2024上半年网络安全漏洞态势报告

2024上半年网络安全漏洞态势报告 2024MIDYEARCYBERSECURITYVULNERABILITYTRENDSREPORT 工业和信息化部电子第五研究所软件与系统研究院科研创新部深信服千里目安全技术中心 报告编写工作组 工业和信息化部电子第五研究所： 陈平、李帅、刘茂珍、余果、顾欣、魏光辉、陈俊名、张宇锖、谢梦珊、李颖琪 深信服科技股份有限公司： 周欣、王振兴、安东冉、禹廷婷、辛佳橼、胡屹松、杜笑宇、刘志远 引言 近年来，网络空间安全的战略地位不断提升，网络安全漏洞作为威胁网络安全的根本性因素之一，其重要性日益凸显。随着新兴技术的不断发展，网络架构日益复杂，系统间的互联互通更加紧密，使得网络安全漏洞的形态和利用手段不断演变。在此背景下，深入了解网络安全漏洞的发展态势，把握其演变规律，对于提升网络安全防护能力、构建安全可信的网络环境具有重要意义。 本报告旨在通过网络安全漏洞总体视角，分析漏洞发展态势与流行利用趋势；根据国内外开源软件漏洞发展现状，分析当前开源软件漏洞威胁态势和治理成效;从实际攻防场景出发，分析漏洞利用新趋势。与此同时，随着人工智能技术的快速发展，也为漏洞利用带了新的变化。本报告围绕以上内容开展分析，希望能够为网络安全行业提供有价值的参考，与全行业共同应对日益严峻的网络安全挑战。 声明 本报告由工业和信息化部电子第五研究所软件与系统研究院和深信服科技股份有限公司联合编写。文中漏洞数据来源于CNNVD、NVD等国家级漏洞库和KEV、OSV、GoogleProjectZero项目等行业代表性数据，均明确注明来源，其余数据来源于报告编写团队，目的仅为帮助读者及时了解中国或其他地区漏洞威胁的最新动态和发展，仅供参考。 本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何编制单位的关联机构、附属机构并不因此构成提供任何专业建议或服务。 摘要 2024年漏洞发现和披露速度再次加快，2024年上半年披露漏洞20548个，与23年同期相比增长46.16%。 预计年底收录漏洞数将突破三万个，这预示着今年的网络安全工作不能放松警惕，需要对安全漏洞的防御和 修复投入更多精力。 2024年全球漏洞利用的产品分布方面，操作系统和浏览器0day漏洞数量最多，其中浏览器0day漏洞量整 体占比呈下降趋势；第三方组件的0day漏洞利用量呈上升趋势；针对移动设备的0day漏洞利用手段升级， 其中接近50%被用于执行间谍活动。 2024年典型攻防场景中，以利用逻辑类0day漏洞和传输加密类0day漏洞为主，攻击者以此来隐藏攻击特征， 比以往攻击更具隐蔽性。其中逻辑类漏洞主要包括业务接口漏洞、认证绕过、账密找回、越权访问等类型。 2024年典型攻防场景中，漏洞利用方式从战前储备0day漏洞逐渐向战前储备和后期新挖掘0day为主的方 式转变。这一变化与攻防活动周期拉长有较大关系，也与目标范围逐年扩大存在一定关系。 2024年上半年，披露开源软件漏洞3618个，高危及以上占比超40%。今年仍然需要重点关注由开源软件漏 洞引发的软件供应链安全风险。我国应加快开源软件漏洞治理步伐，抓住市场、人才、技术发展机遇与国际 化合作趋势，建立“政产学研用”一体化协同共治体系，鼓励开源界先试先行。 2024年人工智能已成熟落地应用于未知漏洞猎捕和漏洞优先级排序中。在未知漏洞猎捕方面，基于相似度算 法和AIAgent模式0day漏洞归因定性，可以实现自动化0day猎捕。在漏洞优先级排序(VPT)上，人工智 能结合SSVC决策树模型，能够快速推理决策出需要优先处置的漏洞。 目CON录TENTS 引言摘要 安全漏洞总体态势01 漏洞公开披露情况01 漏洞利用情况02 攻防场景漏洞利用趋势 07 0day漏洞利用情况05 攻防场景下的0day利用情况07 攻防场景下的Nday利用情况09 开源软件漏洞态势 12 攻防场景下的漏洞利用路径11 开源软件漏洞威胁态势12 开源软件漏洞的影响15 国外开源软件漏洞治理工作与成效16 人工智能技术对安全漏洞的影响 18 我国开源软件漏洞治理挑战与机遇17 人工智能技术发展过程对安全漏洞利用的影响18 人工智能产品自身存在的安全漏洞风险20 安全漏洞发展趋势总结与应对措施 24 人工智能技术为安全漏洞防御力提升赋能23 安全漏洞发展趋势总结24 开源软件漏洞治理措施建议25 攻防场景下安全漏洞治理措施建议26 人工智能场景下安全漏洞治理措施建议27 附录参考链接 28 安全漏洞总体态势 漏洞公开披露情况 2014年至2024年，我国国家信息安全漏洞库（CNNVD）和美国国家漏洞库（NVD）漏洞收录情况如图1-1所示，国内外漏洞库收录漏洞数量的变化趋势保持一致。 50000 40000 30000 20000 10000 0 8220 7735 8622 14671 16307 17833 19058 20827 24921 28687 20548 2014年2015年2016年2017年2018年2019年2020年2021年2022年2023年2024年 NVD（个） 2024上半年 图1-1近十年漏洞披露情况 CNNVD（个）2024全年预测趋势 2024年漏洞发现和披露速度再次加快，预测年底收录漏洞数将突破三万个，可见在网络安全工作中，对安全漏洞的防御 和修复需要投入更多精力。截至2024年6月30日，CNNVD共收录2024年漏洞信息20548条，同比2023年漏洞收录数量增加46.16%，收录速率达到近十年最大值。 由于2024年漏洞数量快速增长，美国因预算、流程标准以及合作商等问题导致在NVD漏洞库的治理工作上出现了大量堆积工作和时效性不足的问题。自2024年2月起，美国国家标准与技术研究院（NationalInstituteofStandardsandTechnology，NIST）几乎完全停止了对NVD的信息更新。直至2024年5月，为填补NVD信息空白对美国漏洞治理带来的影响，美国网络安全和基础设施安全局（CybersecurityandInfrastructureSecurityAgency，CISA）宣布启动“漏洞丰富”（Vulnrichment）计划，在Github上开展漏洞分析工作和信息补充工作。 漏洞利用情况 已知被利用漏洞情况 2021年，美国将已知漏洞利用视为影响其国家网络安全的重大风险，建立已知被利用漏洞（KnownExploitedVulnerabilities，KEV）目录以要求美国联邦机构降低已知利用漏洞的重大风险。至此，KEV目录也成为了国际上已知被利用的漏洞的权威来源，为各组织提供漏洞修复优先级提供重要指导。KEV目录的漏洞收录原则有以下三点：漏洞已分配CVE（CommonVulnerabilities&Exposures）编号、有可靠证据表明该漏洞在真实攻击中已被积极利用、漏洞已有明确的补救措施。 KEV目录运营效果明显，有效帮助机构识别重要漏洞，加快了漏洞修复速度，平均提速3.5倍。截至2024年6月30日KEV目录累计已收录漏洞1126个。KEV目录投入运营期间，前两年快速收敛历史漏洞，较好地控制了已知漏洞利用风险。2023年9月，KEV目录收录漏洞数达到1000个，CISA公布其运营效果称该目录对美国政府100多个联邦民用机构的网 络安全产生了明显影响，将暴露45天或更长时间的可利用漏洞的百分比下降了72%。从对全球影响效果来看，2024年5月，美国网络安全机构Bitsight的研究数据表明，在全球140多万个实体（包括公司、学校、地方政府等）对KEV所列漏洞的修复时间中位数为174天，而非KEV所列漏洞的修复时间为621天。KEV目录中列出的漏洞所需的修复时间中位数是非KEV漏洞的3.5倍。 近十年漏洞利用情况 （一）数量趋势 近10年真实漏洞利用数量总体呈现先上升后下降趋势。KEV目录收录漏洞的CVE编号年份进行统计，2021年漏洞被收录数量最多，达到峰值。2021年以前漏洞利用总数呈上升趋势，2021年后呈下降趋势。CISA将统筹漏洞治理作为重要任务，通过协同漏洞披露（CVD）、漏洞披露策略（VDP）、相关约束性操作指令（BOD）等一系列措施的执行，漏洞利用数量于2021年开始下降，美国漏洞治理初见成效。 250 200 150 100 50 191 134 143 82 109 119 29 43 56 81 31 55 36 所CV属E编年份号 0 2014年2015年2016年2017年2018年2019年2020年2021年2022年2023年2024年 2 7 18 34 14 25 26 4 KEV收录漏洞各年披露数量（个） 上半年 图1-2KEV目录中近十年漏洞利用情况 勒索利用漏洞各年披露数量（个） Microsoft Apple Cisco Adobe Google Oracle Apache D-Link VMware Ivanti 截至2024年上半年，KEV目录中已知被勒索软件利用漏洞共228个，其数量变化与整体趋势一致，在2021年达到了峰值。随着全球范围内对勒索软件大型组织的打击，勒索软件整体在漏洞利用上的能力有所减弱，这一变化得益于国际执法机构的协作整治，但勒索软件攻击仍然对企业机构存在着严重威胁。值得注意的是，随着国际执法机构对勒索组织的打击，对其组织运营产生极大影响，为提高攻击效率勒索组织可能会优先考虑使用能够有效提供访问权限的漏洞开展攻击。 2024年8月，美国网络安全和基础设施安全局（CybersecurityandInfrastructureSecurityAgency，CISA）与美国联邦调查局（FederalBureauofInvestigation，FBI）和美国国防部网络犯罪中心（DoDCyberCrimeCenter，DC3）共同发布了一份联合网络安全公告，揭露近期勒索软件组织的攻击活动，其中重点标记了被利用来执行攻击活动的漏洞，这些漏洞主要用于提供攻击的初始访问权限。包括CitrixNetscaler（CVE-2019-19781和CVE-2023-3519）、F5BIG-IP （CVE-2022-1388）、PulseSecure/IvantiVPN（CVE-2024-21887）以及最近的PanOS防火墙（CVE-2024-3400）。其中2个2024年漏洞在其他攻击活动中也频繁被利用。例如俄罗斯网络安全机构卡巴斯基观测到，PulseSecure/IvantiVPN （CVE-2024-21887）在2024年第一季度的APT攻击活动中利用情况排行第二；PanOS防火墙（CVE-2024-3400）漏洞在2024年第二季度的APT攻击活动中利用排行第一。 （二）受影响厂商和产品情况 根据截止到2024上半年KEV目录收录的1126个漏洞分析，受影响厂商排行前十情况如图1-3所示。2024年上半年，KEV目录收录漏洞73个，Microsoft和Google的漏洞最多，其主要受影响产品分别为Windows操作系统和ChromiumV8。 350 300 250 200 150 100 50 0 287 79% 61% 70% 58% 25%75 7120% 67 16% 58 34 23% 32 19% 6% 19 19 17 总数（个） 近三年增长数（个） 图1-3影响厂商排行 增长比例（%） 从全部收录数据来看，Microsoft被利用情况最严重，已知被利用漏洞数量高达287个，其次分别为Apple（75个）、Cisco（71个）、Adobe（67个）、Google（58个）。从增长趋势来看，Apple、Ivanti、Google增长明显，三年间增长60%以上。而Adobe、Oracle、Apache、D-Link等近年来被利用漏洞情况有所缓解