《2023年网络安全漏洞态势报告.docx》由会员分享,可在线阅读,更多相关《2023年网络安全漏洞态势报告.docx(40页珍藏版)》请在优知文库上搜索。
1、HBC数字化解决方案领导者2023年网络安全漏洞态势报告-新华三主动安全系列报告-目录CONTENTS7概述31.1 漏洞增长趋势31.2 攻击总体态势5Web娜丽82.1 新增漏洞趋势82.2 漏洞分类92.3 重点漏洞回顾102.4 攻击态势分析12魂作系统漏洞133.1 新增漏洞趋势133.2 漏洞分类133.3 重点漏洞回顾143.4 攻击态势分析164网络漏洞174.2 漏洞分类1843重点漏洞回顾194.4 攻击态势分析21据库漏洞225.1 新增漏洞趋势225.2 漏洞分类2353重点漏洞回顾245.4 攻击态势分析25系统漏洞266.1 新增漏洞趋势266.2 漏洞分类2763
2、重点漏洞回顾286.4 攻击态势分析297云计算平台漏洞307.1 新增漏洞趋势307.2 漏洞分类3073重点漏洞回顾317.4 攻击态势分析328聘三338.1 触338.2 安会议34382023年网络安全漏洞态势报告新华三安全攻防实验室持续关注国内外网络安全漏洞和态势,协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布2023年网络安全漏洞态势报告。报告开篇概述了2023年漏洞和攻击的总体趋势,正文从Web应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析2023年网络安全领域新增漏洞情况以及演变趋势,希望为各行
3、业网络安全建设者提供参考和帮助。1.1漏洞增长趋势2023年新华三安全攻防实验室漏洞知识库收录的漏洞总数为29039条,比2022年(24892条)增长16.6%,为历史之最。其中超危漏洞4298条,高危漏洞10741条,如图1所示,超危与高危漏洞占比51.8%,如图2所示,高危以上漏洞比2023年增长7.1%o自2017年以来,公开漏洞数量一直在稳步增加,每年增加数量超过10%o图12017-2023年新增漏洞总趋势16035000图22023年不同危险级别漏洞占比1.2攻击总体态势将2023年漏洞按照影响又搀进行统计,Web应用类漏洞占比仍然为第T立,占比40.2%,其次是应用程序、操作系
4、统漏洞,分别占比29.2%、9.1%,如图3所示。应用程序漏洞数量比去年增长60.8%,增幅较大;智能终端(IOT设备)漏洞数量比去年增长64.4%,操作系统、网络设备、云计算、数据库漏洞相比去年漏洞数量有所回落。漏洞数量是危险的一方面,在已披露的漏洞中,有超过7000个漏洞具有概念验证利用代码,超过100个漏洞已经被黑客广泛利用。图32023年漏洞影响对象占比云计算工控数据库网络设备 7.9%应用程序 29.3%WEB应用40.3%将2023年漏洞按照攻击分类进行统计,如图4所示,排名前三的漏洞为跨站脚本、权限许可和访问控制、缓冲区错误,分别占比17.0%,13.4%和11.2%。权限许可口
5、访问控制占比较2022年有大幅提升,权限许可和访问控制漏洞是由于权限限制不正确,或者访问控制设置错误,导致远程攻击者可以绕过身份验证因素或者访问控制设置,达到获取敏感信息,读写任意文件或者权限提升的目的。注入类漏洞,如代码注入、SQL注入、命令注入共占比18.7%,仍然是最突出的漏洞类型。图42023年漏洞攻击分类占比输入验证错误2.6%其他跨站脚本19.5%17.0%目录遍历一2.8%/命令注入,3.5%拒绝服务4.1%跨站请求伪造_/4.42%敏感信息泄露6.4%缓冲区错误11.2%SQLiiA代码注入可7.5%7.8%权限许可和访问控制问题13.4%安全漏洞数量持续增长成为了各行各业不可
6、忽视的挑战,尤其是在工业、金融、交通、国防、医疗和信息技术等领域,安全漏洞的爆发和利用对社会、企业和个人造成了巨大的安全风险。同时,生成式人工智能等一批新技术在带来巨大机遇的同时,也意味着其在安全性上会产生更多挑战。2023年,针对各个领域网络资产的攻击进一步加剧,根据对2023年漏洞及网络攻击进行的观察,我们得出一些结论:1 .漏洞数量持续增长,Oday漏洞利用数量明显增加随着黑客攻击技术的提升和市场化,Oday漏洞的数量和利用呈明显增长趋势,大量攻击团伙利用未公开及厂商未及时修复的漏洞对目标系统进行未授权访问、数据窃取、数据勒索或其他恶意活动,这类漏洞的利用往往具有高度隐秘性和攻击性,使得
7、安全防护和应对的难度进一提高。GoAnywhere今年爆出的CVE-2023-0669漏洞被黑客大规模利用,最早利用该漏洞进行大规模攻击的仍然是Clop勒索软件组织,在最初的一波攻击中就有130家企业受到了影响。由于GoAnywhere是在漏洞被披露可能存在利用的第5天才推出修复程序,这留给了黑客充裕的利用时间,政府、能源、金融、医疗行业多家知名企业成为攻击受害者,也充分题了“零日漏洞+供应链攻击“的可t眨处2 .大量N-Day漏洞被积极利用,Log4j漏洞仍是攻击首要目标2023年涌现出数以万计的新漏洞,但根据相关现网攻击检测数据报告,2023年被用于现网攻击尝试利用次数较多的漏洞反而是过去
8、几年已经披露和修补的N-Day漏洞。这些漏洞通常已经被成熟的工具化,且已有修补补丁。由于现网仍有海量的产品和服务未对这些漏洞进行修补,进而被攻击者趁虚而入;根据统计,2023到IJ用最多的漏洞有APaCheLOgq2远程代码执行漏洞(CVE-2021-44228)、MSl7-010系歹!J漏洞、ApacheStruts2远程代码执行漏洞(CVE20175638)、GNUBash远程命令执行漏洞(CVE-20146271)等。尽管Log4j是一个出现时间已久的漏洞,但在2023年期间仍然是攻击者的首要选择。3 .配置不当引发整体安全风险,身份验证和访问权限管理不当漏洞增加随着互联网的加速发展,企
9、业和组织不断推进内外网业务由线下转向线上,以便于协同及效率提升,业务之间的对接、耦合、互通,使得业务数据大量的产生、传输、交互、公开等。而不同系统、软件和应用程序的默认配置、身份验证和访问权限管理等配置不当问题逐渐成为网络中最易忽视的攻击风险。错误配置可能会导致敏感数据的泄漏,比如未做好严格的权限校验和限制以及未采取严格的加密措施等都会被黑客充分利用。当服务器存在未及时修复的安全漏洞时,错误配置会为攻击者提供突破口,以入侵单个安全控制点作为跳板进一步危及整个系统的安全性。4 .数据泄露与滥用风险涌现,数据泄漏事件创下记录2023年数据泄漏事件还处于高发的态势,根据报告,2021和2022年,全
10、球泄露了惊人的26亿条个人记录,仅2022年一年就泄漏了约15亿条个人记录。2023年创下新的数据泄漏记录,仅2023年前9个月的数据泄露总数就已经比2022年全年总数高出20%o2023年5月,据Emsisoft报道,文件传输服务MOVEit的漏洞已经导致2706个组织遭到(勒索软件)攻击,超过9300万人的个人数据被泄露。2023年10月基因检测提供商23andMe遭遇撞库攻击,导致重大数据泄露,690万用户的数据被泄露。史上最畅销游戏大作GTA5(侠盗猎车手5)的源代码在2023年圣诞夜被泄露,发布者声称此举是为了替近日被宣判永久监视医疗的L叩SUS$黑客组织成员ArionKurtaj复
11、仇,同时也是为了阻止恶意版本的GTA5源代码在网上流传。2023年12月,PayPaI披露其用户账户在大规模撞库攻击中被泄露,攻击者攻破了34942个PayPaI账户。5 .勒索团伙加速高危漏洞武器化利用,勒索攻击高位增长2023年,勒索软件攻击的复杂性和敏捷性快遢是高。根据德国statista网站统计显示,全球高达72%的企业成为攻击受害者,其中包括英国“皇家邮政和美国波音等企业。过往勒索团队常以钓鱼、水坑、Nday等利用手段作为主要的初始载体和入侵手段来部署勒索软件。2023年,勒索团伙攻击方式逐渐升级转变为对关键的零日漏洞加速武器化利用。其中以利用漏洞而闻名的Clop勒索软件组织利用Mo
12、VEit等多个关键的零日漏洞进行了广泛攻击,黑客组织LockBit利用CitrixBleed漏洞(CVE-2023-4966)对金融企业成功实施了攻击,可能窃取、泄露金融和医疗等领域的价值、敏感数据。以LockBit为首的勒索组织通过勒索软件即服务(RaaS),将恶意软件售卖给其他黑客组织,形成攻击产业链,并不断衍生出新变种,导致恶意软件泛滥。勒索攻击形式也逐渐从有组织高烈度转向无序化低烈度,涉及的行业领域更多、破坏性更严重。6 .大语言盥成为攻防双刃剑,其快速演进Jl啕攻防不X播随着人工智能技术的飞速发展,生成式AI狂潮席卷全球,成为了各行各业的新研究热点。在不断对抗发展的网络安全领域,大语
13、言模型不仅成为抵御复杂网络攻击的利器,也已然被攻击者充分利用,不断开发演进新的攻击方式。例如防御方面可以开发和建立自动化威胁检测和安全防护系统等,攻击方面可以用于攻击自动化、智能化社会工程攻击、恶意软件检测规避等。大语言模型的应用极大地降低了攻击利用的门槛,攻击者无需再花费大量时间手动阅读源码、3金正漏洞和构建恶意利用代码,极大提高攻击效率和成功率,使得开发团队和安全团队需要以更快速处置速度应对。7.VR/AR设备漏洞开始显现,以人体感官为中心的设备安全面临挑战网络安全是一个动态的领域,随着技术的进步,各种类型的漏洞与攻击都会被引入。例如,对于VR/AR等新型设备,鉴于内容的潜在不可靠性,VR
14、/AR等增强现实设备可以作为黑客欺骗用户的有效工具,成为社会工程学攻击的一部分。例如,黑客可以通过虚假的标志或画面显示来扭曲用户对现实的看法,在侵入用户的VR/AR设备后,改变用户通过设备看到的场景,这就可能会让他们通过冒充用户认识和信任的实施诈嘛在VisionPro发布后的一天内,其头显系统VisionOS就被发现存在一个内核漏洞。此外,在VisionPro即将登陆美国市场之际,苹果公司发布了一项紧急系统更新。此次VisionOS1.0.2版本的发布距离上一版本的推出仅隔一周,突显了安全问题的紧迫性。此次更新修复了一个WebKit漏洞,该漏洞允许攻击者精心制作恶意网页,一旦VisionPro
15、用户访问这些被感染的网页,攻击者便能在用户设备上执行任意代码,进而控制设备或窃取信息。2Web应用漏洞2.1 新增漏洞趋势针对Web应用的攻击依然是互联网的主要威胁来源之一,更多的流量入口和更易调用的方式在提高应用开发效率的同时也带来了更复杂的安全问题。2023年新华三漏洞知识库收录Web应用漏洞11739条,较2022年(10488条)增长11.9%。对比2022年和2023年每月Web应用漏洞变化趋势如图5所示:图52022与2023年Web应用新增漏洞趋势2.2 漏洞分类黑客普遍会利用Web应用漏洞对网络进行渗透,以达到控制服务器、进入内网、获取大量有价值信息的目的。可以看出2023年Web应用漏洞主要集中在跨站脚本、注入、跨站请求伪造三种类型,占据全部漏洞类型的69%0跨站脚本与注入是Web应用最常见的漏洞,利用跨站脚本漏洞,黑客可以对受害用户进行Cookie窃取、会话劫持、钓鱼欺骗等各种攻击;利用注入漏洞,黑客可能窃取、更改、删除用户数据,或者执行系统命令
免费区 