2023年全网漏洞态势研究报告.docx

2023年1月1日至12月31日期间，奇安信安全监测与响应中心（又称奇安信CERT）共监测到新增漏洞289乃个，较2022年同匕继长10.9%。其中,有7602个高危漏洞触发了人工研判。经研判：本年度值得重点关注的漏洞共793个叫达到奇安信CERT发布安全风险通告标准的漏洞共360个，并对其中109个漏洞进行深度分析也2023年奇安信CERT漏洞库每月新增漏洞信息数量如图1-1所示：2023年每月新增漏洞数量个35003000278425942500C238120882000150010005001月2月3月4月5月6月7月8月9月10月11月12月，、图1-12023年奇安信CERT漏洞库每月新增漏洞信息数量值得注意的是,2023年新增的28975个漏洞中，有715个漏洞在NVD上没有相应的CVE编号,未被国外漏洞库收录，为国产软件漏洞，占比情况如图1-2所示。此类漏洞具有较高威胁,如果被国家背景攻击组织利用彳辐致严重后果。1漏:2漏洞告发布:3.漏洞深度分析报告发布页面：2023年国产软件漏洞占比2.47%国产软件漏洞图1-2国产软件漏洞占比将2023年度新增的28975条漏洞信息根据漏洞威胁类型进行分类总结，如图1-3所示:&图1-3漏洞威胁类型排名其中漏洞数量占比最高的前三种类型分别为：代码执行、信息泄露、拒绝服务。这些类型的漏洞通常很容易被发现、利用，其中代码执行、权限提升等类型的漏洞可以让攻击者完全接管系统、窃取数据或阻止应用程序运行，具有很高的危险性，是安全从业人员的重点关注儒。将2023年度新增的28975条漏洞信息根据漏洞影响厂商进行分类总结，如图1-5所示:开放源代码项目10.58%Google6.9%Microsoft6.63%WordPress3.01%Apple2.76%Adobe2.44%Apache1.73%Jenkins1.68%Cisco1.57%1.inux1.55%图1-5漏洞影响厂商占比其中漏洞数量占比最高的前十家厂商为：开放源代码项目、GooglexMicrosoft.WordPressxApple、Adobe.ApachexJenkinsxCiscoxLinuxoGooglexMicrosoft.APPIe这些厂商漏洞多发,且因为其有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件和应用在企业中被使用的越来越多，关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位，因而获得了安全研究员的重点关注。为了更加有效的管控漏洞导致的风险，奇安信漏洞情报建立了全面的多维漏洞信息整合及属性标定机制，使用"关键漏洞、"在!杯IJ用"、"POC公开、"影响量级"、"Botne超"、"攻击者名辨、"漏洞别名”等标签，标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、EXPloit工具、概念验证代码（PoC）、是否已经有了野利用、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获取对系统控制途径等属性。涵盖的漏洞标签类别如图1-6所示：CubaRansomwareDarkCasinoGraphicaIProtonporkpink一一LEMuRuoO工UniraatphzminerAndariel_C3RB3RstorrHS4UAC57shzrninerAndefierTnCyBearM4RPnmCmPtaagVOidRaMlH)7FARENTSLvtath>11ClcodbnAPT29Looney-TunablesWinterVivernDregmBusULUro3CKH0t11-iyNFXORigatePredator弓艮1.aosTemPniAPT28Terrapinjt¼zrrU-iHICKIftyE*MinlOBIueDeItaMythicCIopDownfoiBlastpascIN7TA-505TA422KinsingMiraiCerberEarthLuscaUNC2970PeachSandstorm1.INC4R41KeptarFiahtmgUrstCitrixBIeedJceFire.ThemeBleedd.itmii.CCTLoCkBit30PLUTONlUMGoTitarAndoryuBotDiamondSleet图16漏洞标签词云图将2023年奇安信CERT人工标记的漏洞，按照标签数量进行分类总结，拥有的标签数量排名前十的漏洞如下表所示：排名漏洞名称漏洞编号RARLABWinRAR代码执行漏洞2 MicrosoftOutlook权限提升漏洞3 ApacheActiveMQ远程代码执行漏洞4 JetBrainsTeamCity身份认证绕过漏洞5 ZohoManageEngineOnPremise多款产品远程代码执行漏洞6 ProgressMOVEitTransferSQL注入漏洞7 BarracudaEmailSecurityGateway远程命令注入漏洞8 PaperCutNG和ME身份认证绕过漏洞9 VeeamBackupfiReplication身份认证绕过漏洞10 TP-LINKArcherAX21标签数量修复建议升级至6. DEL23版本安装补丁升级至安全版本升级至安全版本升级至安全版本升级至安全版本升级至安全版本MF-2- DELl. 74Tk2DEL2l. DEL2. DElJI DEL22DELQDELk TTSK壬NG -20 .DliLl .DIL7D>lL21 D112 DELlL22. DElQ阳.9版本升级至安全版本升级至安全版本代码注入漏洞其中RARLABWinRAR代码执行漏洞(CVE-2023-38831)拥有的标签数量最多为28个，如图1-7所示。其次是MiCroSoftOUtlOok权限提升漏洞(CVE-2023-23397)拥有17个标签，如图1-8所示。排名第三的APaCheACtiVeMQ远程代码执行漏洞(CVE-2023-46604)被标记了15个标签，如图1-9所示。霖洞详情antvaPOclEXP在她班酩包内同名的文件与文件央时代码执行忠犯攻出者锹由®文件与非总意文忤构成的特槛端包文件,泊导受害弄打开此文件向将在受害者机鼐上执彳正意代码.目前就都存在在野利用.己被利用来攻击加也货币林蝴交易论端.IJ决方案。法潮规则IICPE图1-7CVE-2023-38831漏洞标签示例Microsoft0utlk权限提升漏洞(CVE-2023-23397)公开日期I2023-03-14更新B期IX23T2关系利P()C公开EP公开()tb)用相关在苏科用总期IK蚯陇枚书公开十万皴语化技术绢节，利用可能性：或将美型，技术类Sb霖洞详情flffwtt四HXVEXPNicra5Ofl存在奴微提升藏«.未经身蟀证的远检攻击*可以向5HMf发送播幽电刊件,导我受*连明收击IW蜘的外酢”位置.这会将景研的Vt-N三2E力裁露给攻击力.就用攻击力可以将It中维刎另一小服务并作为受声力进行狰臊i£.簿决方案。检测规则IJCPt安”分fta*低图1-8CVE-2023-23397漏洞标签示例公开日期：2023-10-27更新日期：2023-12-2天茂据例Ia公开EP公开AH相关在芳利用盛交任（王肥检国技木相节公开方级就深化演洞洋情flflffllPOGEXP即小足“，M启用受到远程代码执行响的攻击，曲阎可解允许对卜治一员右网络访网权限的远程攻击畲通过提物UiiW议中的你外化类荚现实例化英路径、上的任何类，”可能导的或诳聋.你令.解决方案总渊枕则IICPE3辞分图1-9CVE-2023-46604漏洞标签示例漏洞拥有的攻击者标签越多，与其关联的攻击团伙或者恶意家族就越多，说明漏洞正在被积极利用。从侧面印证了这个漏洞具有较高的可达性和危害性，这样的漏洞已经不仅仅是潜在的威胁，而是具有了较高的现时威胁，漏洞修补时应该放在最高的优先级。根据奇安信CERT的监测数据,2023年漏洞舆论热度榜ToPIo漏洞如下：1Nacos身份认证绕过漏洞QVD-2023-6271高危升级至220.1或以上版本2curlSOCKS5博益出翻CVE-2023-38545高危升级至&4.0及以上版本3MicrosoftWord远程R码执行漏洞CVE-2023-21716同)危安黔卜丁4PowerSheII远程代码执彳瑞洞CVE-2022-41076高危安赛卜丁5泛微E-C。IOgySQL注入漏洞QVD-2023-15672高危升级至10.58及以上版本6FortinetFortiOSSSL-VPN远程代码执行漏洞CVE-2023-27997高危升级至安全版本7ApacheKafkaConnectJNDI注入漏洞CVE-2023-25194高危升级至3.4.0及以上版本8JUmPSerVer未授权访问漏洞CVE-2023-42442高危升级至安全版本9MinIO信息泄露漏洞CVE-2023-28432同)危升级至RELEASE2023-03-20T20-16-18Z及以上版本10泛微e-cology9SQL注入漏洞QVD-2023-5012高危升级至10.56及以上版本在本年度总热度舆论榜前十的漏洞中，热度最高的漏洞为NaCoS身份认证绕过漏洞(QVD-2023-6271)。该漏洞是由于开源服务管理平台NaCoS在默认配置下未对token.SeCret.key进行修改，导致远程攻击者可以绕过密钥认证进入后台，造成系统受控等后果。该系统通常部署在内网，用作服务发现及配置管理，历史上存在多个功能特性导致认证绕过、未授权等漏洞，建议升级至最新版本或修改默认密钥，并禁止公网访问，避免给业务带来安全风险。事件描述谷歌威胁分析小组安全研究团队的成员VIadStOlyarOV和CIMmentLecigne发现了今年影响ChrOme浏览器用户的第八个零日漏洞。Ggle威胁分析小组(ThreatAnalysisGroup,TAG)在2023年12月19日报告，当时已发现针对该漏洞的攻击样本。为了响应该漏洞，Ggle向所有ChrOme用户发布了紧急修复补丁，CVE-2023-702领评为高严重性漏洞，影响ChromeWeb浏览器的开源WebRTC组件，属于堆缓冲区溢出类型。该实时通信组件支持网页内的音频和视频通信,并由大多数现代浏览器部署，任何基于ChromiUm项目的Web浏览器都易策U相同的攻击。谷却是醒WindoWS用户，将ChrOme版本升级至J20.0.6099129或20Q6099.130;1.inUX和macOS用户升