《新華三：2023年網絡安全漏洞態勢報告（40頁）.pdf》由會員分享，可在線閱讀，更多相關《新華三：2023年網絡安全漏洞態勢報告（40頁）.pdf（40頁珍藏版）》請在三個皮匠報告上搜索。

1、 2023 年網絡安全漏洞態勢報告-新華三主動安全系列報告-目 錄 CONTENTS 1 概述概述 3 1.1 漏洞增長趨勢 3 1.2 攻擊總體態勢 5 2 2 WebWeb 應用漏洞應用漏洞 8 2.1 新增漏洞趨勢 8 2.2 漏洞分類 9 2.3 重點漏洞回顧 10 2.4 攻擊態勢分析 12 3 3 操作系統漏洞操作系統漏洞 13 3.1 新增漏洞趨勢 13 3.2 漏洞分類 13 3.3 重點漏洞回顧 14 3.4 攻擊態勢分析 16 4 4 網絡設備漏洞網絡設備漏洞 17 4.1 新增漏洞趨勢 17 4.2 漏洞分類 18 4.3 重點漏洞回顧 19 4.4 攻擊態勢分析 21

2、5 5 數據庫漏洞數據庫漏洞 22 5.1 新增漏洞趨勢 22 5.2 漏洞分類 23 5.3 重點漏洞回顧 24 5.4 攻擊態勢分析 25 6 6 工控系統漏洞工控系統漏洞 26 6.1 新增漏洞趨勢 26 6.2 漏洞分類 27 6.3 重點漏洞回顧 28 6.4 攻擊態勢分析 29 7 7 云計算平臺漏洞云計算平臺漏洞 30 7.1 新增漏洞趨勢 30 7.2 漏洞分類 30 7.3 重點漏洞回顧 31 7.4 攻擊態勢分析 32 8 8 總結與建議總結與建議 33 8.1 總結 33 8.2 安全建議 34 9 9 結語結語 38 主動安全 3 2023 年網絡安全漏洞態勢報告年網絡

3、安全漏洞態勢報告 新華三安全攻防實驗室持續關注國內外網絡安全漏洞和態勢，協同高級威脅分析、漏洞分析、威脅情報分析等領域專家一同發布2023 年網絡安全漏洞態勢報告。報告開篇概述了 2023 年漏洞和攻擊的總體趨勢，正文從 Web 應用、操作系統、網絡設備、數據庫、工控系統、云計算平臺多個角度分析了漏洞分布和攻擊態勢。本報告試圖以觀察者的視角剖析 2023 年網絡安全領域新增漏洞情況以及演變趨勢，希望為各行業網絡安全建設者提供參考和幫助。1 概述概述 1.1 漏洞增長趨勢 2023 年新華三安全攻防實驗室漏洞知識庫收錄的漏洞總數為 29039 條，比 2022 年（24892 條）增長16.6%

4、，為歷史之最。其中超危漏洞 4298 條，高危漏洞 10741 條，如圖 1 所示，超危與高危漏洞占比51.8%，如圖 2 所示，高危以上漏洞比 2023 年增長 7.1%。自 2017 年以來，公開漏洞數量一直在穩步增加，每年增加數量超過 10%。主動安全 4 圖 1 2017-2023 年新增漏洞總趨勢 圖 2 2023 年不同危險級別漏洞占比 146821629917751179202020324892290390500010000150002000025000300003500002000400060008000100001200014000160002017年2018年2019年20

5、20年2021年2022年2023年超危高危中危低?？倲党?4.8%高危37.0%中危46.2%低危2.0%超危高危中危低危 主動安全 5 1.2 攻擊總體態勢 將 2023 年漏洞按照影響對象進行統計，Web 應用類漏洞占比仍然為第一位，占比 40.2%，其次是應用程序、操作系統漏洞，分別占比 29.2%、9.1%，如圖 3 所示。應用程序漏洞數量比去年增長 60.8%，增幅較大；智能終端（IOT 設備）漏洞數量比去年增長 64.4%，操作系統、網絡設備、云計算、數據庫漏洞相比去年漏洞數量有所回落。漏洞數量是危險的一方面，在已披露的漏洞中，有超過 7000 個漏洞具有“概念驗證利用代碼”，

6、超過 100 個漏洞已經被黑客“廣泛利用”。圖 3 2023 年漏洞影響對象占比 將 2023 年漏洞按照攻擊分類進行統計，如圖 4 所示，排名前三的漏洞為跨站腳本、權限許可和訪問控制、緩沖區錯誤，分別占比 17.0%，13.4%和 11.2%。權限許可和訪問控制占比較 2022 年有大幅提升，權限許可和訪問控制漏洞是由于權限限制不正確，或者訪問控制設置錯誤，導致遠程攻擊者可以繞過身份驗證因素或者訪問控制設置，達到獲取敏感信息，讀寫任意文件或者權限提升的目的。注入類漏洞，如代碼注入、SQL 注入、命令注入共占比 18.7%，仍然是最突出的漏洞類型。WEB應用40.3%應用程序29.3%操作系統

7、9.1%網絡設備7.9%智能終端7.0%云計算3.1%工控2.4%數據庫1.0%主動安全 6 圖 4 2023 年漏洞攻擊分類占比 安全漏洞數量持續增長成為了各行各業不可忽視的挑戰，尤其是在工業、金融、交通、國防、醫療和信息技術等領域，安全漏洞的爆發和利用對社會、企業和個人造成了巨大的安全風險。同時，生成式人工智能等一批新技術在帶來巨大機遇的同時，也意味著其在安全性上會產生更多挑戰。2023 年，針對各個領域網絡資產的攻擊進一步加劇，根據對 2023 年漏洞及網絡攻擊進行的觀察，我們得出一些結論：1.漏洞數量持續增長，0day 漏洞利用數量明顯增加 隨著黑客攻擊技術的提升和市場化，0day 漏

8、洞的數量和利用呈明顯增長趨勢，大量攻擊團伙利用未公開及廠商未及時修復的漏洞對目標系統進行未授權訪問、數據竊取、數據勒索或其他惡意活動，這類漏洞的利用往往具有高度隱秘性和攻擊性，使得安全防護和應對的難度進一步提高。GoAnywhere 今年爆出的CVE-2023-0669 漏洞被黑客大規模利用，最早利用該漏洞進行大規模攻擊的仍然是 Clop 勒索軟件組織，在最初的一波攻擊中就有 130 家企業受到了影響。由于 GoAnywhere 是在漏洞被披露可能存在利用的第5 天才推出修復程序，這留給了黑客充裕的利用時間，政府、能源、金融、醫療行業多家知名企業成為攻擊受害者，也充分展現了“零日漏洞+供應鏈攻

9、擊”的可怕之處。2.大量 N-Day 漏洞被積極利用，Log4j 漏洞仍是攻擊首要目標 2023 年涌現出數以萬計的新漏洞，但根據相關現網攻擊檢測數據報告，2023 年被用于現網攻擊嘗試利用次數較多的漏洞反而是過去幾年已經披露和修補的 N-Day 漏洞。這些漏洞通常已經被成熟的工具化，且已有修補補丁。由于現網仍有海量的產品和服務未對這些漏洞進行修補，進而被攻擊者“趁虛而入”。根據統計，2023 年利用最多的漏洞有 Apache Log4j2 遠程代碼執行漏洞（CVE-2021-44228）、MS17-010 系列漏洞、Apache Struts2 遠程代碼執行漏洞(CVE-2017-5638)

10、、GNU Bash 遠程命令執行漏洞(CVE-2014-6271)等。盡管 Log4j 是一個出現時間已久的漏洞，但在 2023 年期間仍然是攻擊者的首要選擇?？缯灸_本17.0%權限許可和訪問控制問題13.4%緩沖區錯誤11.2%代碼注入7.8%SQL注入7.5%敏感信息泄露6.4%跨站請求偽造4.2%拒絕服務4.1%命令注入3.5%目錄遍歷2.8%輸入驗證錯誤2.6%其他19.5%主動安全 7 3.配置不當引發整體安全風險，身份驗證和訪問權限管理不當漏洞增加 隨著互聯網的加速發展，企業和組織不斷推進內外網業務由線下轉向線上，以便于協同及效率提升，業務之間的對接、耦合、互通，使得業務數據大量的

11、產生、傳輸、交互、公開等。而不同系統、軟件和應用程序的默認配置、身份驗證和訪問權限管理等配置不當問題逐漸成為網絡中最易忽視的攻擊風險。錯誤配置可能會導致敏感數據的泄漏，比如未做好嚴格的權限校驗和限制以及未采取嚴格的加密措施等都會被黑客充分利用。當服務器存在未及時修復的安全漏洞時，錯誤配置會為攻擊者提供突破口，以入侵單個安全控制點作為跳板進一步危及整個系統的安全性。4.數據泄露與濫用風險涌現，數據泄漏事件創下記錄 2023 年數據泄漏事件還處于高發的態勢，根據報告，2021 和 2022 年，全球泄露了驚人的 26 億條個人記錄，僅 2022 年一年就泄漏了約 15 億條個人記錄。2023 年創

12、下新的數據泄漏記錄，僅 2023 年前 9 個月的數據泄露總數就已經比 2022 年全年總數高出 20%。2023 年 5 月，據 Emsisoft 報道，文件傳輸服務MOVEit 的漏洞已經導致 2706 個組織遭到（勒索軟件）攻擊，超過 9300 萬人的個人數據被泄露。2023年 10 月基因檢測提供商 23andMe 遭遇撞庫攻擊，導致重大數據泄露，690 萬用戶的數據被泄露。史上最暢銷游戲大作 GTA5（俠盜獵車手 5）的源代碼在 2023 年圣誕夜被泄露，發布者聲稱此舉是為了替近日被宣判永久監視醫療的 Lapsus$黑客組織成員 Arion Kurtaj 復仇，同時也是為了阻止惡意版

13、本的 GTA5源代碼在網上流傳。2023 年 12 月，PayPal 披露其用戶賬戶在大規模撞庫攻擊中被泄露，攻擊者攻破了34942 個 PayPal 賬戶。5.勒索團伙加速高危漏洞武器化利用，勒索攻擊高位增長 2023 年，勒索軟件攻擊的復雜性和敏捷性快速提高。根據德國“statista”網站統計顯示，全球高達 72%的企業成為攻擊受害者，其中包括英國“皇家郵政”和美國波音等企業。過往勒索團隊常以釣魚、水坑、Nday等利用手段作為主要的初始載體和入侵手段來部署勒索軟件。2023 年，勒索團伙攻擊方式逐漸升級轉變為對關鍵的零日漏洞加速武器化利用。其中以利用漏洞而聞名的 Clop 勒索軟件組織利

14、用 MOVEit 等多個關鍵的零日漏洞進行了廣泛攻擊，黑客組織 LockBit 利用 Citrix Bleed 漏洞（CVE-2023-4966）對金融企業成功實施了攻擊，可能竊取、泄露金融和醫療等領域的價值、敏感數據。以 LockBit 為首的勒索組織通過“勒索軟件即服務”（RaaS），將惡意軟件售賣給其他黑客組織，形成攻擊產業鏈，并不斷衍生出新變種，導致惡意軟件泛濫。勒索攻擊形式也逐漸從有組織高烈度轉向無序化低烈度，涉及的行業領域更多、破壞性更嚴重。6.大語言模型成為攻防“雙刃劍”，其快速演進加劇攻防不對等 隨著人工智能技術的飛速發展，生成式 AI 狂潮席卷全球，成為了各行各業的新研究熱點

15、。在不斷對抗發展的網絡安全領域，大語言模型不僅成為抵御復雜網絡攻擊的利器，也已然被攻擊者充分利用，不斷開發演進新的攻擊方式。例如防御方面可以開發和建立自動化威脅檢測和安全防護系統等，攻擊方面可以用于攻擊自動化、智能化社會工程攻擊、惡意軟件檢測規避等。大語言模型的應用極大地降低了攻擊利用的門 主動安全 8 檻，攻擊者無需再花費大量時間手動閱讀源碼、驗證漏洞和構建惡意利用代碼，極大提高攻擊效率和成功率，使得開發團隊和安全團隊需要以更快速處置速度應對。7.VR/AR 設備漏洞開始顯現，以人體感官為中心的設備安全面臨挑戰 網絡安全是一個動態的領域，隨著技術的進步，各種類型的漏洞與攻擊都會被引入。例如，

16、對于 VR/AR等新型設備，鑒于內容的潛在不可靠性，VR/AR 等增強現實設備可以作為黑客欺騙用戶的有效工具，成為社會工程學攻擊的一部分。例如，黑客可以通過虛假的標志或畫面顯示來扭曲用戶對現實的看法，在侵入用戶的 VR/AR 設備后，改變用戶通過設備看到的場景，這就可能會讓他們通過冒充用戶認識和信任的人來實施詐騙。在 Vision Pro 發布后的一天內，其頭顯系統 visionOS 就被發現存在一個內核漏洞。此外，在 Vision Pro 即將登陸美國市場之際，蘋果公司發布了一項緊急系統更新。此次 visionOS 1.0.2 版本的發布距離上一版本的推出僅隔一周，突顯了安全問題的緊迫性。此

17、次更新修復了一個 WebKit 漏洞，該漏洞允許攻擊者精心制作惡意網頁，一旦 Vision Pro 用戶訪問這些被感染的網頁，攻擊者便能在用戶設備上執行任意代碼，進而控制設備或竊取信息。2 2 WebWeb 應用漏洞應用漏洞 2.1 新增漏洞趨勢 針對 Web 應用的攻擊依然是互聯網的主要威脅來源之一，更多的流量入口和更易調用的方式在提高應用開發效率的同時也帶來了更復雜的安全問題。2023 年新華三漏洞知識庫收錄 Web 應用漏洞 11739 條，較 2022 年（10488 條）增長 11.9%。對比 2022 年和 2023 年每月 Web 應用漏洞變化趨勢如圖 5 所示：主動安全 9 圖

18、 5 2022 與 2023 年 Web 應用新增漏洞趨勢 2.2 漏洞分類 黑客普遍會利用 Web 應用漏洞對網絡進行滲透，以達到控制服務器、進入內網、獲取大量有價值信息的目的?？梢钥闯?2023 年 Web 應用漏洞主要集中在跨站腳本、注入、跨站請求偽造三種類型，占據全部漏洞類型的 69%?？缯灸_本與注入是 Web 應用最常見的漏洞，利用跨站腳本漏洞，黑客可以對受害用戶進行 Cookie 竊取、會話劫持、釣魚欺騙等各種攻擊；利用注入漏洞，黑客可能竊取、更改、刪除用戶數據，或者執行系統命令等，以及進一步導致網站被嵌入惡意代碼、被植入后門程序等危害?？缯菊埱髠卧煜啾?2023 年增幅較大，跨站

19、請求偽造是一種通過挾制當前用戶已登錄的 Web 應用程序從而實現非用戶本意的操作的攻擊方法，比如發郵件、發消息、改密碼、購買商品、銀行轉賬等，相對于跨站腳本攻擊來說跨站請求偽造危害更嚴重。02004006008001000120014001月2月3月4月5月6月7月8月9月10月11月12月2022年2023年 主動安全 10 圖 6 2023 年 Web 應用漏洞類型占比 2.3 重點漏洞回顧 表 1 2023 年 Web 應用重點漏洞 漏洞名稱 發布時間 CVSSv3 評分 Oracle Weblogic IIOP 協議遠程代碼執行漏洞(CVE-2023-21839)2023/01/18

20、7.5 Apache Superset身份認證繞過漏洞(CVE-2023-27524)2023/04/24 9.8 Apache Rocket遠程代碼執行漏洞(CVE-2023-33246)2023/05/24 9.8 GitLab 目錄遍歷漏洞(CVE-2023-2825)2023/05/26 10.0 Nuxt遠程代碼執行漏洞(CVE-2023-3224)2023/06/13 9.8 Spring Boot Admin Thymeleaf模板注入漏洞(CVE-2023-38286)2023/07/14 7.5 Metabase遠程代碼執行漏洞(CVE-2023-38646)2023/07/

21、21 9.8 Spring for Apache Kafka反序列化漏洞(CVE-2023-34040)2023/08/24 7.8 JetBrains TeamCity 繞過身份驗證漏洞(CVE-2023-42793)2023/09/19 9.8 Atlassian Confluence Data Center and Server權限提升漏洞(CVE-2023-22515)2023/10/04 10.0 HTTP/2拒絕服務漏洞(CVE-2023-44487)2023/10/10 7.5 Apache ActiveMQ 遠程代碼執行漏洞(CVE-2023-46604)2023/10/27

22、9.8 跨站腳本36.0%注入22.3%跨站請求偽造9.8%權限許可和訪問控制問題9.7%敏感信息泄露4.9%目錄遍歷3.2%文件上傳2.6%輸入驗證錯誤2.0%拒絕服務1.7%緩沖區錯誤1.6%其他6.3%主動安全 11 Atlassian Confluence 身份認證繞過漏洞(CVE-2023-22518)2023/10/31 9.8 Apache Tomcat 請求走私漏洞(CVE-2023-46589)2023/11/28 7.5 Apache OFBiz XMLRPC不安全反序列化(CVE-2023-49070)2023/12/05 9.8 Apache Struts2代碼執行漏洞

23、(CVE-2023-50164)2023/12/07 9.8 Apache OFBiz遠程代碼執行漏洞(CVE-2023-51467)2023/12/26 9.8 經典漏洞盤點：Oracle Weblogic IIOP 協議遠程代碼執行漏洞(CVE-2023-21839)Weblogic 是由美國 Oracle 公司出品的一款基于 JAVAEE 架構的中間件，主要用于開發、集成、部署和管理大型分布式 Web 應用、網絡應用和數據庫應用的 Java 應用服務器，在國內外應用十分廣泛。該漏洞允許未經身份驗證的遠程攻擊者通過 T3/IIOP 協議網絡訪問并破壞 WebLogic 服務器，成功利用此漏

24、洞可導致關鍵數據的未授權訪問或直接獲取 WebLogic 服務器權限。漏洞原理是通過 Weblogic T3/IIOP 協議支持遠程綁定對象 bind 到服務端，當遠程對象繼承自 OpaqueReference，lookup 查看遠程對象時，服務端調用遠程對象 getReferent 方法，其中的 remoteJNDIName 參數可控，導致攻擊者可利用 rmi/ldap 遠程協議進行遠程命令執行。GitLab 目錄遍歷漏洞(CVE-2023-2825)GitLab 是管理 Git 存儲庫的平臺，主要提供免費的公共和私人存儲庫，問題跟蹤和 wiki，不僅如此，GitLab 還提供了自己的持續集

25、成(CI)系統來管理項目，并提供用戶界面以及 GitLab 的其他功能。目前已擁有約 3000 萬名已注冊用戶以及 100 萬名付費客戶。CVE-2023-2825 漏洞源于路徑遍歷問題，當一個附件存在于至少五個組內嵌套的公共項目中時，未經認證的威脅攻擊者可以輕松在服務器上讀取任意文件。此外，利用 CVE-2023-2825 漏洞還可能會暴露包括專有軟件代碼、用戶憑證、令牌、文件和其他私人信息在內的敏感數據。威脅攻擊者可以讀取服務器上的任意文件，例如配置文件、密鑰文件、日志文件等，造成信息泄露或進一步的攻擊。安全研究人員通過長時間追蹤發現，該漏洞全球共 40 多萬個使用記錄，其中中國接近 17

26、 萬個，德國 5 萬多個，美國接近 5 萬個。Apache ActiveMQ 遠程代碼執行漏洞(CVE-2023-46604)Apache ActiveMQ 是最流行的開源、多協議、基于 Java 的消息代理。它支持行業標準協議，用戶可以在各種語言和平臺上獲得客戶端選擇的好處，用 JavaScript、C、C+、Python、.Net 編寫的客戶端連接等，使用無處不在的 AMQ P 協議集成多平臺應用程序，通過 websockets 使用 STOMP 在 web 應用程序之間交換消息。2023 年 10 月份，在 Apache ActiveMQ 發布的新版本中修復了一個遠程代碼執行漏洞 CVE

27、-2023-46604。該漏洞是由于在 BaseDataStreamMarshaller 方法中未對接收的數據進行必要的檢查，威脅攻擊者可通過構造惡意數據包通過默認的 61616 端口利用該漏洞，最終在服務器上實現遠程代碼執行。據悉，Kinsing 惡意軟件以及 HelloKitty 勒索軟件等背后的黑客組織一直積極利用 CVE-2023-46604 漏洞。威脅攻擊者利用安全漏洞來進行針對 Linux 系統的攻擊和推送 TellYouThePass 勒索軟件的初始訪問，中國、美國、德國、印度、荷蘭、俄羅斯、法國和韓國等國家成為了攻擊者主要目標。主動安全 12 Atlassian Conflue

28、nce Data Center and Server 權限提升漏洞(CVE-2023-22515)Atlassian Confluence Server 是澳大利亞 Atlassian 公司的一套具有企業知識管理功能，并支持用于構建企業 WiKi 的協同軟件的服務器版本。2023 年 10 月，安全專家在 Atlassian Confluence Server 中發現安全漏洞 CVE-2023-22515，其 CVSS 評分為滿分 10 分，利用條件低危害等級極高。該漏洞由 Confluence Data Center&Server 中的/setup 端點的訪問控制不當造成。通過利用此漏洞，攻

29、擊者可以獲得 Confluence 實例的管理員訪問權限。HTTP/2 拒絕服務漏洞(CVE-2023-44487)HTTP/2 是 HTTP 協議的最新版本，它是 HTTP/1.1 的升級版，旨在提高 Web 應用的性能和安全性。在2023 年 10 月 10 日漏洞披露后，包括微軟、Apache、Google、Amazon 在內的多個廠商同步披露該漏洞并給出修復補丁和緩解措施。既滿足客戶對漏洞的知情權也保障有足夠的 Embargo 期供廠商修復漏洞，減少傷害和降低風險。HTTP/2 作為 HTTP/1.1 的迭代版本，目前大部分的應用服務器和中間件都已支持，影響范圍較大。該漏洞源于 HTT

30、P/2 協議的 Rapid Reset 存在缺陷，攻擊者可以在 HTTP/2 協議中創建新的多路復用流，然后立即發送取消流(RST_STREAM)，導致服務器不斷分配資源處理流的創建和取消請求，最終資源耗盡導致拒絕服務。2.4 攻擊態勢分析 1.高危漏洞傳播和利用間隔縮短 最新漏洞被公布后，漏洞細節及相關利用代碼傳播速度顯著加快，在漏洞公開披露的同一天，立即會有目標被該漏洞攻擊，并在爆發第一時間就會被攻擊者整合到漏洞攻擊庫中展開全網探測掃描，而 web 服務的公開、遠程訪問特性也促使攻擊者會充分利用時間差，在漏洞修補和防御措施實施前迅速展開攻擊，從而能夠極大的提升利用成功率。2.辦公管理類系統

31、仍是核心風險區域 在當前日益數字化和網絡化的辦公環境中，辦公軟件的復雜性、功能多樣性和廣泛使用為潛在漏洞提供了更多的攻擊面，辦公類系統持續被視為攻擊者的首要目標。作為企業日常工作的核心系統，其內部存儲了大量的業務數據、員工信息等敏感資料，攻擊者會利用各種手段對此類系統進行攻擊，以獲取上述高價值數據。TellYouThePass 勒索病毒家族在 2023 年下半年對國內各類 OA、財務及 Web 系統平臺發起多輪攻擊，如 2023 年 8 月 27 日，針對某通財務管理軟件的勒索投毒攻擊，單次范圍超 1000 臺服務器。2023 年下半年，海蓮花組織使用漏洞攻擊了國內多款 OA 系統的服務器。中

32、國電信安全公司水滴實驗室追蹤發現，2023 年 11 月 28 日至 12 月 8 日，境外高級勒索團伙 Mallox 疑似利用某 OA 管理系統、某審批管理系統、某資源管理系統的漏洞攻擊中國境內二十余個企業、部門。主動安全 13 3 3 操作系統漏洞操作系統漏洞 3.1 新增漏洞趨勢 操作系統是構成網絡信息系統的核心關鍵組件，其安全可靠程度決定了計算機系統的安全性和可靠性。操作系統作為傳統的攻擊目標，其漏洞占據著重要位置。2023 年新華三漏洞知識庫收錄的操作系統漏洞總數為 2511 條，較 2022 年總數（2607 條）稍有下降，對比 2022 年和 2023 年每月操作系統漏洞變化趨勢

33、如圖 7 所示。圖 7 2022 與 2023 年操作系統新增漏洞趨勢 3.2 漏洞分類 操作系統是應用軟件和服務運行的公共平臺，其安全漏洞是網絡安全的主要隱患和風險。對于操作系統，黑客最關注的是獲得較高控制權限，進而為實施更深層次的網絡滲透提供更大的便利和可能。2023 年操作系統權限許可和訪問控制問題突出，占比 22.2%，是排名第一的漏洞，同時緩沖區溢出、代碼注入、敏感信息泄露等漏洞也是操作系統較為突出的問題，如圖 8 所示。0501001502002503003504001月2月3月4月5月6月7月8月9月10月11月12月2022年2023年 主動安全 14 圖 8 2023 年操作

34、系統漏洞種類占比 3.3 重點漏洞回顧 表 2 2023 年操作系統重點漏洞 漏洞名稱 發布時間 CVSSv3 評分 Microsoft Windows IKE Vendor ID 空指針解引用導致拒絕服務漏洞(CVE-2023-21547)2023/01/10 7.5 Microsoft Outlook特權升級漏洞(CVE-2023-23397)2023/03/14 9.8 Microsoft Message Queuing拒絕服務漏洞(CVE-2023-21554)2023/04/11 9.8 Microsoft Windows Layer 2 Tunneling Protocol拒絕服務

35、漏洞(CVE-2023-28220)2023/04/11 8.1 Windows OLE 遠程代碼執行漏洞(CVE-2023-29325)2023/05/09 8.1 Win32k 特權提升漏洞(CVE-2023-29336)2023/05/09 7.8 Windows Network File System 遠程代碼執行漏洞(CVE-2023-24941)2023/05/09 9.8 Microsoft Exchange遠程代碼執行漏洞(CVE-2023-32031)2023/06/14 8.8 Apple macOS Big Sur緩沖區溢出漏洞(CVE-2023-32434)2023/0

36、6/23 7.8 Linux Kernel ksmbd SMB2 QUERY INFO拒絕服務漏洞(CVE-2023-32248)2023/07/24 7.5 Microsoft Exchange Server身份認證繞過漏洞(CVE-2023-38181)2023/08/09 8.8 權限許可和訪問控制問題22.2%緩沖區錯誤15.7%代碼注入14.7%敏感信息泄露13.1%拒絕服務11.6%釋放后重用4.9%輸入驗證錯誤4.3%競爭條件問題2.2%命令注入2.2%資源管理錯誤1.8%其他7.3%主動安全 15 經典漏洞盤點：Microsoft Outlook 特權升級漏洞(CVE-2023

37、-23397)Microsoft Office Outlook 是微軟辦公軟件套裝的組件之一，它對 Windows 自帶的 Outlook express 的功能進行了擴充。Outlook 具有很多功能，可以使用它來收發電子郵件、管理聯系人信息、安排日程等。2023年 3 月 14 日，烏克蘭計算機應急響應小組（CERT-UA）向微軟上報的 Outlook 提權漏洞 CVE-2023-23397相關信息被公布，據稱該漏洞被 APT28 組織在 2022 年 4 月中旬和 12 月的攻擊活動中使用。CVE-2023-23397 是一個非常嚴重的漏洞，該漏洞允許攻擊者遠程獲取受害者的身份驗證憑據，

38、而無需受害者做出任何操作。漏洞原理為未經身份驗證的攻擊者通過發送特制的電子郵件，導致受害者連接到攻擊者控制的外部的 UNC 位置，造成受害者的 Net-NTLMv2 散列泄露給攻擊者，后續攻擊者可以將其中繼到另一個服務并作為受害者進行身份驗證，最終實現權限提升。根據報告該漏洞的在野利用至少從 2022 年 3 月開始，攻擊者后期以 Ubiquiti-EdgeRouter 路由器作為 C2 服務器，且攻擊活動的受害者涉及多個國家。Recorded Future 在 6 月份警告說，APT28 威脅組織很可能利用 Outlook 漏洞攻擊烏克蘭的重要組織，10 月份，法國網絡安全局（ANSSI）又

39、披露俄羅斯黑客利用該漏洞攻擊了法國的政府實體、企業、大學、研究機構和智庫。Windows Network File System 遠程代碼執行漏洞(CVE-2023-24941)NFS（Network File System）是一種用于服務器和客戶機之間文件訪問和共享的通信協議，通過它，客戶機可以遠程訪問存儲設備上的數據。CVE-2023-24941 是微軟在 2023 年 5 月份補丁日修復的一個位于Windows 網絡文件系統中的遠程代碼執行漏洞。根據微軟的描述，該漏洞可在 NFSV4.1 協議中觸發。經過分析發現，該漏洞是由于 NFS 協議在處理服務器內存不足時的方式不當所致，當申請內存

40、失敗時，程序仍然執行了寫入操作，攻擊者可以通過精心構造的 utf8strings 數據包來觸發該漏洞，從而導致服務器崩潰甚至執行任意代碼的風險。Apple macOS Big Sur 緩沖區溢出漏洞(CVE-2023-32434)Apple macOS Big Sur 是美國蘋果（Apple）公司用于 MAC 操作系統 macOS 的第 17 個主要版本。Apple macOS Big Sur 存在輸入驗證錯誤漏洞，該漏洞源于存在整數溢出問題，應用程序可能能夠使用內核權限執行任意代碼。2023 年 6 月，俄羅斯政府首次曝光了大規模的 iPhone 后門活動，威脅攻擊者利用三角測量攻擊感染了大

41、量俄羅斯外交使團和數千名使館工作人員的 iPhone。隨后，卡巴斯基方面的研究人員對其進行深入分析發現，威脅攻擊者在三角測量攻擊中使用了多達四個零日漏洞，漏洞詳情如下：CVE-2023-32434，CVSS 評分:7.8 分，內核中的整數溢出漏洞，惡意應用程序可利用該漏洞以內核權限執行任意代碼；CVE-2023-32435，CVSS 評分:8.8 分，Webkit 中的內存損壞漏洞，在處理特制的 Web 內容時可能導致任意代碼執行；CVE-2023-38606，CVSS 評分:5.5 分，Apple kernel 安全特性繞過漏洞，攻擊者使用惡意應用程序利用該漏洞能夠修改敏感的內核狀態，從而可

42、能控制設備；主動安全 16 CVE-2023-41990，CVSS 評分:7.8 分，該漏洞是處理字體文件的過程中可能導致任意代碼執行，是該漏洞利用鏈“初始入口點”。Microsoft Exchange Server 身份認證繞過漏洞(CVE-2023-38181)該漏洞存在于 Microsoft Exchange Server 中，是一個身份繞過漏洞。這是 CVE-2023-32031 的補丁繞過，它本身是 CVE-2023-21529 的繞過，而 CVE-2023-21529 是 CVE-2022-41082 的繞過，CVE-2022-41082 是在主動進攻。利用該漏洞需要進行身份驗證。

43、攻擊者可以利用此漏洞執行 NTLM 中繼攻擊，以其他用戶的身份進行身份驗證，獲得與服務器的 PowerShell 遠程會話。3.4 攻擊態勢分析 1.移動終端操作系統漏洞零日漏洞比例持續上升 移動設備如智能手機和平板電腦等已經成為人們日常生活和工作的重要工具，這些設備的操作系統漏洞可能會導致用戶的個人信息泄露、隱私泄露、甚至金融損失。在 2023 年 9 月，爆發了三個蘋果漏洞，分別是 CVE-2023-41992、CVE-2023-41991 和 CVE-2023-41993，這些漏洞被串聯使用，形成了一個漏洞鏈，用于投放監視供應商 Cytrox 的間諜軟件產品 Predator。在 202

44、3 年 5 月至 9 月期間，埃及議會前議員Ahmed Eltantawy 成為了 Predator 間諜軟件的目標，攻擊者利用此漏洞鏈盜取了大量敏感信息，造成了個人乃至于國家機密信息的泄露。2023 年末，卡巴斯基安全研究人員 Boris Larin 發布了可能是 iPhone 史上復雜程度最高、影響最廣泛的的間諜軟件攻擊之一的三角測量 Triangulation 的詳細情況細節，包括四個漏洞：CVE-2023-32434，CVE-2023-32435，CVE-2023-38606，CVE-2023-41990，這些漏洞組合在一起形成了一個零點擊漏洞鏈，威脅攻擊者可以利用其提升自身權限、執行

45、遠程代碼執行命令，甚至可以完全控制設備和用戶數據，導致無需任何用戶交互即可執行代碼，并從攻擊者的服務器下載其他惡意軟件。在四年時間里，威脅攻擊者瘋狂地襲擊了 iOS 16.2 之前的所有 iOS 版本，不僅涉及到 iPhone,還包括 Mac、iPod、iPad、Apple TV 和 Apple Watch 等。主動安全 17 圖 9 2023 年操作系統漏洞按系統分類占比 2.權限提升類漏洞數量持續占據操作系統漏洞高位 權限提升類漏洞一直以來都是操作系統漏洞中的重要組成部分，并且持續占據高位。這類漏洞允許攻擊者在系統中提升其權限級別，從而獲得比其正常權限更高的系統訪問權限。當攻擊者成功利用權

46、限提升漏洞時，可以執行一系列潛在危險的操作，如訪問敏感數據、修改系統設置、安裝惡意軟件等。2023 年微軟發布的補丁通告中，權限提升漏洞總數較多，且漏洞評分也相對較高，如 CVE-2023-21768,CVE-2023-29336 等，攻擊方式多種多樣，包括內核提權、驅動提權、API 提權等等，且在野利用中攻擊者常利用權限提升漏洞來提升用戶權限，從而盜取敏感信息或者執行其他未授權操作。4 4 網絡設備漏洞網絡設備漏洞 4.1 新增漏洞趨勢 路由器、防火墻、交換機等設備作為關鍵信息基礎設施，其自身安全性已成為世界各國密切關注的重點。網絡設備存在軟硬件漏洞可能導致設備被攻擊入侵，進而導致設備數據和

47、用戶信息泄露、設備被控、感染Windows21.2%Google Android19.4%Apple16.5%網絡設備OS11.5%Linux kernel11.4%Huawei HarmonyOS8.5%Dell3.5%其他8.0%主動安全 18 僵尸木馬程序、被用作跳板攻擊內網主機和其他信息基礎設施等安全風險和問題。2023 年新華三漏洞知識庫共收錄網絡設備類漏洞 2299 條，較 2022 年（2650 條）下降 13.2%，網絡設備新增漏洞有所減緩，但問題仍然突出。對比 2022 年和 2023 年每月網絡設備類漏洞變化趨勢如圖 10 所示。圖 10 2022 與 2023 年網絡設備

48、新增漏洞趨勢 4.2 漏洞分類 隨著各類新興技術的發展，企業 IT 系統之間的相互連接使用了更多的網絡設備，這為網絡物理系統的安全帶來了更多風險，使得企業暴露在攻擊者眼中的攻擊面大幅增加。據統計，2023 年注入類漏洞占比最高，達到 32.5%，較去年有顯著增長。其次是緩沖區溢出、權限許可和訪問控制問題，占比分別為 28.4%和 13.7%，如圖 11 所示。0501001502002503003504001月2月3月4月5月6月7月8月9月10月11月12月2022年2023年 主動安全 19 圖 11 2023 年網絡設備漏洞類型占比 4.3 重點漏洞回顧 表 3 2023 年網絡設備重點

49、漏洞 漏洞名稱 發布時間 CVSSv3 評分 Cisco IOS XE 系統 WebUI 未授權命令執行漏洞(CVE-2023-20198)2023/10/06 10.0 F5 BIG-IP 遠程代碼執行漏洞(CVE-2023-46747)2023/10/26 9.8 Citrix NetScaler ADC&Gateway信息泄露漏洞(CVE-2023-4966)2023/10/10 9.4 Netgear_D_R_Router_命令注入漏洞(CVE-2023-33533)2023/06/06 8.8 Fortinet FortiOS and FortiProxy SSL-VPN 緩沖區溢出

50、漏洞（CVE-2023-27997）2023/06/13 9.8 Ivanti Sentry MICSLogService 認證繞過漏洞（CVE-2023-38035）2023/08/21 9.8 梭子魚郵件安全網關命令注入漏洞（CVE-2023-2868）2023/05/24 9.8 Sophos Web Appliance 命令注入漏洞(CVE-2023-1671)2023/04/04 9.8 JumpServer未授權訪問漏洞(CVE-2023-42442)2023/09/15 8.2 經典漏洞盤點：梭子魚郵件安全網關命令注入漏洞（CVE-2023-2868）注入32.5%緩沖區錯誤28

51、.4%權限許可和訪問控制問題13.7%跨站腳本7.2%敏感信息泄露5.0%拒絕服務4.7%目錄遍歷2.5%輸入驗證錯誤1.5%其他4.4%主動安全 20 Barracuda Email Security Gateway 是 Barracuda 公司的一種電子郵件安全網關，可管理和過濾所有入站和出站電子郵件流量，以保護組織免受電子郵件威脅和數據泄露。2023 年 5 月 23 日，Barracuda Networks披露了其電子郵件安全網關（ESG）設備中的一個零日漏洞（CVE-2023-2868）。調查顯示，該遠程命令注入漏洞早在 2022 年 10 月就已被利用。Barracuda Emai

52、l Security Gateway 5.1.3.001 到 9.2.0.006 版本存在安全漏洞，該漏洞源于用戶提供的 tar 文件存在問題，攻擊者利用該漏洞可以遠程執行系統命令。Citrix Systems NetScaler ADC 和 NetScaler Gateway 安全漏洞（CVE-2023-4966）2023 年 8 月下旬，網絡安全研究人員持續發現 CVE-2023-4966 漏洞在野被利用，根據攻擊事件中成功利用 CVE-2023-4966 的結果，這個漏洞會導致 NetScaler ADC 和網關設備上的合法用戶會話被接管，會話接管繞過了密碼和多重身份驗證。威脅攻擊者使用

53、特制的 HTTP GET 請求，迫使目標設備返回身份驗證后和 MFA 檢查后發布的有效 Netscaler AAA 會話 cookie 等系統內存內容，在竊取這些驗證 cookie 后，網絡攻擊者可以無需再次執行 MFA 驗證，便可訪問設備。更糟糕的是，研究人員發現疑似 LockBit 勒索軟件組織正在利用其發起網絡攻擊攻擊活動，通過越界竊取 cookie 等敏感信息，從而繞過身份驗證，獲取系統權限，然后植入勒索病毒進行勒索攻擊。此漏洞是由于 Citrix NetScaler ADC 和 NetScaler Gateway在處理 OpenID Connect Discovery endpoin

54、t 時的緩沖區管理不當，導致攻擊者可以通過發送包含大量字符的 HTTP Host 頭的請求來觸發緩沖區溢出，導致敏感信息泄露。攻擊者可利用泄露的用戶 session，登陸進入內網，執行任意操作。Cisco IOS XE Web UI 權限提升漏洞（CVE-2023-20198）Cisco IOS（Internetwork Operating System，簡稱 IOS）是思科公司（Cisco System）為其網絡設備開發的操作維護系統。IOS XE 是思科 IOS 操作系統的一種，Cisco IOS XE Web UI 是一種基于 GUI 的嵌入式系統管理工具，能夠提供系統配置、簡化系統部署

55、和可管理性，并增強用戶體驗。Cisco IOS XE 軟件的 Web UI 功能中存在漏洞，當暴露于互聯網或不受信任的網絡時，未經身份驗證的遠程威脅者可利用該漏洞創建具有 15 級訪問權限的帳戶，并使用該帳戶來控制受影響的系統。該漏洞的 CVSSv3 評分為10.0，影響啟用了 Web UI 功能的 Cisco IOS XE 軟件。根據 Censys 和 LeakIX 的數據，估計有超過 41,000 臺運行易受攻擊的 IOS XE 軟件的思科設備已被利用這兩個安全漏洞的威脅者所破壞。F5 BIG-IP 遠程代碼執行漏洞（CVE-2023-46747）F5 BIG-IP 是美國 F5 公司的一

56、款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。F5 BIG-IP Configuration utility 存在安全漏洞，該漏洞源于存在遠程代碼執行（RCE）漏洞。攻擊者可利用該漏洞通過 management port 或 self IP addresses 執行任意系統命令。Citrix NetScaler ADC 會話劫持及網關漏洞（CVE-2023-4966）Citrix NetScaler ADC（Application Delivery Controller）是一個高級的負載均衡器和網絡性能優化解決方案。2023 年 10 月 10 日，安全研究人員發現并披

57、露 Citrix Bleed CVE-2023-4966 漏洞。2023 年 8 月下旬，網絡安全研究人員持續發現 CVE-2023-4966 漏洞在野被利用，根據攻擊事件中成功利用 CVE-2023-4966 的結果，這個漏洞會導致 NetScaler ADC 和網關設備上的合法用戶會話被接管，會話接管繞過了密碼和多重身份驗證。威脅攻擊者使用特制的 HTTP GET 請求，迫使目標設備返回身份驗證后和 MFA 檢查后發布的有效 Netscaler AAA 會話 cookie 等系統內存內容，在竊取這些驗證 cookie 后，網絡攻擊者可以無需再次執行 MFA 驗證，便可訪問設備。更糟糕的是，

58、CVE-2023-4966 漏洞被業內臭名昭著 LockBit 主動安全 21 勒索軟件盯上了，研究人員發現疑似 LockBit 勒索軟件組織正在利用其發起網絡攻擊攻擊活動，通過越界竊取 cookie 等敏感信息，從而繞過身份驗證，獲取系統權限，然后植入勒索病毒進行勒索攻擊。4.4 攻擊態勢分析 1.勒索組織利用網絡設備漏洞開展大量勒索行動 現代企業為保障業務正常運行會大量采購網絡設備，包括服務器、路由器和交換機等設備，這些設備存儲著大量敏感信息。一旦存在未修復的信息泄露漏洞，黑客組織就可能利用漏洞進入后臺，甚至勒索企業要求支付大額贖金。如果企業拒不支付，則重要數據可能被公開，而支付贖金又會進

59、一步助長勒索組織的攻擊行動。以 2023 年 11 月 8 日工商銀行旗下的 ICBC Financial Services 遭受勒索病毒攻擊事件為例，部分金融服務系統遭到中斷，不得不通過 U 盤手動傳遞結算信息才能完成金融交易。據報道，該次入侵的手段大多指向 CVE-2023-4966（Citrix NetScaler ADC&Citrix NetScaler Gateway 信息泄露漏洞）。攻擊者利用未打補丁的 Citrix NetScaler 設備進行了入侵。值得注意的是，Citrix Bleed 在 2023 年 10 月 10 日披露了 CVE-2023-4966 漏洞詳情，而 10

60、 月 25 日 AssetNote 公布了 Citrix Bleed 漏洞的 PoC 以及分析，僅兩周后 ICBC Financial Services 遭受了勒索病毒攻擊。這一事件表明黑客組織將漏洞快速武器化，在未及時進行漏洞修補的情況下，企業面臨巨大的風險被攻擊。2.物聯網設備遭受的攻擊急劇增加 隨著物聯網技術的不斷發展和普及，越來越多的設備被連接到互聯網上。這些設備包括智能家居、工業控制系統、醫療設備等。然而，由于物聯網設備的生產商往往缺乏足夠的安全意識和技術能力，并且常運行在低功耗、低成本的硬件上，這使得它們更容易受到攻擊。此外，許多物聯網設備的操作系統和軟件存在已知的安全漏洞，許多組

61、織和個人在使用物聯網設備時缺乏足夠的安全意識，他們可能沒有采取適當的安全措施來保護設備和數據，從而使設備容易受到攻擊。根據 Check Point 的報告，與 2022 年相比，2023年前兩個月每個組織的平均每周攻擊次數增加了 41%。平均每周，54%的組織遭受針對物聯網設備的網絡攻擊，攻擊主要發生在歐洲，其次是亞太地區和拉丁美洲。主動安全 22 圖 12 2017-2023 年網絡安全產品漏洞趨勢 5 5 數據庫漏洞數據庫漏洞 5.1 新增漏洞趨勢 隨著云技術、數字化轉型的蓬勃發展，數據庫被企事業單位廣泛使用到私有云、公有云、行業云等開放、半開放場景中。本地的數據庫也逐漸跟隨業務從幕后走向

62、前臺，從內網走向外網，從實體走向虛擬（云）。正因如此，數據庫處于新的環境之中，給黑客帶來了更多可以入侵的機會。2023 年新華三漏洞知識庫收錄數據庫漏洞總數 298 條，相比 2022 年（337 條）下降 11.5%，對比 2022 年和 2023 年每月數據庫漏洞變化趨勢如圖 13 所示。22632223240361244047501002003004005006007002017201820192020202120222023 主動安全 23 圖 13 2022 與 2023 年數據庫系統新增漏洞趨勢 5.2 漏洞分類 MySQL 數據庫作為傳統的關系型數據庫，由于代碼開源、版本眾多，2

63、023 年漏洞數量仍然位居第一，占據總漏洞的 32.4%，但相比去年減少，如圖 14 所示。IBM DB2 2023 年暴露漏洞較多，占比 14.3%，排名第二。圖 14 2023 年各數據庫系統漏洞占比 從漏洞類型分布上來看，主要集中在權限許可和訪問控制問題、代碼注入、拒絕服務三種類型，占據全部漏洞類型的 67.7%，如圖 15 所示。權限許可和訪問控制問題漏洞相比 2023 年增幅較大，對于數據庫，0204060801001201401月2月3月4月5月6月7月8月9月10月11月12月2022年2023年Oracle MySQL32.4%IBM DB214.3%Microsoft ODB

64、C Driver7.0%Oracle Database5.5%Redis4.4%Microsoft SQL Server3.7%MonetDB3.7%PostgreSQL3.3%其他25.7%主動安全 24 其最主要風險為權限控制與配置問題。當黑客入侵數據庫或內部員工濫用權限時，敏感數據可能會被竊取或泄露。這可能導致個人隱私泄露、財務損失以及聲譽受損。圖 15 2023 年數據庫漏洞類型占比 5.3 重點漏洞回顧 表 4 2023 年數據庫重點漏洞 漏洞名稱 發布時間 CVSSv3 評分 Neo4j XXE漏洞(CVE-2023-23926)2023/2/16 8.1 SQLite JDBC遠

65、程代碼執行漏洞(CVE-2023-32697)2023/5/23 9.8 OpenTSDB 注入漏洞(CVE-2023-36812)2023/6/30 9.8 Oracle MySQL Connectors代碼執行漏洞(CVE-2023-22102)2023/10/18 8.3 Redis RedisGraph代碼執行漏洞(CVE-2023-47004)2023/11/7 8.8 PostgreSQL JDBC Driver SQL注入漏洞(CVE-2023-2454)2023/12/11 6.6 經典漏洞盤點：Redis RedisGraph 代碼執行漏洞(CVE-2023-47004)Re

66、dis（全稱為 Remote Dictionary Server）是一個使用 ANSI C 編寫的高性能鍵值對存儲系統，具有快速、靈活和可擴展的特性。它是一個基于內存的數據結構存儲系統，可以用作數據庫、緩存和消息代理。權限許可和訪問控制問題31.6%代碼注入19.9%拒絕服務16.2%輸入驗證錯誤6.4%敏感信息泄露4.7%SQL注入4.7%緩沖區錯誤3.7%跨站腳本3.0%其他9.8%主動安全 25 RedisGraph 是 Redis 實驗室開發的一個 Redis 模塊，用于將圖形數據庫功能添加到 Redis 數據庫中。該漏洞由于 RedisGraph 對字符串數組的長度計算錯誤，導致緩沖

67、區溢出；成功利用該漏洞可能導致在易受攻擊的 Redis 實例上執行任意代碼。Oracle MySQL Connectors 代碼執行漏洞(CVE-2023-22102)Oracle MySQL Server 是美國甲骨文（Oracle）公司的一款關系型數據庫。Oracle MySQL 的 MySQL Connectors 產品中存在代碼執行漏洞。允許未經身份驗證的攻擊者通過多種協議訪問網絡來破壞 MySQL連接器，成功利用此漏洞可導致攻擊者接管 MySQL 連接器。SQLite JDBC 遠程代碼執行漏洞(CVE-2023-32697)SQLite 是一個進程內的輕量級嵌入式數據庫，它的數據庫

68、就是一個文件，實現了自給自足、無服務器、零配置以及事務性的 SQL 數據庫引擎功能。SQLite JDBC 是一個用于在 Java 中訪問和創建 SQLite 數據庫文件的庫。Sqlite-jdbc 存在一個通過 JDBC URL 可以執行遠程代碼的漏洞。攻擊者可以通過構造惡意的 JDBC URL，執行任意 Java 代碼，造成服務器被入侵或數據被泄露等危害。PostgreSQL JDBC Driver SQL 注入漏洞(CVE-2023-2454)PostgreSQL 是一種特性非常齊全的自由軟件的對象-關系型數據庫管理系統（ORDBMS），由加州大學計算機系開發。該系統支持大部分 SQL

69、標準并且提供了許多其他特性，例如外鍵、觸發器、視圖等。PostgreSQL JDBC Driver 是一個用 Pure Java（Type 4）編寫的開源 JDBC 驅動程序，用于 PostgreSQL 本地網絡協議中進行通信。PostgreSQL 11.0 至 11.20 之前版本、12.0 至 12.15 之前版本、13.0 至 13.11之前版本、14.0 至 14.8 之前版本、15.0 至 15.3 之前版本存在輸入驗證錯誤漏洞，攻擊者可利用該漏洞以提升的權限執行任意代碼。5.4 攻擊態勢分析 1.主流數據庫依然是漏洞攻擊的高發區 主流數據庫如 MySQL、Oracle 和 Micr

70、osoft SQL Server 等在全球范圍內擁有大量的用戶，這意味著黑客可以更加便捷攻擊這些數據庫，進而獲取大量的敏感信息，如個人身份信息、財務數據和企業機密等。主流數據庫還具有復雜的功能和結構，涉及到多個組件和交互，使得它們在設計和實現上可能存在更多的潛在安全漏洞。主流數據庫系統通常與各種第三方工具、插件和庫集成，這些集成可能帶來額外的安全風險，因為第三方組件可能存在漏洞或與數據庫系統的集成方式存在安全問題等。例如：2023 年 7 月美國Metabase 公司數據分析和可視化工具 Metabase，被發現存在遠程命令執行漏洞(CVE-2023-38646)，黑客可以利用這些漏洞來繞過訪

71、問控制、執行未授權操作或竊取數據。主動安全 26 2.數據庫攻擊態勢呈現出更高的復雜性和針對性 近年來，隨著 APT 組織的興起，數據庫成為了其漏洞利用的主要目標之一。APT 組織利用其高度的組織結構和豐富的資源，對特定行業、地區或組織進行深入的偵查、滲透和竊取數據，導致整體攻擊態勢呈現出高度的復雜性和針對性。其次，隨著攻擊者對數據庫技術的了解越來越深入，他們開始利用更復雜的攻擊手段來繞過傳統的安全防護措施。隨著攻擊者的技戰法的提升以及新型技術的涌現，攻擊者開始利用自動化工具和人工智能技術來進行數據庫攻擊，這些工具可以快速識別目標系統的安全漏洞，并自動執行攻擊任務。這使得攻擊過程更加高效和隱蔽

72、，給企業帶來了更大的安全防護壓力。6 6 工控系統漏洞工控系統漏洞 6.1 新增漏洞趨勢 在德國工業 4.0、美國工業互聯網、中國制造 2025 等戰略的不斷推進下，再加上物聯網、云計算、大數據、5G 等新一代信息技術的融合發展，工業生產網絡逐漸與辦公網、互聯網以及第三方網絡進行互聯互通，使得原本封閉可信的工業生產環境被打破，面臨了病毒、木馬、黑客、敵對勢力等威脅。針對工業控制系統的各種網絡攻擊事件逐步升級，尤其在電力、燃氣、化工、石油、鐵路、新能源、核應用等相關領域的關鍵網絡一直都是全球攻擊者的重要目標。2023 年新華三漏洞知識庫收錄的工控漏洞總數為 699 條，總數比 2022 年（66

73、3 條）上升 5.4%，對比 2022 年和 2023 年每月工控系統漏洞變化趨勢如圖 16 所示：主動安全 27 圖 16 2022 與 2023 年工控系統新增漏洞趨勢 6.2 漏洞分類 工業控制系統作為工業生產運行的基礎核心，其網絡安全事關企業運營和生產安全、事關產業鏈供應鏈安全穩定、事關經濟社會運行和國家安全。工業設備的高危漏洞、后門、病毒、高級持續性威脅以及無線技術應用帶來的風險，給工業控制系統的安全防護帶來巨大挑戰。根據統計，2023 年緩沖區溢出、權限許可和訪問控制問題、注入等是工控系統最為突出的問題，如圖 17 所示，各類型占比和 2022 年相差不大。020406080100

74、1201月2月3月4月5月6月7月8月9月10月11月12月2022年2023年 主動安全 28 圖 17 2023 年工控系統漏洞種類占比 6.3 重點漏洞回顧 表 5 2023 年工控系統重點漏洞 漏洞名稱 發布時間 CVSSv3 評分 Contec SolarView Compact命令注入漏洞(CVE-2023-23333)2023/02/06 9.8 Rockwell Automation ThinManager緩沖區溢出漏洞(CVE-2023-27857)2023/03/22 7.5 Delta Electronics DX-2100-L1-CN 跨站腳本漏洞(CVE-2023-0

75、432)2023/03/31 9.0 MySCADA myPRO 操作系統命令注入漏洞(CVE-2023-28384)2023/04/27 9.9 SDG Technologies PnPSCADA SQL注入漏洞(CVE-2023-1934)2023/05/12 7.5 Advantech iView ConfigurationServlet SQL注入漏洞(CVE-2023-3983)2023/07/31 8.8 FUXA 任意命令執行漏洞(CVE-2023-33831)2023/09/18 9.8 經典漏洞盤點：Contec SolarView Compact 命令注入漏洞(CVE-20

76、23-23333)Contec SolarView Compact 是日本 Contec 公司提供光伏發電測量的應用系統，可幫助太陽能光伏電站內的人員監控產生、存儲和配電。Contec 表示，全球大約 3 萬個發電站已經引進了這些設備，根據運營規模和使用的設備類型不同，SolarView 設備提供不同的封裝形式。Contec SolarView Compact 6.00 版本及之前版本存在安全漏洞。攻擊者利用該漏洞通過 downloader.php 繞過內部限制來執行命令。緩沖區錯誤32.4%權限許可和訪問控制問題19.5%注入15.7%跨站腳本5.8%敏感信息泄露5.4%輸入驗證錯誤5.0%

77、拒絕服務4.7%目錄遍歷3.9%其他7.4%主動安全 29 MySCADA myPRO 操作系統命令注入漏洞(CVE-2023-28384)MySCADA myPRO 是一個應用軟件。myPRO 是專業的 HMI/SCADA 系統，主要設計用于工業過程的可視化和控制。美國網路安全暨基礎設施安全局（CISA）于 2023 年 4 月 6 日，針對 mySCADA、Hitachi Energy 等廠牌的 SCADA 控制器重大漏洞提出警告。其中最嚴重的漏洞，出現在 mySCADA myPRO，CVE-2023-28400、CVE-2023-28716、CVE-2023-28384、CVE-2023

78、-29169、CVE-2023-29150，皆為作業系統的命令注入漏洞，CVSS 風險評分為 9.9。mySCADA myPRO 8.26.0 版本及之前版本存在安全漏洞，該漏洞源于 mySCADA myPRO 某些參數存在安全問題。攻擊者利用該漏洞通過參數注入任意操作系統命令。FUXA 任意命令執行漏洞(CVE-2023-33831)FUXA 是一個開源的基于網絡的過程可視化（SCADA/HMI/Dashboard）軟件。FUXA 1.1.13 版本存在安全漏洞，該漏洞源于/api/runscript 端點中存在遠程命令執行(RCE)漏洞。攻擊者可利用該漏洞通過設計POST 請求執行任意命令

79、。6.4 攻擊態勢分析 1.政治因素仍為工控安全攻擊主要導火索 工控系統在能源、鋼鐵、化工、電力、交通、水利等行業有著廣泛應用，由于這些行業涉及社會運轉的各類基礎設施，且針對工業系統的攻擊會破壞工業系統的正常運行，極易造成停產、停電等大規模的破壞，所以針對工控系統也成為了一些具有政治動機的黑客組織的首要攻擊目標。2023 年 1 月，黑客組織GhostSec 聲稱對白俄羅斯的工業遠程終端單元進行了攻擊，造成了當地工廠停產停工。該組織是Anonymous 旗下的一個黑客主義行動組織，主要從事一些政治動機的黑客行為，此次攻擊顯然與俄烏沖突相關；2023 年 4 月，以色列胡拉谷地區的水利系統遭受攻

80、擊，導致數千臺灌溉檢測系統停止運作，多個受害者農場停產，直接影響了該地區農業生產。據傳是此次攻擊源于 Oplsrael 活動，此活動是由伊斯蘭國家黑客組織的，每年一次，目的是反對以色列政府和破壞以色列基礎設施；2023 年 7 月，我國武漢市地震監測中心部分地震速報數據前端臺站采集點網絡設備被植入后門，地震監控數據被竊取，相關人員調查取證后判斷此次事件為境外某具有政府背景的黑客組織發起的攻擊行為。由此觀之，工控系統已經成為具有政治因素的黑客組織重點目標，一旦遭受攻擊，影響面巨大，對國家安全、經濟發展和社會穩定都會造成嚴重影響。2.工控網絡風險因為暴露面增加持續上升 隨著數字化轉型的進行，新興的

81、網絡風險管理方法正在推動 OT 和 IT 之間的融合，越來越多之前封閉的工控系統正暴露在攻擊之下。工控產業的 OT 資產控制著能源、制造、公共交通等許多關鍵基礎設施和其他重要系統，對國家安全、經濟發展和民生有著至關重要的作用，但是由于其中許多系統缺少有效的安全保護措施，很難或根本無法進行修復和打補丁，對于攻擊者來說，都是高效的切入點。隨著 OT 與 IT 網 主動安全 30 絡融合發展，攻擊者越來越多地利用其中一個環境中的漏洞來接觸另一個環境中的資產，工控網絡所面臨的風險也伴隨著攻擊者關注度提升和利用手段的增加持續上升，與其他網絡環境所面對的情況一樣，工控系統也迫切需要更有效的方法來檢測和解決

82、 OT 安全漏洞。7 7 云計算平臺漏洞云計算平臺漏洞 7.1 新增漏洞趨勢 在當今快速發展的數字化時代，云計算技術已成為企業現代化 IT 架構的關鍵組成部分。然而，隨著其普及和應用，安全問題也愈發引人關注。2023 年，云計算安全領域取得了重大突破，通過一系列安全管控手段，有效降低了高危漏洞和數據泄露的風險。2023 年新華三漏洞知識庫收錄云計算平臺漏洞 888 條，比 2022 年（總數 1353 條）下降 34.3%，近 2 年漏洞增長趨勢如圖 18 所示：圖 18 2022 與 2023 年云計算平臺新增漏洞趨勢 7.2 漏洞分類 在云計算環境中，安全風險主要來自于以下幾個方面：數據泄

83、露、系統崩潰、服務中斷、未經授權的訪問等。數據泄露可能發生在數據的傳輸、存儲和處理過程中，若被惡意利用，將導致嚴重的法律和財務風險。0204060801001201401601802001234567891011122022年2023年 主動安全 31 系統崩潰和服務中斷則會影響云計算服務的可用性，對用戶體驗和業務連續性造成嚴重影響。根據 2023年數據統計，云計算漏洞類型主要分布在權限許可和訪問控制問題、注入、敏感信息泄露、拒絕服務，這幾種類型總共占比 65.9%，如圖 19 所示。圖 19 2023 年云計算平臺漏洞類型占比 7.3 重點漏洞回顧 表 6 2023 年云計算平臺重點漏洞 漏

84、洞名稱 發布時間 CVSSv3 評分 VMware Aria Operations for Logs 不安全反序列化漏洞(CVE-2023-20864)2023/04/20 9.8 Apache Spark 命令注入漏洞(CVE-2023-32007)2023/05/02 8.8 VMware Aria Operations 命令注入漏洞(CVE-2023-20887)2023/06/07 9.8 CloudExplorer Lite 命令注入漏洞(CVE-2023-38692)2023/08/04 9.8 VMware Aria Operations for Networks saveFil

85、eToDisk 目錄穿越漏洞(CVE-2023-20890)2023/08/29 7.2 Docker Desktop 代碼注入漏洞(CVE-2023-0625)2023/09/25 9.8 VMware vCenter Server 緩沖區錯誤漏洞(CVE-2023-34048)2023/10/25 9.8 VMware Cloud Director 安全漏洞(CVE-2023-34060)2023/11/14 9.8 經典漏洞盤點：權限許可和訪問控制問題27.9%注入18.6%敏感信息泄露11.8%拒絕服務7.6%跨站腳本6.5%緩沖區錯誤6.2%輸入驗證錯誤4.1%目錄遍歷4.0%其他1

86、3.4%主動安全 32 VMware Aria Operations for Logs 不安全反序列化漏洞(CVE-2023-20864)VMware Aria Operations for Logs（以前稱作 vRealize Log Insight）是 VMware 推出的針對私有云、混合云等大型數據中心環境日志事件的統一管理平臺。通過集中式日志管理、深入的運營可見性和智能分析來大規模管理數據，以便跨私有云、混合云和多云環境進行故障排除和審計。2023 年 4 月，VMware 官方發布了安全通告，VMware Aria Operations for Logs 存在反序列化漏洞，未經身份驗

87、證的攻擊者可以利用該漏洞在遠程服務器上執行任意代碼，從而獲取到遠程服務器的權限。VMware Aria Operations 命令注入漏洞(CVE-2023-20887)2023 年 6 月，研究人員發現了 VMware Aria Operations for Networks（以下簡稱 Aria Operations）中存在命令注入漏洞，影響該軟件 6.2 至 6.10 版本。服務器配置中的漏洞以及不正確的輸入處理導致了該漏洞，未經身份驗證的用戶以及有權訪問 Aria Operations 的惡意攻擊者都可以利用該漏洞以管理員權限實現遠程代碼執行。在 Aria Operations 存在漏洞

88、的版本中，Nginx 中定義的規則存在錯誤配置導致了未授權訪問。此外，還有個 API 函數使用管理員權限接受用戶輸入而不對其進行處理。將這兩個漏洞結合起來，攻擊者可以發送特定的請求來實現遠程代碼執行。VMware vCenter Server 緩沖區錯誤漏洞(CVE-2023-34048)vCenter Server 是 VMware vSphere 虛擬化架構的核心管理組件，為 ESXI 主機和虛擬機提供管理服務，通過 vCenter Server 可以集中管理多臺 ESXI 主機和虛擬機。2023 年 10 月，VMware vCenter Server 修復了一個越界寫入漏洞（CVE-2

89、023-34048），其 CVSSv3 評分為 9.8。由于 vCenter Server 在 DCE/RPC協議的實現中存在漏洞，具有 vCenter Server 網絡訪問權限的遠程威脅者可利用該漏洞觸發越界寫入，從而導致遠程代碼執行。根據研究，該漏洞在 2021 年開始已經被黑客組織利用。Docker Desktop 代碼注入漏洞(CVE-2023-0625)Apache Spark 是美國阿帕奇（Apache）軟件基金會的維護的一款支持非循環數據流和內存計算的大規模數據處理引擎。Spark 優點在于能更好地適用于數據挖掘與機器學習等需要迭代的 MapReduce 算法。Apache S

90、park UI 提供了通過配置選項 Spark.acl.enable 啟用 acl 的可能性。使用身份驗證過濾器，這將檢查用戶是否具有查看或修改應用程序的訪問權限。如果啟用了 acl，HttpSecurityFilter 中的代碼路徑可以允許某人通過提供任意用戶名來執行命令。惡意用戶可能能夠訪問權限檢查功能，該功能最終將根據他們的輸入構建一個 Unix shell 命令并執行它，這將導致任意 shell 命令執行。7.4 攻擊態勢分析 1.云服務遭受攻擊導致的癱瘓事件增多 2023 年，微軟、西部數據、Leaseweb 和其他云服務供應商因遭受網絡攻擊屢屢故障，云中斷造成的損失越來越大，這要求

91、云服務提供商投入更多資源來提升網絡安全防護能力，以確保用戶數據的安全和服務的穩定性。全球知名硬盤和數據存儲服務提供商西部數據 2023 年 4 月遭受網絡攻擊，攻擊者獲得了多個公司系統的訪問權限，并導致 My Cloud 云服務癱瘓超過 24 小時。2023 年 6 月，微軟用戶發現 Azure 云平臺門戶經歷了一次重大中斷，“匿名蘇丹”組織聲稱對 Azure 門戶進行了 DDoS 攻擊。2023 年 8 月，丹麥大 主動安全 33 型云服務提供商 CloudNordic 發表在線聲明，宣布服務器遭勒索軟件加密，導致所有客戶數據丟失，公司陷入“徹底癱瘓”。同月，全球最大的云計算和托管服務提供商

92、之一 Leaseweb 通知用戶，公司最近遭遇一起安全事件，導致一些“關鍵”系統被迫關閉。2.云計算 N-Day 漏洞被勒索組織大肆利用 隨著 VMware ESXi 成為最流行的虛擬化平臺之一，大量勒索團伙都開始發布針對 ESXi 平臺的勒索加密程序，包括 N-Day 漏洞。2023 年 2 月，多個安全廠商就名為 ESXi Aras 的大規模勒索軟件攻擊發出預警，此次攻擊針對存在歷史漏洞 CVE-2021-21974 的 ESXi，攻擊者通過此漏洞可實現遠程代碼執行。有消息源指出多個惡意軟件團伙利用了 2021 年 9 月 Babuk 勒索軟件泄露的源代碼，構建了多達 9 個針對VMwar

93、e ESXi 系統的不同勒索軟件家族，其變體從 2022 年下半年至 2023 年上半年持續出現，這凸顯了勒索軟件對于高價目標的針對性不斷提升，這也讓高價值目標必須解決自身的老舊漏洞問題。8 8 總結與建議總結與建議 8.1 總結 2023 年全球網絡安全事件頻發，數據泄露、業務中斷、工廠停工等時有發生，網絡安全形勢依然嚴峻，甚至愈加錯綜復雜。隨著技術的發展，網絡安全漏洞的趨勢也在不斷變化，零日漏洞的利用增加，云計算、物聯網、車聯網、人工智能等新興技術領域成為重點攻擊對象。勒索軟件攻擊更加有針對性，生成式人工智能技術可能被用于更復雜的網絡攻擊并降低攻擊門檻。網絡攻擊方轉向以多重手段規避網絡安全

94、防線，攻擊目標也愈加精準。2023 年漏洞總數仍然在快速增長，Web 應用、操作系統、網絡設備、數據庫、工控系統、云計算平臺漏洞都被大肆利用，任何一類漏洞都有可能造成蠕蟲病毒傳播事件或者勒索事件的爆發。其中 Web 類超高危漏洞數量持續攀升，使用范圍廣的服務框架、平臺、中間件、管理系統等仍是攻擊重點，利用難度低危害大的漏洞一旦出現，很快被黑客組織使用，給全球造成較大影響；操作系統零日漏洞增多，權限提升類漏洞持續占據高位，Exchange 漏洞受到勒索組織青睞，用來進行橫向移動、權限提升進而達到加密文件及竊取數據的目的，而移動終端系統漏洞依然高發，多個在野 0day 被發現，導致個人乃至于國家機

95、密信息的泄露；網絡邊界設備漏洞被有組織的黑客武器化，成為攻擊內網及其他基礎設施的跳板；工控系統安全由于影響重大，不僅是勒索組織的頭號目標，也隨著全球地緣政治沖突在不斷升級；云計算相關組件及引擎、虛擬化軟件等均爆出多個關鍵漏洞，且相關漏洞利用代碼被廣泛傳播，在多起網絡安全事件中發現漏洞被利用，造成云服務器癱瘓、勒索事件等，嚴重危害了相關云平臺的安全。主動安全 34 網絡空間安全態勢需要企業和組織采取綜合性的防御措施。包括實施供應商審查機制以抵御供應鏈攻擊，加強賬戶安全以應對身份和憑證欺詐，建立漏洞管理體系以有效防范安全漏洞威脅，以及強化分段網絡管理來提高數據安全應對能力。這些措施旨在面對日益復雜

96、的網絡威脅，確保網絡系統和數據得到充分的保護，維護業務的正常運行和客戶安全。8.2 安全建議 在漏洞態勢不斷發生變化的大環境中，新華三秉承“主動安全”的核心理念，從漏洞的視角針對目前的安全建設提出建議，如及時安裝系統和軟件的更新補丁，隔離辦公網和生產環境，主機進行集成化管理，配置防護系統實時對攻擊進行阻斷，禁止外部 IP 訪問特殊端口（如 139、445、3389 端口），采用最小化端口與服務暴露原則等。具體細分領域的建議如下：1.Web 應用安全建議 Web 類應用系統的應用軟件需要具備一定的安全功能，來保證系統本身不被攻擊或破壞。能夠通過某種形式的身份驗證來識別用戶，并確保身份驗證過程是安

97、全的。為了防止一些惡意輸入，還要對輸入的數據和參數進行校驗。另外還要考慮 Web 系統的安全配置、敏感數據的保護、用戶的權限管理以及所有操作的安全審計。因此 Web 應用系統本身安全建議如下：身份驗證：管理頁面采取強口令策略。系統登錄驗證口令具備一定的復雜度。網頁上的登錄、認證表單加入強身份認證機制，如驗證碼、動態口令卡等。對于常見的敏感帳號，如：root、admin、administrator等，在系統安裝完成之后修改為其它名稱或者禁用。會話管理：會話過程中不允許修改的信息，作為會話狀態的一部分在服務器端存儲和維護。不通過隱藏域或 URL 重寫等不安全的方式存儲和維護。不使用客戶端提交的未經

98、審核的信息來給會話信息賦值，防止會話信息被篡改。用戶登錄后分配新的會話標識，不能繼續使用用戶未登錄前所使用的標識。權限管理：用戶權限最小化和職責分離。一個帳號只能擁有必需的角色和必需的權限。授權和用戶角色數據存放在服務器端，鑒權處理也在服務器端完成。不將授權和角色數據存放在客戶端中（比如 Cookie或隱藏域中），以防止被篡改。拒絕用戶訪問 Web 服務器上不公開的內容，應對各種形式執行程序的訪問進行控制。敏感數據保護：敏感數據（比如密碼、密鑰等）加密存儲、加密傳輸。隱藏域中不存放明文形式的敏感數據。采用安全的密碼算法對敏感信息進行加密。程序設計：不在程序中將密碼、密鑰等數據固化，不在代碼中存

99、儲如數據庫連接字符串、口令和密鑰之類的敏感數據。安全審計：對于業務運行異常、非法訪問、非法篡改等異常行為應有完整的記錄，包括事件的源 IP、事件的類型、事件發生的動作、事件時間等。代碼安全：在開發過程中，注意代碼安全，主要包括對 SQL 注入、用戶輸入腳本過濾、Cookie 管理、信息泄露等常見威脅的預防。在代碼注釋信息中禁止包含數據庫連接信息、SQL 語句信息。主動安全 35 中間件安全：中間件版本、安全補丁及時更新，加強安全配置、安全加固，避免被黑客等利用攻擊整個系統。2.操作系統安全建議 操作系統是運行應用程序的物理環境，操作系統中的任何漏洞都可能危害應用程序的安全。通過保護操作系統安全

100、，可以使環境穩定，控制資源的訪問，以及控制環境的外部訪問。針對操作系統的安全策略和建議如下：用戶帳戶策略：限制服務器計算機上的用戶帳戶數，減少不必要的和舊的用戶帳戶；確保僅一些可信用戶具有對服務器計算機的管理訪問權限，為運行應用程序的帳戶分配所需的最低訪問權限。密碼策略：開發和管理操作系統安全的密碼策略，采用高強度密碼規則。文件系統策略：為用戶授予所需目錄的只讀權限，缺省情況下，拒絕訪問權限，除了被明確授予訪問權限的用戶，拒絕所有人對資源的訪問。網絡服務策略：僅使用運行應用程序所需的服務，例如，可能不需要 FTP、Rlogin 或 SSH 服務；為網絡服務用戶減少訪問權限的級別；確保具有 We

101、b 服務器訪問權限的用戶帳戶不可訪問 shell 功能；確保未使用的服務沒有運行，且它們沒有在操作系統上自動啟動；刪除或注釋掉未計劃使用的端口，減少系統的可能入口點；保護系統免受與端口 137、138 和 139 相關聯的 NetBIOS 威脅。系統補丁策略：經常檢查安全性更新，確保服務是最新的；為操作系統安裝供應商建議的最新補丁。操作系統最小化：除去不重要的應用程序來減少可能的系統漏洞。記錄和監控策略：記錄安全性相關的事件，包括成功和失敗的登錄、注銷和用戶權限的更改；監視系統日志文件，通過限制對系統日志文件的訪問權限，保護其安全；保護維護日志免受篡改；保護日志記錄配置文件的安全。定期備份系統

102、資源。3.網絡設備安全建議 網絡設備在網絡中處于重要位置，網絡安全產品屬于企業邊界防護的關鍵設施，當其產品出現漏洞時，將會對企業造成非常嚴重的安全威脅。對于企業用戶安全建議：在購置設備前應對產品進行安全測試。在部署時應嚴格設置設備的訪問控制權限，避免當設備淪陷時攻擊者獲得較高權限訪問敏感網段。在設備運行時做好訪問權限控制（如 IP 限制等），關閉不需要的服務。在運營設備時應同樣對設備進行日志記錄和審計。當漏洞出現時，及時聯系廠商進行設備的更新及售后。對于廠商安全建議：在產品發布前應對產品進行嚴格的安全測試。主動安全 36 及時關注最新的安全技術，及時修補產品中存在漏洞的第三方庫等外部依賴。4.

103、數據庫安全建議 數據庫軟件漏洞屬于產品自身的缺陷，由數據庫廠商對其修復，通常以產品補丁的形式出現。針對數據庫漏洞攻擊的數據庫加固方式可以采用購買第三方產品，安全建議如下：采取用戶權限最小化原則，配置數據庫帳號時，滿足應用系統使用的最小權限的賬號，任何額外的權限都可能是潛在的攻擊點。定期安裝數據庫廠商提供的漏洞補丁，即使由于各種原因無法及時打補丁，通過虛擬補丁等技術暫時或永久加固數據庫。對數據庫進行安全配置，數據庫默認安裝下并不會開啟所有安全配置，在充分考慮對應用的影響后，盡可能開啟數據庫自身提供的安全設置將會極大降低被不法分子攻擊的成功率。采取數據庫功能最小化原則，對于用戶來說，大部分數據庫功

104、能組件根本不會使用。在綜合應用和運維后，劃定一個使用組件的最小范圍。刪除數據庫中不用的組件，減少數據庫組件可以有效地減少用戶面對的風險面。配置高強度密碼，杜絕弱口令或默認口令。5.工控系統安全建議 一般現代工業控制系統多由以下幾個關鍵部分組成：人機界面 HMI，遠程終端單元 RTU，綜合監管系統和可編程邏輯控制器 PLC。由上述部分組成的工業控制系統主要有以下幾個風險點：病毒容易通過企業辦公網感染綜合監管系統，工控系統中多余的 USB 接口封閉不足，對遠程維護通道未加嚴格限制，導致生產網直接暴露在互聯網上。因此，建議執行以下操作來加強工控系統運行安全：分離工業控制系統的開發、測試和生產環境。通

105、過工業控制網絡邊界防護設備對工業控制網絡與企業網或互聯網之間的邊界進行安全防護，禁止沒有防護的工業控制網絡與互聯網連接。嚴格限制工業控制系統面向互聯網開通 HTTP、FTP、Telnet等高風險通用網絡服務。通過工業防火墻、網閘等防護設備對工業控制網絡安全區域之間進行邏輯隔離安全防護，在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備，限制違法操作。拆除或封閉工業主機上不必要的 USB、光驅、無線等接口，若確需使用，通過主機外設安全管理技術手段實施嚴格訪問控制。在工業主機登錄、應用服務資源訪問、工業云平臺訪問等過程中使用身份認證管理，對于關鍵設備、系統和平臺的訪問采用多因素認證。合

106、理分類設置賬戶權限，以最小特權原則分配賬戶權限。強化工業控制設備、SCADA 軟件、工業通信設備等的登錄賬戶及密碼，避免使用默認口令或弱口令，定期更新口令。主動安全 37 對遠程訪問采用數據單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略，遠程維護采用虛擬專用網絡（VPN）等遠程接入方式進行。在工業控制網絡部署網絡安全監測設備，及時發現處理網絡攻擊或異常行為，在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備，限制違法操作。保留工業控制系統的相關訪問日志，并對操作過程進行安全審計。6.云計算安全建議 云計算基于虛擬化和分布式計算技術，云計算服務已經不單單是一種

107、分布式計算，而是分布式計算、效用計算、負載均衡、并行計算、網絡存儲、熱備份冗雜和虛擬化等計算機技術混合演進并躍升的結果。云計算技術正在不斷改變組織使用、存儲和共享數據、應用程序以及工作負載的方式，與此同時，它也引發了一系列新的安全威脅和挑戰。云計算安全包括操作系統安全、數據安全、應用安全、網絡控制安全等，對其安全建議如下：云服務提供側：對于云服務商，需要構建安全穩定的基礎設施平臺，并且面向應用從構建、部署到運行時刻的全生命周期構建對應的安全防護手段：云平臺基礎設施層的安全：基礎設施主要包括支撐云服務的物理環境，以及運維運營包括計算、存儲、網絡、數據庫、平臺、應用、身份管理和高級安全服務等各項云

108、服務的系統設施。云平臺基礎設施層是保障業務應用正常運行的關鍵，云服務商需要確保各項云技術的安全開發、配置和部署安全。云服務的自身安全配置和版本維護：建立版本更新和漏洞應急響應機制，虛機 OS 的版本更新和漏洞補丁的安裝能力也是保證基礎設施安全的基本防護措施，除此之外如 K8s 等容器相關開源社區的風險漏洞，都可能成為惡意攻擊者首選的攻擊路徑，需要廠商提供漏洞的分級響應機制并提供必要的版本升級能力。平臺的安全合規性：云服務商需要基于業界通用的安全合規標準，保證服務組件配置的默認安全性，同時面向平臺用戶和安全審計人員，提供完備的審計機制。業務應用側提供縱深防御能力：云服務商提供適合云場景下應用的安

109、全防護手段，幫助終端用戶在應用生命周期各階段都能有對應的安全治理方案。企業安全側：對于企業的安全管理和運維人員來說，首先需要理解云上安全的責任共擔模型邊界，明確企業自身需要承擔起哪些安全責任。對于企業安全管理人員來說可以參考關注如下方向加固企業應用生命周期中的生產安全：應用制品的供應鏈安全：對于企業來說制品供應鏈環節的安全性是企業應用生產安全的源頭，一方面需要在應用構建階段保證制品的安全性；另一方面需要在制品入庫，分發和部署時刻建立對應的訪問控制，安全掃描、審計和準入校驗機制，保證制品源頭的安全性。主動安全 38 權限配置和憑證下發遵循權限最小化原則：對于企業安全管理人員來說，需要利用云服務商

110、提供的訪問控制能力，結合企業內部的權限賬號體系，嚴格遵循權限最小化原則配置對云上資源的訪問控制策略；另外嚴格控制資源訪問憑證的下發，對于可能造成越權攻擊行為的已下發憑證要及時吊銷。關注應用數據和應用運行時刻安全：除了配置完備的資源請求審計外，安全管理運維人員還需要保持對應用運行時安全的關注，及時發現安全攻擊事件和可能的安全隱患。及時修復安全漏洞和進行版本更新：無論是虛機系統，容器鏡像或是平臺自身的安全漏洞，都有可能被惡意攻擊者利用成為入侵應用內部的跳板，企業安全管理運維人員需要根據云服務商推薦的指導方案進行安全漏洞的修復和版本更新。9 9 結語結語 2023 年，網絡空間對抗趨勢更加突出，新技

111、術的發展為犯罪分子提供新的攻擊載體，網絡攻擊成本不斷降低，攻擊方式更加多樣，各犯罪領域之間呈現出相互融合、相互支撐的發展態勢。網絡攻擊事件持續影響網絡空間安全、社會安全，甚至國家安全。在此形勢下，各國對網絡空間安全越來越重視，關基保護、數據安全、平臺治理以及相關技術規范逐步實行。面對日益增長的網絡空間安全威脅，新華三一直秉承“主動安全”的核心理念，持續引入新興技術研究成果，加強威脅漏洞情報積累，形成更加及時、精準有效、覆蓋全面的網絡空間安全態勢感知體系，提升網絡安全防護水平。 Copyright 2023 新華三集團 保留一切權利 免責聲明:雖然新華三集團試圖在本資料中提供準確的信息，但不保證本資料的內容不含有技術性誤差或印刷性錯誤，為此新華三集團對本資料中信息的準確性不承擔任何責任，新華三集團保留在沒有任何通知或提示的情況下 對本資料的內容進行修改的權利。CN-170X30-20220422-BR-HZ-V1.0 主動安全 新華三以主動安全理念為核心 致力于成為客戶業務數字化轉型的助力者 融繪數字未來 共享美好生活