《天融信：2023年網絡空間安全漏洞態勢分析研究報告（34頁）.pdf》由會員分享，可在線閱讀，更多相關《天融信：2023年網絡空間安全漏洞態勢分析研究報告（34頁）.pdf（34頁珍藏版）》請在三個皮匠報告上搜索。

1、 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 1/34 2022023 3 年年網絡空間安全漏洞態勢分析研究網絡空間安全漏洞態勢分析研究報告報告 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 2/34 目錄目錄 2023 年網絡空間安全漏洞態勢分析研究報告.1 第一章 前言.3 第二章 國家漏洞庫概況.4 2.1 漏洞威脅等級統計.5 2.2 漏洞影響對象類型統計.6 2.3 漏洞產生原因統計.7 2.4 漏洞引發威脅統計.8 2.5 行業漏洞收錄統計.9 2.6 漏洞修復情況統計.10 2.7 漏洞增長趨勢.11 第三章 在野利用漏洞概況.1

2、2 3.1 漏洞影響廠商分布情況.13 3.4 漏洞影響平臺產品分類.14 3.5 漏洞類型統計概況.15 3.6 EXP 公開情況統計.18 第四章 漏洞預警統計情況.19 4.1 漏洞廠商情況.19 4.2 漏洞威脅情況.20 4.3 年度 TOP10 高危漏洞.21 4.4 漏洞預警 TOP10 漏洞回顧.23 第五章 總結.29 5.1 安全防護建議.30 5.2 2024 年漏洞態勢展望.32 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 3/34 第一章第一章 前言前言 隨著信息技術的迅猛發展和數字化轉型的深入推進，網絡空間已經成為人們生產、生活、交流不可或

3、缺的重要組成部分。然而，與此同時，網絡安全威脅也呈現出前所未有的復雜性和嚴峻性。安全漏洞，作為網絡安全領域的核心問題之一，在這一年中頻繁曝光，給全球各地的組織和個人帶來了巨大挑戰。2023 年，網絡空間安全漏洞態勢呈現出總體數量降低，但影響范圍擴大、利用難度降低的趨勢。從傳統的系統和應用漏洞，到新興技術如云計算、物聯網、車聯網、人工智能等領域的安全隱患，各種類型的安全漏洞層出不窮。這些漏洞不僅威脅著網絡系統的正常運行和數據安全，更可能對國家安全、社會穩定和經濟發展產生深遠影響。近年來，我們目睹了多起重大的網絡安全事件。例如，某知名軟件公司的操作系統被發現存在嚴重的遠程代碼執行漏洞，攻擊者利用該

4、漏洞成功入侵了數百萬臺計算機，竊取了大量敏感信息。又如，某大型云服務提供商因為配置錯誤導致客戶數據泄露，引發了公眾對云安全的廣泛關注。這些事件再次提醒我們，網絡安全無小事，任何一個看似微小的漏洞都可能成為攻擊者的突破口。此外，隨著物聯網設備的普及和智能化進程的加速推進，物聯網安全也成為了一個不容忽視的問題。智能家居設備、智能城市基礎設施等物聯網設備頻繁被曝出存在安全漏洞的情況。這些設備一旦被攻擊者控制，不僅可能影響用戶的正常生活和工作秩序還可能對用戶的隱私和安全造成威脅甚至可能被用于發動更大規模的網絡攻擊。作為中國領先的網絡安全、大數據與云服務提供商，天融信始終以捍衛國家網絡空間安全為己任，創

5、新超越，致力于成為民族安全產業的領導者、領先安全技術的創造者和數字時代安全的賦能者。為了更好地了解網絡空間安全漏洞的發展趨勢，并采取適當的措施應對漏洞威脅，特發布2023 年網絡空間安全漏洞態勢分析研究報告。本報告旨在全面梳理和分析 2023 年網絡空間安全漏洞的態勢和特點并結合實例剖析典型安全事件的成因和影響以期為政府、企業和個人提供有針對性的防護建議和措施建議共同應對網絡安全挑戰維護網絡空間的安全與穩定。本報告重點內容共分兩個部分，第一部分為 2023 年漏洞趨勢，通過對國家漏洞庫及前100 個在野利用漏洞進行綜合分析而產生。據 CNVD 公開數據顯示，2022 年共披露漏洞 可信網絡 安

6、全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 4/34 23900 枚，2023 年共披露漏洞 18635 枚，同比降低 22.03%。這可能表明，在過去一年里，安全運維人員加強了對系統安全的管理，降低了漏洞數量。其中，低危漏洞占 5.85%，中危漏洞占 46.93%，高危漏洞占 47.22%。相對于低危漏洞，中危和高危漏洞的數量要多得多，這也需要安全運維人員提高警惕，加強對中高危漏洞的控制。第二部分為天融信 2023 年度高危漏洞預警情況概述,在 2023 年整個年度中，天融信阿爾法實驗室監測發現了上萬條漏洞情報，經過情報人員快速研判分析，第一時間預警并處理了多起突發高危漏洞，并

7、根據漏洞的影響范圍、影響對象及產生威脅的因素，挑出了排名前十的漏洞。2023 年度重點漏洞含 Microsoft Word 遠程代碼執行漏洞、Apache RocketMQ 命令注入漏洞、Atlassian Confluence 遠程代碼執行漏洞、Linux Kernel 權限提升漏洞等。天融信第一時間監測到漏洞后，進行了漏洞復現和應急響應處理，并給出臨時解決方案，保障了客戶網絡空間安全。企業安全部門應該提升網絡安全威脅感知能力，建立有效的監測預警體系，并制定應急指揮計劃，加強對威脅的發現、監測、預警和應對能力。以便在網絡攻擊發生時快速作出應對。此外，還需要強化攻擊溯源能力，重點建設輔助攻擊溯

8、源相關能力（如授權控制、流量記錄），使得對網絡攻擊的溯源工作更加輕松，以便有效地防御和應對來自外部的網絡攻擊。天融信阿爾法實驗室秉承攻防一體的理念，以保衛國家網絡空間安全為己任，在未來的工作中將持續針對網絡空間漏洞進行實時偵測，并靈活應對和防護突發漏洞的產生，攻防相結合，為國家及客戶安全進行全方位賦能。第二章第二章 國家國家漏洞庫概況漏洞庫概況 漏洞的統計與評判是評估網絡安全情況的一個重要指標，天融信阿爾法實驗室參考國家漏洞數據庫數據,對 2023 年披露的漏洞進行了全方位的統計分析,下圖是近十年漏洞數量走勢圖，從這個數據中可以看出，近十年來，CNVD 披露的漏洞數量總體呈現上升趨勢。尤其是在

9、 2018 年至 2021 年之間，漏洞數量大幅增加。2023 年來看，漏洞數量出現了持續下降。這種變化可能是網絡安全生態系統中各種因素交互作用的結果，可能是由于新的安全技術的采用，也可能是由于黑客行為的調整。這種波動性提示著網絡安全領域的不斷演 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 5/34 化和對抗的復雜性。與此同時，我們也不能忽視網絡安全仍然面臨著多樣化和不斷變化的威脅，因此需要保持高度警惕，不斷創新和完善網絡安全防護措施。圖 1 近十年漏洞數量走勢圖(數據來自于 CNVD)2.1 2.1 漏洞威脅等級統計漏洞威脅等級統計 根據 2023 年 1-12 月

10、漏洞引發威脅嚴重程度統計，其中低危漏洞占 5.85%，中危漏洞占 46.93%，高危漏洞占 47.22%。1150891248168103011547913064160792024826558239001863505000100001500020000250003000020132014201520162017201820192020202120222023漏洞數量趨勢 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 6/34 圖 2 2023 年收錄漏洞按威脅級別統計(數據來自于 CNVD)分析 2022 年到 2023 年漏洞威脅統計的變化，低危漏洞比例的減少雖然降低

11、了一些噪音，但從實際威脅角度來看確實影響較小，因為這些漏洞的潛在威脅相對較低。然而，中危和高危漏洞比例的上升明顯突顯了網絡安全面臨的嚴峻挑戰。中高危漏洞往往具有潛在的嚴重后果，可能導致數據泄露、系統癱瘓或其他更為嚴重的安全問題。這趨勢提示了安全專業人員需要更加緊密地關注和應對中高危漏洞，采取針對性的安全措施和防護策略，以保障組織在面對復雜多變的網絡威脅時的穩健性。2.2.2 2 漏洞影響對象類型統計漏洞影響對象類型統計 根據 2023 年 1-12 月漏洞引發威脅統計，受影響的對象大致可分為八類：分別是 WEB應用、應用程序、網絡設備、操作系統、智能設備、工業控制、安全產品、數據庫、車聯網系統

12、。其中 WEB 應用漏洞 52.6%，應用程序漏洞 22.8%，網絡設備漏洞 14.0%，操作系統漏洞 3.3%，智能設備漏洞 3.2%，工業控制系統漏洞 1.7%，安全產品漏洞 1.5%，數據庫系統漏洞 0.7%，車聯網系統漏洞 0.2%。47.22%46.93%5.85%0.00%10.00%20.00%30.00%40.00%50.00%高危中危低危2023年收錄漏洞威脅級別統計圖 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 7/34 圖 3 2023 年漏洞影響對象類型統計(數據來自于 CNVD)車聯網系統漏洞在今年的統計中首次顯現，這反映了新能源汽車的崛起對

13、車聯網的推動作用。隨著新能源技術的迅速發展，汽車制造商在車輛中集成了更多的智能化和聯網功能，以提高能源效率、駕駛體驗和車輛管理。然而，這也為安全威脅帶來了新的挑戰，需要對車聯網系統的安全性進行更深入的關注和加強。這一趨勢突顯了新能源技術不僅在環保和科技創新方面發揮著積極作用，同時也對車輛的數字化和聯網化提出了新的安全挑戰。數字化持續地賦能汽車產業，汽車已經從傳統的出行工具逐漸演變成了新一代的移動數據中心和互聯網服務創新的重要平臺，智能網聯汽車已成為汽車產業轉型升級、交通方式變革、智慧城市建設的重要方向。未來，天融信將持續深耕車聯網安全領域，全力構建智能網聯汽車產業安全生態體系，為建設交通強國貢

14、獻企業力量。2.2.3 3 漏洞產生原因統計漏洞產生原因統計 根據 2023 年 1-12 月漏洞產生原因的統計，設計錯誤導致的漏洞占比 67.6%，屈居首位，緊跟其后的是輸入驗證錯誤導致的漏洞占比 28.5%，位居第二，接著是邊界條件錯誤導致的漏洞占比 2.8%，位居第三。后面的訪問驗證錯誤、其他錯誤、競爭錯誤、意外情況處理錯誤、配置錯誤分別占比 0.9%、0.2%、0.1%、0.01%、0.004%、0.004%。0.00%10.00%20.00%30.00%40.00%50.00%60.00%2023年漏洞影響對象類型統計圖 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一

15、切權利 8/34 圖 4 2023 年漏洞產生原因統計（數據來自于 CNVD）漏洞的產生原因統計表明，設計錯誤在導致漏洞的主要原因中居于首位，而這可能反映了在軟件開發領域的一種潛在困境。盡管安全開發實踐的普及已經在提高，但設計階段仍然是漏洞頻發的根源，這或許意味著在項目早期階段對于安全性的關注度需要更為強化。此外，輸入驗證錯誤緊隨其后，揭示了在對用戶輸入的處理上，一些常見的安全措施可能尚未全面覆蓋。這強調了在用戶交互方面需要更加深入的安全審查和防范措施。邊界條件錯誤雖然相對較低，但其出現的頻率依然顯著，提示著在處理邊緣情況時可能存在的漏洞隱患。因此，在開發過程中更加細致入微地考慮輸入范圍和可能

16、的極端情況是至關重要的。最后，漏洞的根本原因通常與軟件開發者對于安全性的認知和培訓水平有關，強調了加強安全教育和培訓的迫切性，以提高整體開發團隊對于潛在風險的敏感性。2.2.4 4 漏洞引發威脅統計漏洞引發威脅統計 根據 2023 年 1-12 月漏洞引發威脅統計，未授權的信息泄露占比 54.9%居首位，管理員訪問權限獲取占比 27.7%位居第二，拒絕服務占比 10.0%位居第三，后面的未授權的信息獲取、其他、普通用戶權限獲取。占比分別是 7.1%、0.2%、0.1%。0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%2023年漏洞產生原

17、因統計 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 9/34 圖 5 2023 年漏洞引發威脅統計（數據來自于 CNVD）在漏洞引發的威脅統計中，未授權的信息泄露呈現持續增長的趨勢，凸顯了數字時代企業面臨的不斷演變的風險。這不僅僅是數據泄露的問題，更是對組織信任和聲譽的重大挑戰。管理員訪問權限獲取和拒絕服務攻擊的占比雖然相對穩定，但未授權信息泄露的激增表明，攻擊者越來越善于利用系統的漏洞，直接侵入和竊取敏感信息。2023 年，隨著新一輪科技革命和產業變革的深入發展，中國數據安全產業進入全面快速發展階段。在數據安全相關機構建設和制度建設日趨完備的“雙輪”驅動下，數據安全

18、產業將迎來增長爆發期。天融信作為首批布局數據安全領域的網絡安全企業之一，持續探索“數字化安全”新范式，提出了“以數據為中心的安全體系建設”思路，為各行業客戶提供體系化的數據安全保障能力。2023 年是天融信數據安全領域碩果累累的一年，在數據安全場景融合、技術創新、人才培養、獎項成果等方面均取得突破，持續為客戶提供優質的數據安全產品和服務。2.2.5 5 行業漏洞收錄行業漏洞收錄統計統計 根據 2023 年 1-12 月行業漏洞統計，2023 年一共收錄了電信行業漏洞 1981 枚，移動互聯網行業漏洞 1690 枚。工控行業漏洞 422 枚。0.00%10.00%20.00%30.00%40.0

19、0%50.00%60.00%2023年漏洞引發威脅統計 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 10/34 圖 6 2023 年行業漏洞收錄統計（數據來自 CNVD）統計顯示電信行業和移動互聯網行業的漏洞數量相對較高，可能與其復雜的技術體系、龐大的用戶基礎以及信息流量大等因素有關。表明這兩個行業需要更加關注和加強網絡安全措施，以確保用戶數據和通信的安全性。相比之下，工控行業的漏洞數量較少，這可能是因為工控系統的設備環境和架構較為特殊，使得挖掘漏洞的難度較大。但這也意味著，一旦有人開始關注并挖掘工控系統的漏洞，可能會發現大量的未公開漏洞。隨著工業 4.0的到來，工業

20、控制系統與互聯網的連接越來越緊密，這使得工控系統面臨著前所未有的網絡安全風險。因此，盡管目前工控行業的漏洞數量較少，但我們仍不能對此掉以輕心，需要加強對工控系統的網絡安全防護，以防止可能的網絡攻擊。2.2.6 6 漏洞漏洞修復情況統計修復情況統計 根據 2023 年 1-12 月漏洞修復情況統計，漏洞數量排名前列的廠商與其修復數量如下圖，其中 Oracle、Apple、IBM、Qualcomm、Cisco、Siemens、Dell、ArubaNetworks、NVIDIA 漏洞修復率均為 100%，其余廠商中 Microsoft、Intel、Adobe、Samsung、Google、Linux

21、、WordPress、Fortinet 漏洞修復率分別為 99.91%、99.63%、99.44%、98.54%、98.29%、96.15%、91.74%、81.63%。05001000150020002500電信移動互聯網工控2023年行業漏洞收錄統計2023 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 11/34 圖 7 2023 年漏洞修復情況統計（數據來自 CNNVD）數據表明大部分廠商在漏洞修復方面表現良好，特別是行業領軍企業如 Oracle、Apple、IBM，取得了 100%的修復率，顯示了它們對安全性的高度重視。然而，一些知名科技公司仍有提升空間，尤其

22、是在龐大的軟件生態系統中漏洞修復較為復雜的情況下。開源項目的漏洞修復率普遍較低，強調建立高效的協作機制的重要性?？傮w來說，漏洞管理需要全面戰略和協同努力，包括不斷改進流程、強化安全文化，以確保數字生態系統的可持續安全性。2.2.7 7 漏洞增長趨勢漏洞增長趨勢 通過 CNVD 漏洞信息庫對 2022、2023 漏洞公開數據顯示，2022 年一共披露漏洞 23900枚，2023 年一共披露漏洞 18635 枚。同比減少 22.03%，2022 年高危漏洞 8379 枚，2023 年高危漏洞 8800 枚，同比 2022 年增加 5.02%，2022 年中危漏洞 12862 枚，2023 年中危漏

23、洞8745 枚，同比 2022 年減少 32.01%，2022 年低危漏洞 2659 枚，2023 年低危漏洞 1090 枚，同比 2022 年減少 59.01%。0500100015002000250030003500400045002023年漏洞修復情況統計漏洞數量修復數量 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 12/34 圖 8 2023 年漏洞增長趨勢統計（數據來自 CNVD）根據這份數據我們可以看出，高危漏洞在 2022 年至 2023 年有所增加，這可能表明一些安全威脅更加專注于尋找和利用高危漏洞，需要更加緊密的關注。與此同時，中危漏洞數量在這兩年之

24、間發生顯著變化，呈現下降趨勢。這可能反映了在中危漏洞修復和應對方面，安全社區和企業采取了一些有效的措施。然而，低危漏洞減少的幅度更大，這可能表明對低危威脅的關注度相對較低，或者安全團隊更加專注于更為嚴重的漏洞的修復和預防。這些趨勢強調了動態性和復雜性的漏洞管理，企業需要根據漏洞的特性和威脅情報的變化來靈活調整安全策略。及時修復高危漏洞、注重中危漏洞的防范，以及全面的風險評估將有助于提高整體的安全性。第三章第三章 在野利用在野利用漏洞概況漏洞概況 通過對全網漏洞數據的分析統計,我們篩選了 2023 的前 100 個在野利用漏洞進行統計分析。此次統計分析主要從漏洞所影響廠商、影響平臺產品、漏洞類型

25、以及 EXP 公開情況等 4 個方面展開。結果顯示，漏洞影響廠商前三名分別是 Microsoft、Google 及 Apple。從影響的平臺產品進行統計，受影響的平臺大致可分為五類:分別是操作系統、瀏覽器、固02000400060008000100001200014000高危中危低危2023年漏洞增長趨勢統計20222023 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 13/34 件、軟件平臺、服務器平臺其他平臺。其中操作系統 31%，占據首位。由此可見漏洞依然集中在主流操作系統中。在前 100 個在野利用漏洞中大約有 55%存在未公開 EXP，表明漏洞出現后并不會第

26、一時間發生大規模利用，這就給相關企業留出了一定的緩沖空間。在面臨高危漏洞的威脅信息時，需要有一個有效的應急響應計劃。包括制定漏洞應急響應流程，建立漏洞應急團隊，以及定期進行應急響應的測試和訓練，及時防止漏洞帶來的各項損失。從漏洞類型來看，緩沖區溢出、輸入驗證不當、OS 命令注入是當前網絡安全形勢下最為嚴峻的威脅。由于許多漏洞可能是由于人為錯誤而引起的，因此提高員工的安全意識和教育是非常重要的。包括定期進行安全培訓，提供安全指南，以及定期進行安全檢查和測試。具體統計分析結果如下:3.1 3.1 漏洞影響廠商分布情況漏洞影響廠商分布情況 根據 2023 在野利用漏洞前 100 例所影響的廠商情況進

27、行統計，前三名分別是Microsoft、Google、Apple。其中 Microsoft 的產品占比達到 17.00%，Google 的產品占到8.00%，Apple 的產品共占 6.00%。圖 9 漏洞廠商分布圖(數據來自于 cybersecurity-help)17%8%6%5%4%4%4%52%0102030405060MicrosoftGoogleAppleJuniper NetworksApache FoundationCiscoCitrx其他漏洞廠商分布圖 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 14/34 數據表明微軟（Microsoft）受到了最

28、大影響，其個數遠超過了其他的公司，因為微軟的產品、尤其是操作系統，在全球范圍內廣泛使用，意味著大量的用戶可能被這些安全漏洞影響。谷歌和蘋果分別緊隨其后，對于這兩家公司，盡管披露的數量沒有微軟那么高，但是由于其在移動設備和互聯網服務領域的廣泛應用，這些安全漏洞依然可能對大量的用戶造成影響。此外，Juniper Networks、Apache Foundation、Cisco 等在網絡和基礎設施領域的公司也受到了一定程度的影響，強調了整個供應鏈安全的緊迫性。3.4 3.4 漏洞影響漏洞影響平臺產品平臺產品分類分類 根據 2023 在野利用漏洞前 100 例所影響的平臺產品情況進行統計，受影響的平臺

29、產品大致可分為五類：分別是操作系統、瀏覽器、固件、軟件平臺、服務器平臺其他平臺。其中操作系統 31%、瀏覽器 6%、固件 6%、軟件平臺 6%、服務器平臺 4%、其他平臺 47%。圖 10 TOP100 漏洞平臺分類(數據來自于 cybersecurity-help)2023 年的漏洞利用趨勢顯示，網絡安全面臨著多樣化的挑戰。首先，47%的受影響平臺歸屬于“其他平臺”，可能包括一些不太常見或專業化的系統或應用，為此我們需要更加關注這些較為邊緣的平臺，強調對綜合性網絡安全策略的需求。在漏洞攻擊中，操作系統依然是最主要的受害者，占據了 31%的影響比例。因為大多31%6%6%6%4%47%0%10

30、%20%30%40%50%操作系統瀏覽器固件軟件平臺服務器平臺其他平臺TOP100 漏洞影響平臺分類 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 15/34 數計算設備都依賴于某種操作系統，使其成為黑客攻擊的首要目標。相比之下，瀏覽器和固件的受影響比例較低，或許是因為瀏覽器廣泛采用沙箱技術，而固件在安全性方面的改進也在一定程度上提高了防護水平。此外，軟件平臺和服務器平臺的影響程度相似，盡管相對較小，但這可能暗示著一些特定的軟件和服務器平臺在漏洞方面存在相似的風險。這強調了對這些關鍵基礎設施的持續關注和強化安全措施的必要性。3.5 3.5 漏洞類型統計概況漏洞類型統計概

31、況 根據 2023 在野利用漏洞前 100 例漏洞類型情況進行統計，其中緩沖區溢出（CWE-119）占比最多，以 13%位居首位，而輸入驗證不當（CWE-20）占比 10%、OS 命令注入（CWE-78）占比 8%、信息泄露（CWE-200）占比 6%、路徑遍歷（CWE-22）占比 5%、堆溢出（CWE-122）占比 5%、身份驗證繞過（CWE-287）占比 5%、任意文件上傳（CWE-434）占比 4%，其他類型占比 44%。13%10%8%6%5%5%5%4%44%01020304050緩沖區溢出輸入驗證不當OS命令注入信息泄露路徑遍歷堆溢出身份驗證繞過任意文件上傳其他TOP100漏洞類型

32、統計 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 16/34 圖 11 TOP100 漏洞類型統計概況(數據來自于 cybersecurity-help)根據 2023 年在野利用漏洞的統計分析，緩沖區溢出被確認為最常見的安全漏洞類型，反映出在軟件開發中對數據管理和存儲控制的不足，如果沒有正確控制緩沖區大小，可能導致惡意代碼被執行。緊隨其后的是輸入驗證不當和命令注入，顯示了在處理用戶輸入和系統命令執行時的安全防護措施仍有改進空間。信息泄露、路徑遍歷、堆溢出、身份驗證繞過和任意文件上傳等漏洞也相當顯著，揭示了在數據保護、訪問控制、內存管理和用戶身份驗證等方面存在的安全隱

33、患。此外，其他各類漏洞占據了較大比例，強調了網絡安全威脅的多樣性和復雜性。這些統計強調了在各個層面加強網絡安全防御和管理的重要性，包括提升安全編碼實踐、強化配置管理以及提高用戶的安全意識。根據 MITRE 今年通過對公開可用的國家漏洞數據庫中 43996 項數據調研分析得出的CWE TOP 25 排名如下。排名排名 IDID 名稱名稱 分數分數 與與 2022022 2 年排名相比年排名相比 1 CWE-787 越界寫入 63.72 0 2 CWE-79 跨站腳本 45.54 0 3 CWE-89 SQL 注入 34.27 0 4 CWE-416 Use-After-Free 16.71 3

34、5 CWE-78 OS 命令注入 15.65 1 6 CWE-20 輸入驗證不當 15.5-2 7 CWE-125 越界讀取 14.6-2 8 CWE-22 路徑遍歷 14.11 0 9 CWE-352 跨站請求偽造(CSRF)11.73 0 10 CWE-434 危險文件上傳 10.41 0 11 CWE-862 缺少授權 6.9 5 12 CWE-476 NULL 指針解引用 6.59-1 13 CWE-287 身份驗證不當 6.39 1 14 CWE-190 整數溢出 5.89-1 15 CWE-502 反序列化 5.56-3 16 CWE-77 命令注入 4.95 1 17 CWE-1

35、19 緩沖區溢出 4.75 2 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 17/34 18 CWE-798 使用硬編碼憑證 4.57-3 19 CWE-918 服務器端請求偽造(SSRF)4.56 2 20 CWE-306 缺少關鍵功能的身份驗證 3.78-2 21 CWE-362 競爭條件 3.53 1 22 CWE-269 權限管理不當 3.31 7 23 CWE-94 代碼注入 3.3 2 24 CWE-863 授權錯誤 3.16 4 25 CWE-276 不正確的默認權限 3.16-5 表 1 CVE TOP 25 排名(數據來自于 MITRE)與過去幾年一

36、樣，CWE 團隊在分析今年的變化時指出，前 25 名的漏洞越來越多地轉向內存安全、權限管理和訪問控制，在今年的漏洞排行榜上，有幾種漏洞類型的排名與去年有所變化，其中有的完全消失或是首次進入前 25 名。排名大幅提升的漏洞有：排名大幅提升的漏洞有：（1）CWE-416（Use-After-Free）：從第 7 名提升到第 4 名；（2）CWE-862（缺少授權）：從第 16 名提升到第 11 名；（3）CWE-269（權限管理不當）：從第 29 名提升到第 22 名；（4）CWE-863（授權錯誤）：從第 28 名提升到第 24 名；排名大幅下降的漏洞有：排名大幅下降的漏洞有：（1）CWE-50

37、2（反序列化）：從第 12 名下降到第 15 名；（2）CWE-798（使用硬編碼憑證）：從第 15 名下降到第 18 名；（3）CWE-276（不正確的默認權限）：從第 20 名下降到第 25 名；Top 25Top 25 中的新入圍的漏洞有：中的新入圍的漏洞有：（1）CWE-269（權限管理不當）：從第 29 名上升到第 22 名；（2）CWE-863（授權錯誤）：從第 28 名上升到第 24 名；可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 18/34 從從 Top 25Top 25 中落選的漏洞有：中落選的漏洞有：（1）CWE-400（不受控制的資源消耗）：從第

38、 23 名降至第 37 名；（2）CWE-611（XML 外部實體引用限制不當）：從第 24 名降至第 28 名；3.6 3.6 EXPEXP 公開情況統計公開情況統計 根據 2023 在野利用漏洞前 100 例 EXP 公開情況進行統計，其中未公開 EXP 稍多，占比55%，公開 EXP 的為 45%。圖 12 TOP100 EXP 公開情況概況(數據來自于 cybersecurity-help)盡管許多公司和研究人員致力于揭示和解決漏洞，但數據表明仍有相當一部分漏洞沒有得到公開，這可能會給系統安全帶來潛在的威脅。這種現象可能源于多種原因，例如，某些漏洞可能涉及商業秘密，或者由于種種原因，開

39、發人員選擇不公開這些漏洞。此外，有些漏洞可能被惡意攻擊者利用，他們可能會選擇不公開這些漏洞，以便在暗網上出售或共享，從而獲取非法利益。另一方面，公開的漏洞通常是因為已經被發現并報告給了相關的軟件供應商或硬件制造商，隨后發布了相應的安全更新來修復這些漏洞?？偟膩碚f，盡管公開的漏洞數量較少，45%55%TOP100 EXP 公開情況概況公開未公開 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 19/34 但這并不意味著這些漏洞的威脅較小。相反，由于這些漏洞已經被公開，開發人員和安全專家可以利用這些信息來加強安全措施，防止這些漏洞被惡意利用。第四章第四章 漏洞預警統計情況漏洞

40、預警統計情況 2023 年，天融信阿爾法實驗室通過漏洞監測系統共監測發現各類漏洞信息 35762 條，經過漏洞監測系統自動智能篩選后留存高危漏洞信息 361 條，經過人工專家進一步研判后，最終發布了 45 條高危漏洞風險提示通告。涉及眾多廠商的軟件產品，由漏洞引發的安全威脅也多種多樣，統計結果顯示，主流操作系統是漏洞高發產品。2023 年針對 Microsoft 廠商漏洞預警次數達 14 次，其中 Windows 系統的漏洞占大多數。2023 年預警的漏洞中，遠程代碼執行漏洞在漏洞類別中的顯著占比，達到 69%。這一類漏洞一直都是 APT 攻擊者的重要方向和攻擊武器，攻擊者利用這類漏洞可以遠程

41、執行任意代碼或者指令，有些漏洞甚至無需用戶交互，這使得他們能夠在未被察覺的情況下滲透目標系統并潛伏其中。對目標網絡和信息系統造成嚴重影響。具體預警統計分析情況如下:4.1 4.1 漏洞廠商情況漏洞廠商情況 在 2023 年內發布的 45 條漏洞通告內所涉及到的知名廠商中，針對 Microsoft 廠商漏洞預警次數最多，為 14 次，占比約 31%，針對 Apache 的為 5 次，占比 11%，第二名。31%2%2%2%2%7%2%2%4%9%2%112%2%4%2%2%4%2%2%2023年漏洞預警廠商情況微軟VmwareAdobeWebSphereJoomla泛微Spring Framew

42、orkMinIOChrome 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 20/34 圖 13 2023 年漏洞預警廠商情況 從整體情況來看，漏洞通告中涉及眾多廠商的產品，微軟毫無疑問是這些廠商里面影響力最大的，也正是因為影響力大、使用范圍廣泛、使用數量眾多才會被攻擊者高度關注重視，如果攻擊者找到微軟產品的漏洞，就能獲得更多的目標、更大的攻擊范圍，由于微軟產品的復雜性和功能豐富性，使其可能存在潛在漏洞，還有一些早期版本的產品在設計上存在的安全漏洞可能會延續到后續版本中，攻擊者更傾向于專門研究微軟產品的漏洞，以尋找潛在的攻擊機會，并利用這些漏洞來實施網絡攻擊。同時微軟也

43、非常重視自身產品的安全性，依靠安全響應團隊監測和應對新的安全威脅，同時通過定期發布安全補丁和更新，以修復產品的漏洞和安全隱患，幫助用戶保持系統的安全性。同時，對于使用微軟產品的組織或者個人來說，定期更新操作系統和應用程序軟件，同時保護自己的個人信息，也應當加強對相關安全知識的學習和掌握，以便在使用過程中盡早發現和處理問題。眾多廠商的產品出現安全漏洞通常是由于多種原因造成的。產品的復雜性使得漏洞更容易隱藏在代碼中，難以被完全發現和修復。此外，產品需要連接到網絡或其他設備，增加了受到攻擊的可能性。設計缺陷、用戶輸入和管理問題也可能導致安全漏洞的產生。人為因素和人為錯誤也是安全威脅的常見來源。國內的

44、安全愛好者也會特別關注國產的內容管理系統（CMS）和辦公自動化（OA）軟件，因為這些軟件在企業和政府機構中廣泛使用。這些系統涉及大量敏感信息和數據，如客戶數據、財務信息等。一旦這些軟件遭受攻擊或泄露，可能會對企業和用戶造成嚴重損失。此外，關注國產軟件的安全性也有助于提升國內軟件安全水平，促進本土軟件產業的發展和創新。4.2 4.2 漏洞威脅情況漏洞威脅情況 在 2023 年發布的 45 條漏洞通告中，所通告的漏洞可分為 9 大類，分別是遠程代碼執行漏洞、權限提升漏洞、文件上傳漏洞、認證繞過漏洞、SQL 注入漏洞、敏感信息泄露漏洞、任意文件讀取漏洞、命令注入漏洞、緩沖區溢出漏洞，其中遠程代碼執行

45、漏洞占比69%，位于首位，權限提升漏洞、文件上傳漏洞、認證繞過漏洞占比 7%，并列位于第二位?？尚啪W絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 21/34 圖 14 2023 年預警漏洞威脅情況 由此可見，隨著網絡安全技術的發展，攻擊者們越來越傾向于利用代碼執行漏洞來獲取服務器權限，進而實現攻擊目的。其次是權限提升漏洞、認證驗證繞過漏洞和文件上傳漏洞，權限提升漏洞允許攻擊者在沒有正確授權的情況下獲得系統或軟件的高級權限，可能導致數據泄露或其他嚴重后果。認證驗證繞過漏洞可以讓攻擊者繞過身份驗證機制，獲取未授權的訪問權限。文件上傳漏洞可以讓攻擊者上傳惡意腳本或者 WebShel

46、l,使其獲得服務器的權限。在其他漏洞類型中，敏感信息泄露漏洞、SQL 注入漏洞、命令注入漏洞、緩沖區溢出和任意文件讀取漏洞的比例都較低，但仍需引起重視。敏感信息泄露漏洞可能會造成個人隱私信息、用戶金融信息、企業商業機密等信息泄露，SQL 注入漏洞可能獲取數據庫中的敏感信息，如用戶憑證，命令注入漏洞可能允許攻擊者在系統中執行任意命令，緩沖區溢出漏洞受影響的程序輸入超出其預期大小的數據，從而覆蓋相鄰內存區域，甚至執行惡意代碼或者系統崩潰，任意文件讀取漏洞讀取漏洞獲取服務器上的敏感信息，如配置文件、用戶憑證、日志文件等。因此應該繼續加強安全意識，不斷更新防護措施。4.3 4.3 年度年度 TOP10

47、TOP10 高危漏洞高危漏洞 本節內容篩選自天融信 2023 年預警的漏洞信息，并根據漏洞的利用難易程度、漏洞利69%7%7%7%2%2%2%2%2%2023年預警漏洞威脅情況遠程代碼執行權限提升文件上傳認證繞過SQL注入敏感信息泄露任意文件讀取命令注入緩沖區溢出 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 22/34 用成功后造成的損失、漏洞影響的范圍進行排名，根據排名節選出排名前十的漏洞。危害程度危害程度排名排名 漏洞編號漏洞編號 標題標題 概述概述 NO.1 CVE-2023-21716 Microsoft Word 遠程代碼執行漏洞 CVE-2023-2171

48、6：未經身份驗證的攻擊者可能會發送包含 RTF 有效負載的惡意電子郵件，這將使他們能夠獲得在用于打開惡意文件的應用程序中執行命令的訪問權限。NO.2 CVE-2023-33246 Apache RocketMQ 命令注入漏洞 CVE-2023-33246：RocketMQ的NameServer、Broker、Controller 等多個組件暴露在外網且缺乏權限驗證，攻擊者可以利用此漏洞以 RocketMQ 運行的系統用戶身份執行命令。NO.3 CVE-2023-22518 Atlassian Confluence遠程代碼執行漏洞 CVE-2023-22518：Confluence 濫 用 了

49、Struts2 的繼承關系，從而導致可以一定程度繞過它自身的權限校驗，最終通過部分接口串聯利用實現無需認證的遠程代碼執行。NO.4 CVE-2023-3269 Linux Kernel 權限提升漏洞 CVE-2023-3269：Linux 內核的內存管理子系統存在釋放后重用漏洞，低權限用戶可以利用此漏洞提升至 ROOT 權限。NO.5 CVE-2023-3519 Citrix ADC 及 Citrix Gateway遠程代碼執行漏洞 當 Citrix ADC 或 Citrix Gateway 設備配置為網關（VPN 虛擬服務器、ICA 代理、CVPN、RDP 代理）或 AAA 虛擬服務器時，未

50、經身份驗證的遠程威脅者可利用該漏洞在目標設備上執行任意代碼。NO.6 CVE-2022-41678 Apache ActiveMQ Jolokia代碼執行漏洞 經 過 身 份 驗 證 的 惡 意 攻 擊 者 通 過/api/jolokia/接口來操作 MBean，成功利用此漏洞可在目標服務器上執行任意代碼，獲取目標服務器的控制權限。NO.7 CVE-2023-50164 Apache Struts2文件上傳漏洞 CVE-2023-50164：漏洞源于上傳文件參數名的大小寫校驗存在問題，從而使得通過特定參數名來指定文件名實現目錄遍歷上傳惡意文件，未經授權的攻擊者可能利用這個漏洞上傳惡意文件到服務

51、器并執行任意代碼?？尚啪W絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 23/34 NO.8 CVE-2023-38646 Metabase 遠程命令執行漏洞 CVE-2023-38646：Metabase 中支持嵌入式內存數據庫 H2，由于連接數據庫時過濾不嚴，可通過 H2 JDBC 連接導致命令執行，成功利用該漏洞可在 Metabase 服務器上遠程執行代碼。NO.9 CVE-2023-20860 Spring Framework身份認證繞過漏洞 Spring Framework 存在一處身份認證繞過漏洞，當 Spring Security 配置中用作*模式時，會導致 Sp

52、ring Security 和 Spring MVC 之間的 mvcRequestMatcher 模式不匹配。允許未經身份驗證的遠程攻擊者通過向目標發送構造的特制請求，實現身份驗證繞過，進而訪問后臺信息。NO.10 CVE-2023-37582 Apache RocketMQ 遠程代碼執行漏洞 CVE-2023-37582：此漏洞是由于 CVE-2023-33246 補丁未修復完全，當 RocketMQ 的NameServer 組件暴露在外網，且缺乏有效的身份認證時，攻擊者可以利用更新配置功能，以 RocketMQ 運行的系統用戶身份執行任意命令。表 2 TOP10 危害排名 4.4 4.4

53、漏洞預警漏洞預警 TOP10TOP10 漏洞回顧漏洞回顧 一、一、Microsoft WordMicrosoft Word 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞類型：遠程代碼執行 漏洞編號：CVE-2023-21716 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 漏洞評分：9.8 預警日期：2023-4-7 漏洞描述：CVE-2023-21716 是 Microsoft Word 的 RTF 解析器（wwlib）中的一個遠程代碼執行漏洞。攻擊者可以通過制作包含大量字體表項的 RTF 文檔，并向目標用戶發送郵件，可信網絡 安全世界 天融信阿爾法實驗

54、室 版權所有天融信 保留一切權利 24/34 誘導用戶打開郵件中包含的惡意文檔。攻擊者可利用多種方式誘導用戶打開惡意的 RTF 文檔，如電子郵件、即時消息等等。Windows 文件瀏覽器和 Microsoft Outlook 的預覽窗格都可以作為此漏洞的攻擊媒介。成功利用此漏洞，可使攻擊者獲得在目標系統上以當前用戶的權限執行任意代碼的能力。二、二、Apache RocketMQApache RocketMQ 命令注入漏洞命令注入漏洞 漏洞類型：遠程代碼執行 漏洞編號：CVE-2023-33246 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 漏洞評分

55、：9.8 預警日期：2023-6-5 漏洞描述：對于 RocketMQ 5.1.0 及以下版本，在某些條件下，存在遠程命令執行的風險。RocketMQ 的 NameServer、Broker、Controller 等多個組件存在外網泄露且缺乏權限驗證，攻擊者可以通過更新配置功能以 RocketMQ 運行的系統用戶身份執行命令來利用該漏洞。此外，攻擊者還可以通過偽造 RocketMQ 協議內容來達到同樣的效果。為了防止此類攻擊，建議用戶使用 RocketMQ 5.x 時升級到 5.1.1 或以上版本，使用 RocketMQ 4.x 時建議升級到 4.9.6 或以上版本。三、三、Atlassian

56、 ConfluenceAtlassian Confluence 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞類型：遠程代碼執行 漏洞編號：CVE-2022-22965 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 漏洞評分：9.8 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 25/34 預警日期：2023-11-1 漏洞描述：Confluence Data Center 和 Server 的所有版本均受此未利用漏洞的影響。此不當授權漏洞允許未經身份驗證的攻擊者重置 Confluence 并創建 Confluence 實例管理員帳戶

57、。使用此帳戶，攻擊者可以執行 Confluence 實例管理員可用的所有管理操作，從而導致（但不限于）完全喪失機密性、完整性和可用性。Atlassian Cloud 站點不受此漏洞的影響。如果您的 Confluence 站點是通過 域訪問的，則該站點由 Atlassian 托管，并且不易受到此問題的影響。四、四、Linux KernelLinux Kernel 權限提升漏洞權限提升漏洞 漏洞類型：權限提升 漏洞編號：CVE-2023-3269 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 漏洞評分：7.8 預警日期：2023-8-2 漏洞描述：Lin

58、ux 內核的內存管理子系統中存在漏洞。訪問和更新虛擬內存區域(VMA)的鎖處理不正確，導致釋放后使用問題。該問題可被成功利用來執行任意內核代碼、升級容器并獲取 root 權限。該漏洞是由于 Chrome V8 引擎中存在類型混淆所導致，此類漏洞通常會在成功讀取或寫入超出緩沖區邊界的內存后造成瀏覽器崩潰或者執行任意代碼。影響范 圍：Chrome for Mac/Linux 107.0.5304.87、Chrome for Windows 107.0.5304.87。五、五、Citrix ADC Citrix ADC 及及 Citrix GatewayCitrix Gateway 遠程代碼執行漏洞

59、遠程代碼執行漏洞 漏洞類型：遠程代碼執行 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 26/34 漏洞編號：CVE-2023-3519 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 漏洞評分：9.8 預警日期：2023-7-27 漏洞描述：Citrix ADC 是一種應用交付控制器，用于提高應用性能、安全性和可靠性。它是一種強大的應用交付平臺，具有多種功能，旨在優化應用程序交付、負載均衡和安全性。Citrix Gateway 是 Citrix ADC 的一部分，為用戶提供安全的遠程訪問到企業網絡和應用程序的能力。它提供了安全

60、的遠程連接和訪問控制，讓用戶可以通過安全的通道（通常是 SSL/TLS 加密）從遠程位置連接到公司網絡，訪問內部資源和應用程序，同時確保數據傳輸的安全性和隱私。CVE-2023-3519 該漏洞是當 Citrix ADC 或 Citrix Gateway 設備配置為網關（VPN 虛擬服務器、ICA 代理、CVPN、RDP 代理）或 AAA 虛擬服務器時，未經身份驗證的遠程威脅者可利用該漏洞在目標設備上執行任意代碼。六、六、Apache ActiveMQ JolokiaApache ActiveMQ Jolokia 代碼執行漏洞代碼執行漏洞 漏洞類型：遠程代碼執行 漏洞編號：CVE-2022-4

61、1678 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 漏洞評分：8.8 預警日期：2023-11-30 漏洞描述：一旦用戶在 Jolokia 上通過身份驗證，他就有可能觸發任意代碼執行。具體來說，在 ActiveMQ 配 置 中，jetty 允 許 org.jolokia.http.AgentServlet 處 理 對/api/jolokia 的請求。org.jolokia.http.HttpRequestHandler#handlePostRequest 能夠通過JSONObject創建JmxRequest。并調用 org.jolokia.htt

62、p.HttpRequestHandler#executeRequest。進 入 更 深 的 調 用 棧，可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 27/34 org.jolokia.handler.ExecHandler#doHandleRequest 可以通過反射來調用?？梢酝ㄟ^Java 版本 11 以上的 jdk.management.jfr.FlightRecorderMXBeanImpl 來實現 RCE。1 調用 newRecording。2 調用 setConfiguration。其中隱藏著一個 webshell 數據。3 調用開始錄音。4 調用 copy

63、To 方法。Webshell 將寫入.jsp 文件。緩解措施是限制（默認情況下）Jolokia 上授權的操作，或禁用 Jolokia。默認 ActiveMQ 發行版中定義了更具限制性的 Jolokia 配置。我們鼓勵用戶升級到 ActiveMQ 發行版本，包括更新的 Jolokia 配置：5.16.6、5.17.4、5.18.0、6.0.0。七、七、Apache Struts2Apache Struts2 文件上傳漏洞文件上傳漏洞 漏洞類型：文件上傳漏洞 漏洞編號：CVE-2023-50164 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 漏洞評分：

64、9.8 預警日期：2023-12-11 漏洞描述：Apache Struts 廣泛集成到各種系統中，并因 2017 年臭名昭著的 Equifax 漏洞而引起了廣泛關注。Equifax 漏洞影響了超過 1.45 億人，并導致消費者信用報告機構支付了 7 億美元的和解金。該事件的一個重要方面涉及 Equifax 黑客在一次大規模攻擊中竊取了 200,000 個信用卡賬戶。Apache Software Foundation 發布了安全性更新，以應對Struts 2 開源框架中的關鍵文件上傳漏洞。成功利用該漏洞（跟蹤為 CVE-2023-50164）可導致遠程代碼執行。建議用戶應立即升級到 Stru

65、ts 2.5.33 或 Struts 6.3.0.2 或更高版本。八、八、MetabaseMetabase 遠程命令執行漏洞遠程命令執行漏洞 漏洞類型：遠程命令執行 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 28/34 漏洞編號：CVE-2023-37470 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 漏洞評分：9.8 預警日期：2023-7-27 漏洞描述：Metabase 是一個開源的數據分析和可視化工具，旨在讓非技術人員能夠輕松地通過直觀的界面探索和理解數據。它提供了一個直觀的用戶界面，允許用戶直接連接到各種數據源

66、（如數據庫、CSV 文件等），進行數據查詢、可視化和共享分析結果。0.46.6.1 之前的開源 Metabase 和 1.46.6.1 之前的 Metabase Enterprise 允許攻擊者以服務器的權限級別在服務器上執行任意命令。利用時不需要身份驗證。九、九、Spring FrameworkSpring Framework 身份認證繞過漏洞身份認證繞過漏洞 漏洞類型：身份認證繞過 漏洞編號：CVE-2023-20860 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 漏洞評分：7.5 預警日期：2023-4-7 漏洞描述：Spring Frame

67、work 是一個輕量級的開源 Java 框架，旨在簡化企業級應用程序的開發。它提供了一組全面的功能，例如依賴注入、面向切面編程、模板模式、JDBC 模板、Hibernate 模板、事務管理等，可以幫助開發人員編寫高質量、可維護的代碼。Spring 框架還提供了許多擴展框架，例如 Spring MVC、Spring Security、Spring Data、Spring Batch 等等，可以幫助開發人員更快速地構建和部署各種類型的應用程序。Spring Framework 被廣泛應用于企業級 Java 應用程序的開發。運行版本 6.0.0-6.0.6 或 5.3.0-5.3.25 的 Spri

68、ng Framework 在 帶 有 mvcRequestMatcher 的 Spring Security 配置中使用“*”作為模式會導致 Spring Security 和 Spring MVC 之間的模 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 29/34 式匹配不匹配，并且可能用于安全繞過。十、十、Apache RocketMQ Apache RocketMQ 遠程代碼執行遠程代碼執行漏洞漏洞 漏洞類型：遠程代碼執行 漏洞編號：CVE-2023-37582 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 漏洞評分：9

69、.8 預警日期：2023-7-18 漏洞描述：Apache RocketMQ 是一個開源的分布式消息隊列系統，具有高吞吐量、低延遲和高可靠性的特點。它采用分布式架構，支持橫向擴展和高可用性，能夠處理大規模分布式系統的消息通信需求。RocketMQ 提供靈活的消息模型，支持發布/訂閱和點對點模式，以滿足不同的應用場景。它具有消息過濾、順序傳遞和實時監控等功能，并具備良好的可擴展性和兼容性。作為一種可靠的消息中間件，RocketMQ 被廣泛應用于實時消息傳遞、異步處理和事件驅動架構等場景，幫助構建高性能、可擴展和可靠的分布式應用系統。RocketMQ NameServer 組件仍然存在遠程命令執行

70、漏洞，CVE-2023-33246 問題在 5.1.1 版本中尚未完全修復。當 NameServer 地址在外網泄露且缺乏權限驗證時，攻擊者可以利用該漏洞，通過 NameServer 組件上的更新配置功能，以 RocketMQ 運行的系統用戶身份執行命令。建議用戶將 NameServer 版本升級到 RocketMQ 5.x 的 5.1.2 或更高版本，或者RocketMQ 4.x 的 NameServer 版本升級到 4.9.7 或更高版本，以防止這些攻擊。第五章第五章 總結總結 2023 年網絡空間安全漏洞態勢分析研究報告顯示，漏洞數據總數呈現下降趨勢，但高危漏洞數量仍然為增長態勢。我們需

71、要從兩個方面進行思考：首先，總體漏洞數量的下降 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 30/34 可能意味著安全技術的不斷進步和漏洞管理的改善，例如更多的漏洞被發現并在披露后得到修復。這是一個積極的趨勢，表明安全領域正在不斷發展和進步。然而，高危漏洞數量的增長則需要我們更加投入關注和積極處理。高危漏洞的存在帶來了更大的安全風險，因為它們更傾向被攻擊者利用。高危漏洞的增長可能反映出當前的安全技術無法有效地防止或快速修復這些漏洞，或者新的威脅模式和技術正在出現。通過對 2023 年前 100 個在野利用漏洞統計看出，Microsoft、Google 和 Apple

72、為主要攻擊目標，涵蓋了操作系統、瀏覽器、固件、軟件平臺和服務器平臺等多個領域。操作系統的漏洞占據首位，55%的漏洞存在未公開 EXP，強調了操作系統安全性的脆弱性。最嚴峻的威脅來自緩沖區溢出、輸入驗證不當和 OS 命令注入等漏洞類型。應對措施需包括及時修復漏洞、強化訪問控制、提升用戶安全意識，并運用高級威脅防御技術，以確保綜合網絡安全。2023 年漏洞預警顯示，主流操作系統成為漏洞高發的產品類別。Microsoft 廠商在漏洞預警中的突出地位反映了其產品在市場上的廣泛使用和由此帶來的潛在風險。尤其是Windows 系統的漏洞頻繁出現，凸顯了對操作系統安全性的持續關注和改進需求。遠程代碼執行漏洞

73、的高占比是一個值得關注的趨勢，這類漏洞由于其高度的破壞性和隱蔽性，一直是 APT 攻擊者的主要攻擊手段。這要求企業在網絡安全策略中加大對這類漏洞的防御力度，包括定期更新系統和應用程序、實施嚴格的訪問控制以及采用先進的威脅檢測和響應技術。針對知名廠商的漏洞預警分布情況，微軟和 Apache 占據了顯著比例，這指示了在選擇和使用第三方軟件產品時，企業應特別關注這些廠商的安全更新和漏洞管理實踐。同時，這也為企業在供應鏈安全管理和供應商評估方面提供了重要參考。5.1 5.1 安全防護建議安全防護建議 在歸納 2023 年網絡空間安全態勢的過程中，我們也針對態勢發展的新形勢，提出了一些防護建議。1.1.

74、實施嚴格的供應商審查機制實施嚴格的供應商審查機制，防范防范供應鏈攻擊：供應鏈攻擊：隨著企業業務的擴展，對外部供應商的依賴程度逐漸加深，供應鏈攻擊的風險也隨之增加。這類攻擊可能來自第三方軟件、硬件或者服務，一旦攻擊成功，可能會造成重要數據的泄露、系統的癱瘓等嚴重后果。為 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 31/34 了應對這種威脅，企業需要實施嚴格的供應商審查機制，包括對供應商的網絡安全能力、過往的安全記錄等進行全面評估。同時，采用零信任網絡架構，對所有進出網絡的數據和流量進行嚴格控制和檢測，防止惡意軟件和未經授權的訪問。2.2.加強賬戶安全，避免身份和憑證欺

75、詐加強賬戶安全，避免身份和憑證欺詐：隨著數字化轉型的加速，身份和憑證欺詐成為一種日益嚴重的威脅。攻擊者通過竊取個人信息和登錄憑證，冒充受害者進行非法訪問和交易。為了應對這種威脅，企業和個人應加強賬戶安全，使用強密碼和多因素身份驗證，定期更改密碼，以及避免在非官方應用中使用個人信息。3.3.建立系統的漏洞管理體系，以應對安全漏洞威脅：建立系統的漏洞管理體系，以應對安全漏洞威脅：網絡安全是動態的而不是靜態的，應重視信息系統的安全性，進一步加大安全投入。從源頭的廠商看起，應為研發提供足夠的資源支持，在系統的規劃、設計、實現、測試、維護等全生命周期內嵌入安全基因，設立并力求形成統一且全面的安全性能目標

76、，避免系統的各項安全指標和總體安全性處于孤立、片面或是有限的局面，進而形成致命的安全漏洞；在政企單位等組織一側，數字化為日常工作帶來了極大的便利性，但動態的安全運維工作同樣不可輕視，應設立大小匹配的專職安全崗位，建立和實施具體、細致且長期持續的安全運維方案。為防止各類突發事件的風險，還需建立風險應急預案及安全管理儲備；對于個人普通用戶而言，較之重點目標通常不是第一攻擊對象，但安全是整體的，個體組合形成整體，個體安全被突破意味著整體安全存在被突破的風險。故此，為避免因個人用戶帶來的風險，減少攻擊面加強安全意識實為重中之重。4.4.增強分段網絡管理，強化數據安全應對能力：增強分段網絡管理，強化數據

77、安全應對能力：隨著數字化轉型的加速，企業的數據量呈現爆炸性增長，數據安全風險也隨之增加。為了應對這種風險，企業需要建立完善的數據產權結構性分置制度，明確數據的所有權、使用權、收益權等。同時，加強數據安全治理也是非常重要的，包括建立數據分類分級制度、制定嚴格的數據使用和訪問控制策略等。此外，定期進行數據安全審計和風險評估也是必不可少的。2023 年 10 月下旬，波音公司遭遇 LockBit 勒索軟件攻擊，LockBit 在數據泄露站點發消息聲稱竊取了波音的大量敏感數據，并以此脅迫波音公司，如果不在 2023 年 11 月 2 日前與 LockBit 組織取得聯系，將會公開竊取到的敏感數據。從這

78、起事件可以看出，利用漏洞植入勒索軟件進而竊取關鍵數據的事件危害巨大，需要增強網絡分段管理，提升數據安全。采取有效的網絡分段，以 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 32/34 限制漏洞的影響范圍，并減少漏洞利用成功的潛在影響，以達到提升數據安全的目標。網絡分段有助于限制漏洞的范圍，減少漏洞利用的潛在影響。通過將網絡劃分為獨立的子網，甚至完全獨立的物理網絡，保護敏感數據免受未經授權的訪問，或是因網絡攻擊造成大范圍泄露。天融信積極響應數智時代的發展趨勢，以“以數據為中心的安全架構”為基礎，從體系研究、技術創新、產品研發、安全服務、人才培養等多維度推進數據安全體系化

79、建設。其獲得的國家信息安全服務數據安全類一級資質進一步證實了其在數據安全領域的實力。最近，國家數據局發布了“數據要素”三年行動計劃（20242026 年）（征求意見稿），旨在促進我國數據基礎資源優勢轉化為經濟發展新優勢。天融信與國家發展步伐同頻共振，充分發揮網絡安全領軍企業的作用，提升企業數據安全保障水平，為經濟社會發展賦能。5.2 5.2 20242024 年年漏洞態勢展望漏洞態勢展望 隨著技術的不斷進步，網絡安全漏洞的態勢也在不斷變化。2024 年，預計將有幾個關鍵趨勢影響著漏洞的發展、利用、防御以及監測預警。漏洞發展的趨勢顯示，零日漏洞的利用將繼續增長，特別是國家級黑客組織和網絡犯罪團伙

80、會更多地使用這些漏洞，以便實現對攻擊目標的長久控制。新興技術領域成為重點攻擊對象：云計算、物聯網、車聯網、人工智能等新興技術將繼續成為安全漏洞的重點領域。例如，隨著 5G 網絡的普及和邊緣計算的廣泛應用，與之相關的安全漏洞可能會逐漸增多。同時，人工智能和機器學習技術的發展也將帶來新的安全挑戰，如數據泄露、模型篡改等。在漏洞利用方面，勒索軟件攻擊將變得更有針對性和狡猾，攻擊者將重點攻擊關鍵基礎設施和高價值目標。隨著生成式人工智能（GAI）技術的快速發展，可能會看到更復雜、更智能的網絡攻擊。GAI 的出現使得人工智能不僅被用于漏洞防御，還可能被惡意應用于攻擊策略的設計和執行，大大降低攻擊者的攻擊門

81、檻。在漏洞防御方面，重點關注開源軟件，因為開源軟件幾乎滲透在每一個角落，支撐著 可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 33/34 廣泛的領域，包括但不限于網絡服務器的運行、操作系統的運作，乃至移動應用程序的開發和云服務的提供。開源生態系統的相互關聯性意味著一個單一的漏洞有可能引發連鎖反應，這種反應能夠從一個應用程序蔓延到另一個應用程序，并且有可能對大量系統和用戶造成影響。預計到 2024 年，開源軟件會增加對安全審查的投入，軟件安全的“左移”策略，即在開發的早期階段就整合安全考慮，有望在開源軟件中繼續保持其發展勢頭，并貫穿全年。專注于開源安全的專業團隊數量預計將

82、顯著增加。隨著對供應鏈完整性和透明度的關注度提高，開源生態系統中確保供應鏈安全的需求預計會進一步增強。同時，預計開源社區內的協作將會加強，推動以社區為導向的安全計劃增長。開源軟件的安全性可能會成為更加核心的關注點，尤其是考慮到其在數字基礎設施中持續發揮關鍵作用。因此，對開源軟件進行監管的必要性和重要性將變得更加明顯，并可能成為未來發展的重點。隨著網絡攻擊的頻率和復雜性不斷提高，傳統網絡安全工具和方法逐漸失效，零信任架構成為了解決持續網絡安全問題的首選安全框架，并將是未來漏洞防御的重要趨勢。雖然目前只有少數組織完全符合零信任架構的要求，但隨著網絡安全環境的不斷變化，越來越多的組織將開始采用零信任

83、架構，以提高網絡安全防護能力。對于漏洞監測預警，人工智能（AI）將成為實時網絡安全漏洞識別和防護的關鍵技術。AI 將能夠自動學習識別、預測潛在風險和威脅，并自動隔離這些風險，實現比人更快、更好、更準確的實時識別和快速反應。隨著攻擊者利用 AI 和其他先進技術，防御者也必須采用更先進的技術和策略來保護自己的網絡安全。包括投資 AI 和機器學習技術，以及加強員工培訓和事件響應計劃。組織會增加對主動安全工具和技術的投資，以更好地發現漏洞和安全問題，以滿足其特定需求。這包括基于風險的漏洞管理、攻擊面管理、適用于應用程序、云和數據的安全態勢工具，以及攻擊路徑管理和安全控制驗證，如滲透測試、紅隊演練和攻擊

84、模擬等方面的考慮。此外，隨著 IAST（交互式應用程序安全測試）技術的不斷成熟和普及，組織正逐漸將其整合到全鏈路接口安全防御體系中，實現對應用安全漏洞的實時、深度檢測和響應。借助插樁技術動態監測運行時數據流，IAST 能追蹤敏感信息在接口調用鏈中的流動與處理，提供準確及時的安全威脅告警，并結合自動化驗證與 DevSecOps流程促進安全問題的快速修復。覆蓋整個應用生命周期且適應云環境變化，IAST 強化了跨層級、全方位的接口安全防護能力。為了應對未來一年中的網絡安全挑戰，政府、企業和個人需要加強合作與信息共享，可信網絡 安全世界 天融信阿爾法實驗室 版權所有天融信 保留一切權利 34/34 共

85、同構建一個更加安全的網絡空間。同時，也需要加強技術研發和人才培養，提升自身的網絡安全能力和水平。只有這樣，才能在新的一年中更好地應對各種網絡安全威脅和挑戰。作為國內領先的網絡安全、大數據與云服務提供商，天融信始終以捍衛國家網絡空間安全為己任，創新超越，持續為客戶構建更加完善的網絡安全防御能力，為數字經濟的發展保駕護航。天融信一直致力于積極發揮自身在監測預警與應急服務優勢，全面掌握漏洞動態。通過多維度數據采集分析，敏感信息及時預警，持續深入信息安全領域的監測與應急工作，能夠及時監測到網絡空間的漏洞動態，提供快速的監測與預警服務。及時發現漏洞，就可以更快地采取應對措施，防止安全風險的擴散。通過對網

86、絡流量的監測，能夠發現異常的網絡活動、異常的系統行為等。這些信息可以及時發送到相關部門，使其采取必要的應對措施。天融信還專注于強化云端情報融合、安全防護設備聯動、云環境下的 IT 資產安全管理等能力，將云上能力賦能本地，結合云端 724 小時在線研判，幫助各類客戶構建涵蓋檢測發現、分析研判、情報預警、響應處置、持續監控的完整資產安全管理體系。使得客戶的數字化轉型發展更加順利，并在數字化轉型過程中得到有力的保駕護航。未來，天融信將充分發揮自身優勢，堅持資產安全管理技術探索與實踐，在保障客戶網絡安全的同時，努力踐行領軍企業的社會責任與擔當，為國家網絡安全整體能力建設做出貢獻，為實施網絡強國戰略貢獻企業力量。