的是，2021年后被勒索软件利用的漏洞数量也呈下降趋势，这与西方国家开展的打击勒索软件活动密切相关。许多勒索软件事件是攻击者利用已知漏洞实施的，因此漏洞治理的成功对于减少勒索软件攻击具有重要意义。 0 2 7 CVE-2014 CVE-2015 CVE-2016 CVE-2017 CVE-2018 CVE-2019 CVE-2020 CVE-2021 CVE-2022 CVE-2023 被利用漏洞主要厂商及产品情况 通过对已知被利用漏洞（KEV）目录的统计和分析，我们得到各大厂商的漏洞分布及其增长情况，如下图所示。在已知被利用漏洞数量方面，Microsoft以275个漏洞位居榜首，其次是Cisco和Apple，均有68个漏洞。 与202