1、核心洞見/2022 年度全網漏洞態勢研究報告奇安信將 0day、APT 相關、發現在野利用、存在公開 Exploit/PoC，且漏洞關聯軟件影響面較大的漏洞定義為“關鍵漏洞”。2022 年標記的關鍵漏洞僅占新增漏洞總量的 3.99%，基于威脅情報的漏洞處理優先級排序對于威脅的消除將起到事半功倍的效果。部分漏洞在 NVD 上沒有相應的 CVE 編號，未被國外漏洞庫收錄，為國產軟件漏洞。此類漏洞如果被國家級的對手利用將導致非常嚴重的后果。Microsoft、Apple、Oracle 這類商業軟件漏洞多發，且因為其有節奏的發布安全補丁，為漏洞處置的關注重點。同時，開源軟件和應用在企業中越來越多的使用

2、，關注度逐漸攀升。漏洞擁有的標簽越多，與其關聯的攻擊團伙或者惡意家族就越多，說明漏洞正在被積極利用。從側面印證了這個漏洞具有較高的可達性和危害性，漏洞修補時應該放在最高的優先級。有 65.26%左右的漏洞在被公開后的 6 至 14 天內官方才發布補丁。奇安信將漏洞被公開后、官方發布漏洞補丁前的這段時間稱為“漏洞修復窗口期”，這一期間漏洞被成功利用的可能性極大，危害程度最高，企業尤其應該注意這一期間的漏洞管理。補丁修復不徹底，會導致新的漏洞出現。例如：CVE-2022-41040 漏洞是由于官方對 CVE-2021-34473 漏洞的補丁修復不徹底，導致補丁可以被繞過，從而引發的新漏洞。高效的企

3、業漏洞管理，需要可靠的漏洞情報?；诼┒辞閳蟮男滦吐┒垂芾砟Ｊ?，能夠在企業安全運營過程起到收集器、過濾器和富化器的作用，幫助企業擺脫漏洞處理的泥潭，更加高效的進行漏洞處置和管理。奇安信 CERT 研究并發布2022 年全網漏洞態勢研究報告，圍繞漏洞監測、漏洞分析與研判、漏洞風險評估與處置等方面，對 2022 年全年發生的重大安全事件和有現實威脅的關鍵漏洞進行了盤點和分析。報告研究發現，目前互聯網各個領域的漏洞態勢，呈現出以下特點：2022 年度全網漏洞態勢研究報告核心洞見C O R E I N S I G H T S關鍵詞：漏洞標簽、在野利用、0day 漏洞、APT 相關、補丁修復、漏洞情報深

4、度運營第一章 2022 年度漏洞態勢 1.1 年度漏洞處置情況 1.2 漏洞風險等級占比情況 1.3 漏洞威脅類型占比情況 1.4 漏洞影響廠商占比情況 1.5 漏洞標簽占比情況 1.6 關鍵漏洞占比情況 1.7 漏洞補丁占比情況第二章 2022 年度安全大事件 2.1“Spring4Shell”背景介紹 2.2“Spring4Shell”事件描述 2.3“Spring4Shell”事件影響第三章 2022 年度關鍵漏洞回顧 3.1 0day 漏洞回顧 3.2 APT 相關漏洞回顧 3.3 在野利用相關漏洞回顧 3.4 其它類別關鍵漏洞回顧第四章 奇安信漏洞情報的深度運營 4.1 收集器：多維

5、漏洞信息整合及屬性標定 4.2 過濾器：準確判定漏洞導致的實際安全風險、及時通 知與組織相關漏洞風險、漏洞處理優先級綜合性排序 2022 年度全網漏洞態勢研究報告目錄/2022 年度全網漏洞態勢研究報告目 錄0101020304050708101010101212162028404043CATALOGUE 4.3 富化器：包含詳細操作步驟的處置措施附錄：Microsoft Windows 支持診斷工具(MSDT)遠程代碼執行漏洞深度分析報告示例4952郵箱：ti_電話：95015官網：https:/ 年度全網漏洞態勢研究報告1值得注意的是，2022年新增的24,039條漏洞信息中，有402個漏

6、洞在NVD上沒有相應的CVE編號，未被國外漏洞庫收錄，為國產軟件漏洞，占比情況如第一章 2022年度漏洞態勢1.1 年度漏洞處置情況2022年奇安信CERT的漏洞庫新增漏洞信息126,128條2（24,039條有效漏洞信息在NOX安全監測平臺上顯示3），經NOX安全監測平臺篩選后有25,301條敏感信息4觸發人工研判，其中20,667條漏洞信息4達到奇安信CERT的處置標準對其進行初步研判，并對初步研判后較為重要的1,914條漏洞信息進行深入研判。相較于2021年，初步研判的漏洞環比增長873.02%5，深入研判的漏洞環比增長1.27%。2022年奇安信CERT漏洞庫每月新增漏洞信息數量如圖1

7、-1所示：1*奇安信CERT將互聯網上包含漏洞相關內容的信息統稱為漏洞信息2*漏洞信息來源包含NVD、CNVD、CNNVD等開源漏洞庫，以及各大互聯網廠商和安全媒體披露的安全漏洞3*NOX安全監測平臺網址：https:/ 1-12022 年奇安信 CERT 漏洞庫每月新增漏洞信息數量 第一章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 漏洞風險等級占比情況奇安信CERT結合CVSS評價標準以及漏洞產生的實際影響將漏洞定級分為極危、高危、中危、低危四種等級，用來評價漏洞不同的影響程度。2022年奇安信CERT研判過的21,034

8、條漏洞信息中，各個等級占比情況如圖1-3所示。圖1-2所示。此類漏洞具有較高威脅，如果被國家級的對手利用將導致非常嚴重的后果。圖 1-2國產軟件漏洞占比圖 1-3漏洞風險等級占比2022 年度全網漏洞態勢研究報告3圖 1-4漏洞類型排名其中，低危漏洞占比2.00%，此類漏洞利用較為復雜或對可用性、機密性、完整性造成的影響較低；中危漏洞占比40.08%，此類漏洞產生的影響介于高危漏洞與低危漏洞之間，可能需要一些復雜的配置或對漏洞成功利用的要求較高；高危漏洞占比57.72%，此類漏洞極大可能造成較嚴重的影響或攻擊成本較低；極危漏洞占比0.20%，此類漏洞無需復雜的技術能力就可以利用，并且對機密性、

9、完整性和可用性的影響極高。其中漏洞數量占比最高的前十種類型分別為：代碼執行、信息泄露、拒絕服務、身份認證繞過、權限提升、安全特性繞過、命令執行、錯誤的訪問控制、跨站腳本攻擊。這些類型的漏洞通常很容易被發現、利用，其中代碼執行、權限提升等類型的漏洞可以讓攻擊者完全接管系統、竊取數據或阻止應用程序運行，具有很高的危險性，是安全從業人員的重點關注對象。1.3 漏洞威脅類型占比情況將2022年度新增的24,039條漏洞信息根據漏洞威脅類型進行分類總結，如圖1-4所示：第一章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 1-5漏洞影響廠

10、商占比其中漏洞數量占比最高的前十家廠商為：Microsoft、Apple、Oracle、Google、開放源代碼項目、Cisco、Adobe、Linux、Apache、VMware。Microsoft、Apple、Oracle 這類商業軟件漏洞多發，且因為其有節奏的發布安全補丁，為漏洞處置的關注重點。開源軟件和應用在企業中越來越多的使用，關注度逐漸攀升。部署在網絡邊界的網絡設備在攻防行動中占據了重要地位，因而獲得了安全研究員更為重點的關注。1.4 漏洞影響廠商占比情況將2022年度新增的24,039條漏洞信息根據漏洞影響廠商進行分類總結，如圖1-5所示：2022 年度全網漏洞態勢研究報告5將

11、2022 年奇安信 CERT 人工標記的 977 個漏洞，按照標簽數量進行分類總結，擁有的標簽數量排名前十的漏洞如圖 1-7 所示：1.5 漏洞標簽占比情況為了更加有效的管控漏洞導致的風險，奇安信CERT建立了全面的多維漏洞信息整合及屬性標定機制，使用“關鍵漏洞”、“在野利用”、“POC公開”、“影響萬/十萬/百萬/千萬/億級”、“Botnet類型”、“攻擊者名稱”、“漏洞別名”等標簽標定漏洞相關的應用系統部署量、是否已經有了公開的技術細節、Exploit工具、概念驗證代碼（PoC）、是否已經有了野外利用、是否已經被已知的漏洞利用攻擊包或大型的Botnet集成作為獲取對系統控制途徑等屬性。涵蓋

12、的漏洞標簽類別如圖1-6所示：圖 1-6漏洞標簽詞云圖 第一章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 1-7漏洞標簽數量排名2022 年度全網漏洞態勢研究報告7圖 1-10SpringFramework遠程代碼執行漏洞和 MicrosoftExchangeServer遠程代碼執行漏洞標簽示例漏洞擁有的標簽越多，與其關聯的攻擊團伙或者惡意家族就越多，說明漏洞正在被積極利用。從側面印證了這個漏洞具有較高的可達性和危害性，這樣的漏洞已經不僅僅是潛在的威脅，而是具有了較高的現時威脅，漏洞修補時應該放在最高的優先級。1.6 關鍵漏

13、洞占比情況2022年奇安信CERT漏洞庫新增的24,039條漏洞信息中監測到有公開Exploit/PoC漏洞數量為721個、有在野利用漏洞數量為238個、0day漏洞數量為41個、APT相關漏洞數量為33個。奇安信CERT將0day、APT相關、發現在野利用、存在公開Exploit/PoC，且漏洞關聯軟件影響面較大的漏洞定義為“關鍵漏洞”。此類漏洞利用代碼已在互聯網上被公開，或者已經發現在野攻擊利用，并且漏洞關聯產品具有較大的影響面，因此威脅程度非常高，需要重點關注。2022年共標記關鍵漏洞960個，僅占新增漏洞總量的3.99%，由此可見，基于威脅情報的漏洞處理優先級排序對于威脅的消除將起到事

14、半功倍的效果。此外，發現在野利用的238個漏洞中有88個漏洞有公開Exploit，還有近三分之二的在野利用漏洞沒有監測到公開的Exploit/PoC，處于私有狀態，僅被某些APT組織或者個人使用。關鍵漏洞利用代碼公開情況如圖1-11：圖 1-8MicrosoftWindows 支持診斷工具遠程代碼執行漏洞標簽示例圖 1-9AtlassianConfluenceServer 及 DataCenter遠程代碼執行漏洞標簽示例 第一章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 1-11關鍵漏洞利用代碼公開情況1.7 漏洞補丁占比情

15、況2022年奇安信CERT漏洞庫新增的24,039個漏洞中，共有24,027漏洞監測到了官方發布的補?。ㄒ咽珍浽贜OX安全監測平臺漏洞補丁庫中），占新增漏洞總量的99.95%。2022年奇安信CERT漏洞庫新增的960個關鍵漏洞中，共有960個漏洞監測到官方發布了補丁，占新增關鍵漏洞總量的100%。根據奇安信CERT漏洞研判情況，從漏洞被公開時間到監測到官方發布漏洞補丁的間隔時間（奇安信CERT將漏洞公開后、官方發布漏洞補丁前的這段時間稱為“漏洞修復窗口期”）分布如圖1-12所示。有65.26%左右的漏洞在被公開后6至14天內官方才發布補丁，這一期間漏洞被成功利用的可能性極大，危害程度最高，企

16、業尤其應該注意這一期間的漏洞管理。2022 年度全網漏洞態勢研究報告9圖 1-12“漏洞修復窗口期”分布情況 第一章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 2022年度安全大事件2.1“Spring4Shell”背景介紹SpringFramework是一個開源應用框架，旨在降低應用程序開發的復雜度。它是輕量級、松散耦合的，具有分層體系結構，允許用戶選擇組件，同時還為J2EE應用程序開發提供了一個有凝聚力的框架。自2022年3月29日，SpringFramework遠程代碼執行漏洞(CVE-2022-22965)在互聯網小

17、范圍內被公開后，其影響面迅速擴大，國外將SpringFramework遠程代碼執行漏洞(CVE-2022-22965)命名為“Spring4Shell”，雖是受“Log4Shell”(CVE-2021-44228)啟發，但兩者并不相關。此漏洞毫無爭議地成為2022年上半年熱度最大的漏洞，也是近幾年來最嚴重的網絡安全威脅之一。2.2“Spring4Shell”事件描述2022年03月29日晚間，SpringFramework遠程代碼執行漏洞（CVE-2022-22965）被監測到，任何引用SpringFramework的衍生產品均受影響。3月29日深夜該漏洞被國內安全研究人員復現確認。漏洞時間線

18、如下：2022 年 03 月 29 日晚：SpringFramework 存在遠程代碼執行漏洞被國內安全研究人員監測到，并第一時間分析復現，由于漏洞影響范圍極大，漏洞風險評級為“極?！?，但此時官方仍尚未正式發布漏洞修復版本。2022 年 03 月 30 日：漏洞技術細節及 POC 公開，且發現在野利用事件。2022 年 03 月 31 日：Spring 官方發布了 SpringFramework5.3.18 及 SpringFramework5.2.20.RELEASE版本，且以CVE-2022-22965標識該漏洞，多家安全廠商陸續發布確認漏洞存在的安全風險通告。2022年04月01日：鑒于

19、此漏洞的嚴重性，國外將SpringFramework遠程代碼執行漏洞(CVE-2022-22965)命名為“Spring4Shell”。2.3“Spring4Shell”事件影響Spring是一個非常流行的框架，60%的Java開發人員依賴它來開發他們的應用程序。由于此框架在2022 年度全網漏洞態勢研究報告11Java生態系統中處于主導地位，大量應用程序會受到“Spring4Shell”零日漏洞的影響。隨著美國網絡安全和基礎設施安全局(CISA)將“Spring4Shell”漏洞添加到其已知利用的漏洞目錄中，越來越多的攻擊者開始利用該漏洞傳播、部署惡意軟件和僵尸網絡。TrendMicroTh

20、reatResearch從2022年4月開始發現大量在野傳播，惡意攻擊者將此漏洞進行武器化利用并執行Mirai僵尸網絡惡意軟件，該漏洞允許攻擊者將Mirai樣本下載到“/tmp”文件夾，并使用“chmod”命令更改權限后執行，除此之外還發現了惡意軟件文件服務器以及針對不同CPU架構樣本的其他變體。研究人員表示，這些惡意軟件的主要目的是破壞易受攻擊的互聯網連接設備，將它們聚集成僵尸網絡，并使用它們執行分布式拒絕服務(DDoS)攻擊?！癓og4shell”颶風過后，數字世界繼續重建，當網絡環境再次被零日風暴所擾亂，人們對“Spring4Shell”的嚴重性可能產生了許多誤解。利用Spring4Sh

21、ell需要在一系列特定的環境下才能實現，大多數Spring用戶可能不會啟用，因此盡管“Spring4Shell”被歸類為嚴重漏洞，但它的危險性仍然明顯低于“Log4Shell”。第二章 2022 年度安全大事件/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ Exchange Server“ProxyNotShell”漏洞利用鏈MicrosoftExchangeServer權限提升漏洞(CVE-2022-41040)是CVE-2021-34473修復不完全的產物，在CVE-2021-34473中，攻擊者無需任何權限即可通過服務端請求偽造請求powersh

22、ell接口，在CVE-2022-41040中，僅需低權限的身份驗證就可以以system權限請求powerhsell接口，導致權限提升。低權限的攻擊者可以利用該漏洞，通過服務端請求偽造，從低權限提升至高權限，獲得訪問powershell接口的能力通過組合利用CVE-2022-41082，攻擊者可以以system權限在目標系統上執行任意代碼。MicrosoftExchangeServer遠程代碼執行漏洞(CVE-2022-41082)是Exchange的反序列化漏洞，通過向exchange的powershell接口傳入惡意序列化數據，觸發反序列化，并通過exchange的特性繞過反序列化白名單，將

23、惡意數據反序列化到指定類，觸發代碼執行，從而控制目標系統。擁有高權限的攻擊者可以利用該漏洞在exchange上執行任意代碼，通過組合利用CVE-2022-41040，低權限的攻擊者可以以system權限在目標系統上執行任意代碼，完全控制目標系統。2022年9月30日，微軟緊急發布Exchange漏洞安全預警及緩解措施，以緩解被攻擊者在野利用的兩個0day漏洞CVE-2022-41040和CVE-2022-41082，這兩個漏洞利用鏈被稱為“ProxyNotShell”，攻擊者通過組合這兩個漏洞，可以以低權限在目標系統上以system權限執行任意代碼并控制目標系統。微軟多次修改這兩個0day漏洞

24、的緩解措施，但其緩解措施被安全研究人員多次繞過。隨后這兩個漏洞補丁在2022年11月補丁日發布。第三章 2022年度關鍵漏洞回顧3.1 0day漏洞回顧漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-41040權限提升8.8是已公開已公開已發現CVE-2022-41082代碼執行8.8是已公開已公開已發現2022 年度全網漏洞態勢研究報告13漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-32893代碼執行7.5否未知未知已發現CVE-2022-32894權限提升7.8否未知未知

25、已發現WebKit是Safari和其他iOS和MacOS應用程序使用的Web瀏覽器引擎。在AppleWebkit中存在越界寫入漏洞CVE-2022-32893，在處理惡意構造的網絡內容時可能觸發越界寫入，導致任意代碼執行，未授權的遠程攻擊者可以誘使受害者訪問指定惡意網站利用該漏洞，在受害系統上執行任意代碼。該漏洞的利（二）Windows COM+事件系統服務權限提升漏洞（三）Apple WebKit 代碼執行漏洞&Apple Kernel 權限提升漏洞WindowsCOM+事件服務是一種自動化的松散耦合事件系統，用于將來自不同發布者的事件信息存儲在COM+目錄中。訂閱者可以查詢此存儲區，并選擇

26、他們想要聽到的事件。WindowsCOM+事件系統服務存在權限提升漏洞，經過身份認證的攻擊者可利用此漏洞提升至SYSTEM權限。此漏洞影響所有支持的Windows版本，并且已被檢測到在野利用，威脅性較大。微軟于2022年10月微軟補丁日發布了該漏洞補丁。WindowsCOM+事件系統服務默認隨操作系統啟動，負責提供有關登錄和注銷的通知。WindowsCOM+事件系統服務存在權限提升漏洞，經過身份認證的攻擊者可利用此漏洞提升至SYSTEM權限。2022年8月，Apple發布用于iOS、iPadOS和MacOS的安全更新，以修復AppleWebKit代碼執行漏洞(CVE-2022-32893）、A

27、ppleKernel權限提升漏洞(CVE-2022-32894)這兩個被攻擊者在野利用的0day漏洞，攻擊者利用這些漏洞進行代碼執行和權限提升。漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-41033權限提升7.8否未知未知已發現 第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-41049安全特性繞過5.4是已公開已公開已發現CVE-2022-41091安全特性繞過5.4是已公開已公開

28、已發現用復雜度低，利用無需權限，目前已經有利用該漏洞的在野攻擊事件。iOS是蘋果公司為其移動設備所開發的專有移動操作系統，為其公司的許多移動設備提供操作界面，支持設備包括iPhone、iPad和iPodtouch。在iOS內核中存在權限提升漏洞CVE-2022-32894，惡意應用程序可以利用該漏洞越界寫入并以內核權限執行任意代碼，控制目標操作系統。該漏洞已被監測到在野利用事件。iOS是蘋果公司為其移動設備所開發的專有移動操作系統，為其公司的許多移動設備提供操作界面，支持設備包括iPhone、iPad和iPodtouch。iOS是繼Android后全球第二大最受歡迎的移動操作系統，目前在移動端

29、有較高的占有率。2022年9月13日Apple布了多個產品的安全更新，披露了已被在野利用的AppleKernel本地權限提升漏洞(CVE-2022-32917)。ApplemacOSMonterey、macOSBigSur、iOS和iPadOS存在權限提升漏洞。經過身份認證的本地攻擊者可通過在目標系統上運行特制應用程序來利用此漏洞，成功利用此漏洞可在目標系統上以內核權限執行任意代碼。（四）Apple Kernel 本地權限提升漏洞（五）Windows Mark of the Web 安全功能繞過漏洞漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-

30、2022-32917權限提升7.8否未知未知已發現2022 年度全網漏洞態勢研究報告15MoTW是Windows中的一個安全功能，全稱為Mark-of-the-Web，該功能可以標記從Internet下載的文件。當用戶試圖打開帶有MoTW標志的文件時，Windows會彈出安全警告，提示應謹慎處理該文件。遠程攻擊者可以誘騙受害者打開特制文件并繞過MicrosoftOffice中的受保護視圖。2022年11月微軟修復了兩個MoTW相關的已遭在野利用的0day漏洞，漏洞編號為CVE-2022-41049（微軟后面修改此漏洞狀態為“檢測到被利用”）和CVE-2022-41091。CVE-2022-41

31、049允許攻擊者制作特制的ZIP文件來逃避MOTW（網絡標記）。一種繞過方式涉及在ZIP存檔中傳送惡意文件，如果直接從存檔中執行文件，Windows會在沒有任何警告的情況下運行它。另一種繞過方式是將惡意文件設置為“只讀”并將其放入ZIP存檔中。CVE-2022-41091允許攻擊者制作特制的ISO文件來繞過MoTW安全功能。利用這些漏洞需要誘導受害者下載并打開特制文件。和CVE-2022-41049、CVE-2022-41091一樣，CVE-2022-44698也允許攻擊者繞過MoTW安全警告提示，只不過漏洞的根源在SmartScreen中。2022年10月13日，HPWolfSecurity

32、公開了此0day漏洞傳播Magniber勒索軟件的細節。攻擊者可通過構造帶有錯誤簽名的JS文件，并誘導用戶下載并打開特制文件來利用此漏洞。隨著此漏洞細節、PoC及EXP逐步在互聯網公開，此漏洞的現實威脅進一步上升，此漏洞還被發現用于QBot釣魚網絡攻擊。2022年12月13日，微軟才發布安全更新修復了此漏洞。（六）Windows SmartScreen 安全功能繞過漏洞漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-44698安全特性繞過5.4是已公開已公開已發現（七）暢捷通 T+遠程代碼執行漏洞漏洞編號威脅類型CVSS 評分漏洞威脅狀

33、態細節是否公開PoC 狀態EXP 狀態在野 利用QVD-2022-13942代碼執行9.8否未知未知已發現 第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-26134代碼執行9.8是已公開已公開已發現AtlassianConfluence是一個專業的企業知識管理與協同軟件，也可以用于構建企業wiki。AtlassianConfluenceServer和DataCenter中曝出等級嚴重的遠程代碼執行漏洞。未經身份驗證的遠程攻擊者可通過OGNL表

34、達式注入在目標服務器上執行任意代碼，利用極其簡單，任意用戶僅通過一條GET請求即可執行惡意代碼。該漏洞于6月2日在官方平臺發布，同時表明已發現在野利用，當時尚未正式修復，影響所有ConfluenceServer及DataCenter版本，6月3日，官方發布的補丁和臨時解決方案均可有效防護此漏洞。盡管如此，之后仍披露出多起APT事件利用此漏洞來進行攻擊利用。（一）Atlassian Confluence Server 和 Data Center 遠程代碼執行漏洞3.2 APT相關漏洞回顧2022 年度全網漏洞態勢研究報告17漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP

35、 狀態在野 利用CVE-2022-1040代碼執行、身份認證繞過9.8是已公開已公開已發現漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-41128代碼執行8.8是已公開已公開已發現SophosFirewall提供高級威脅防護，即時識別僵尸計算機和其他高級威脅，同時幫助網絡防御現今的復雜攻擊。在SophosFirewall中存在漏洞，未經身份驗證的攻擊者可以利用該漏洞繞過身份驗證。在SophosFirewall上執行任意代碼。目前已監測到DriftingCloud利用該漏洞針對南亞地區的部分組織進行APT攻擊。未授權的攻擊者可以利用該漏

36、洞在目標系統上執行任意代碼，控制目標系統，對防火墻后的網絡造成威脅。2022年11月08日，微軟修復了已被用于在野攻擊的Windows腳本語言遠程代碼執行漏洞，谷歌威脅分析小組(TAG)的安全研究人員在2022年10月31日發現了這個0day漏洞，IEJScript引擎中存在一個導致類型混淆的JIT優化問題，在渲染攻擊者控制的網站時可導致任意代碼執行。在野利用的誘餌樣本下載了一個富文本文件(RTF)遠程模板，該模板會去獲取遠程HTML內容。由于Office使用IE渲染HTML，因此自2017年以來，該技術已被廣泛用于通過Office文件傳播IE漏洞（例如，CVE-2017-0199）。遠程攻擊

37、者可通過誘導用戶打開惡意文檔來利用此漏洞，此漏洞已被朝鮮政府支持的組織（APT37）利用來攻擊韓國的目標。（二）Sophos Firewall 代碼執行漏洞（三）Windows 腳本語言遠程代碼執行漏洞 第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-0609代碼執行8.8否已公開未知已發現漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2021-21551權限提升7.8是已公開已公開已發現（四）

38、Google Chrome 遠程代碼執行漏洞（五）Dell Dbutil Driver 權限提升漏洞BIOS是一組固化到計算機內主板上一個ROM芯片上的程序，它保存著計算機最重要的基本輸入輸出的程序、開機后自檢程序和系統自啟動程序。2022年5月SentinelLabs在戴爾筆記本的固件更新驅動中發現漏洞，允許攻擊者在目標設備上提升權限，影響了數億臺包含含有漏洞的Windows設備。在Dell的BIOS驅動中，固件更新持續接受IOCTL請求，但沒有通過ACL限制訪問，導致可以被任意用戶調用，進行任意讀寫，將權限從非管理員權限提升至kernel模式權限，對系統上的硬件資源進行無限制訪問。2022

39、 年度全網漏洞態勢研究報告19MSDT（MicrosoftSupportDiagnosticsTool，Microsoft診斷故障排除向導）用于排除故障并收集診斷數據以支持專業人員分析以解決問題。2022年5月30日，微軟緊急公開了已被用于野外攻擊的MicrosoftWindows支持診斷工具(MSDT)遠程代碼執行漏洞(CVE-2022-30190)。MicrosoftWindows支持診斷工具(MSDT)存在代碼執行漏洞，在執行MSDT程序時可通過指定特定參數來注入PowerShell代碼，從而造成代碼執行。在野利用的樣本以Word等應用程序中的遠程模板功能作為跳板，使其調用MSDT程序處

40、理來自惡意服務器的特制HTML文件中的特制ms-msdtURI來觸發此漏洞，從而允許攻擊者以該用戶權限在目標系統上執行任意代碼。此漏洞的遠程利用場景需要用戶交互，攻擊者需要利用某些手段來誘導用戶打開特制文件。此漏洞已經被檢測出在野利用，且披露時為0day狀態，迫于漏洞的影響力及關注度，微軟發布了緊急通告給出了應緩解措施，并靜默推送了Office2019、Office2021以及Office365的5月版本，阻斷了Word程序解析ms-msdt協議的過程，從而在一定程度緩解了漏洞，該漏洞最終于6月補丁日修復。漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用

41、CVE-2022-30190代碼執行7.8是已公開已公開已發現（六）Microsoft Windows 支持診斷工具(MSDT)遠程代碼執行漏洞攻擊者可以利用該漏洞將自身權限提升至kernel權限，獲取讀寫內核內存的能力，完全控制目標系統，目前已監測到LazarusAPT組織利用該漏洞發起APT攻擊。第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 多個產品身份認證繞過漏洞3.3 在野利用相關漏洞回顧漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-22972身份認證繞

42、過9.8是已公開已公開已發現漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-40684代碼執行9.8是已公開已公開已發現VMware是一家提供全球桌面到數據中心虛擬化解決方案的廠商，VMwareWorkspaceONEAccess是VMware公司開發的一款智能驅動型數字化工作空間平臺，通過WorkspaceONEAccess能夠隨時隨地在任意設備上輕松、安全地交付和管理任意應用。VMwarevRealizeAutomation是自動化部署方案云管平臺。VMwareCloudFoundation是VMware公司混合云平臺。vReali

43、zeSuiteLifecycleManager是vRealizeSuite生命周期和內容管理平臺。VMwareWorkspaceONEAccess、IdentityManager和vRealizeAutomation產品中存在影響本地域用戶的身份認證繞過漏洞，對UI具有網絡訪問權限的惡意攻擊者可能無需進行身份驗證即可獲得管理訪問權限。攻擊者通過修改HOST為偽造的HTTPS服務器地址，從而繞過認證并獲取有效cookie進一步利用。在VMware發布相應更新后，網絡安全和基礎設施安全局(CISA)發布了一項緊急指令，其中命令美國聯邦機構立即更新易受攻擊的VMware產品，甚至在必要時將其刪除。據

44、統計存在潛在威脅的VMware設備多數被醫院、政府相關組織部門使用，由于此漏洞操縱相對簡單，攻擊者在漏洞披露的48小時內部署了大量的系統后門且植入了挖礦木馬。（二）FortiOS 和 FortiProxy 身份認證繞過漏洞2022 年度全網漏洞態勢研究報告21漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-27518代碼執行9.8否未知未知已發現漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-1388命令執行9.8是已公開已公開已發現CitrixGateway是一套安全的遠程接入

45、解決方案，可提供應用級和數據級管控功能，以實現用戶從任何地點遠程訪問應用和數據；CitrixADC是一個全面的應用程序交付和負載平衡解決方案。2022年12月14日Citrix官方發布通告披露一個已被黑客組織利用的嚴重級別漏洞，當CitrixADC或CitrixGateway配置為SAML服務提供商(SP)或SAML身份提供商(IdP)時，未經身份認證的遠程攻擊者可利用此漏洞在目標系統上執行任意代碼。截至今日，3500多臺受影響設備仍在互聯網上暴露。F5BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。iControlREST是iControl

46、框架的演變，允許用戶與F5設備之間進行輕量級、快速的交互。2022年5（三）Citrix ADC 和 Citrix Gateway 遠程代碼執行漏洞（四）F5 BIG-IP iControl REST 命令執行漏洞FortinetFortiOS是美國飛塔（Fortinet）公司的一套專用于FortiGate網絡安全平臺上的安全操作系統。該系統為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。FortiOS和FortiProxy存在身份認證繞過漏洞(CVE-2022-40684)，未經身份驗證的攻擊者可以通過特制的http或者https請求訪問管理員接

47、口繞過身份驗證并執行許多高權限操作，例如創建新的本地帳戶、將SSH密鑰添加到管理員帳戶以實現持久性、配置策略以獲得對內部系統的遠程網絡訪問。此漏洞已發現在野利用。第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-22947代碼執行9.8是已公開已公開已發現漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-42475命令執行9.8否未知未知已發現SpringCloudGateway是基于Spr

48、ingFramework和SpringBoot構建的API網關，它旨在為微服務架構提供一種簡單、有效、統一的API路由管理方式。當使用SpringCloudGateway的應用程序啟用并公開ActuatorAPI端點時，遠程攻擊者可利用該漏洞將SpEL表達式注入StandardEvaluationContext上下文中進行攻擊，最終在目標服務器上執行任意代碼。隨后，此漏洞技術細節及PoC在互聯網上流傳，多個自動化漏洞掃描軟件集成此PoC進行大批量掃描。但值得注意的是，由于此漏洞非默認配置，需手動開啟ActuatorAPI端點，故大幅降低利用成功的可能性。（五）Spring Cloud Gate

49、way 遠程代碼執行漏洞（六）Fortinet FortiOS sslvpnd 遠程代碼執行漏洞(CVE-2022-42475)2022 年度全網漏洞態勢研究報告23漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-2856代碼執行8.8否未知未知已發現GoogleChrome是一款由Google公司開發的網頁瀏覽器，GoogleChrome的特點是簡潔、快速。GoogleChrome支持多標簽瀏覽，每個標簽頁面都在獨立的“沙箱”內運行，在提高安全性的同時，一個標簽頁面的崩潰也不會導致其他標簽頁面被關閉。此外，GoogleChrome基于

50、更強大的JavaScriptV8引擎，該引擎被眾多瀏覽器所使用。2022年8月16日GoogleChrome官方發布安全通告，其中包括存在在野利用的GoogleChrome代碼執行漏洞(CVE-2022-2856)。由于Intents對不可信輸入數據的驗證不足，GoogleChrome存在遠程代碼執行漏洞。攻擊者可通過誘導用戶打開特制頁面來利用此漏洞，配合其他漏洞可在目標系統上執行任意代碼。（七）Google Chrome 代碼執行漏洞FortinetFortiOS是美國飛塔（Fortinet）公司的一套專用于FortiGate網絡安全平臺上的安全操作系統。該系統為用戶提供防火墻、防病毒、IP

51、Sec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。2022年12月12日，fortiguard發布安全通告，修復了FortiOSSSL-VPN上的遠程代碼執行漏洞，在FortiOS存在堆溢出漏洞，未經身份驗證的遠程攻擊者通過發送特制請求觸發該漏洞，從而在目標系統上執行任意代碼或命令，控制目標系統并對VPN后的網絡造成威脅。fortiguard在通告中聲稱已發現攻擊者在野利用此漏洞，據媒體報道，利用此漏洞的是勒索軟件組織。第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態E

52、XP 狀態在野 利用CVE-2022-2294代碼執行8.8否未知未知已發現（八）Google Chrome 遠程代碼執行漏洞GoogleChrome是一款由Google公司開發的網頁瀏覽器，GoogleChrome的特點是簡潔、快速。GoogleChrome支持多標簽瀏覽，每個標簽頁面都在獨立的“沙箱”內運行，在提高安全性的同時，一個標簽頁面的崩潰也不會導致其他標簽頁面被關閉。此外，GoogleChrome基于更強大的JavaScriptV8引擎，該引擎被眾多瀏覽器所使用。2022年7月4日GoogleChrome官方發布存在在野利用的GoogleChrome遠程代碼執行漏洞（CVE-202

53、2-2294）通告。GoogleChromeWebRTC（網絡實時通信）組件中存在基于堆的緩沖區溢出漏洞，利用此漏洞需交互，成功利用此漏洞可導致程序崩潰甚至任意代碼執行。漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-4262代碼執行8.8否未知未知已發現V8是Google開源高性能的JavaScript和WebAssembly引擎，用C+編寫。它用于Chrome和Node.js等，2022年11月29號，谷歌的威脅分析小組發現GoogleChromeV8類型混淆漏洞(CVE-2022-4262)被發現用于在野利用，在12月2號修復了該

54、漏洞，該漏洞同時也影響基于Chromium的瀏覽器，比如MicrosoftEdge、百度瀏覽器等。ChromeV8存在類型混淆漏洞，該漏洞需要進行交互，攻擊者可通過誘導用戶打開惡意鏈接來利用此漏洞，從而在應用程序上下文中執行任意代碼。目前，此漏洞已被發現用于在野利用。（九）Google Chrome V8 類型混淆漏洞2022 年度全網漏洞態勢研究報告25Chrome是由一款Google公司開發的免費的、快速的互聯網瀏覽器軟件，目標是為使用者提供穩定、安全、高效的網絡瀏覽體驗。GoogleChrome基于更強大的JavaScriptV8引擎，提升瀏覽器的處理速度。支持多標簽瀏覽，每個標簽頁面都

55、在獨立的“沙箱”內運行。2022年11月22號，谷歌的威脅分析小組發現GoogleChromeGPU代碼執行漏洞(CVE-2022-4135)被發現用于在野利用，在11月24日發布了chrome的安全更新修復了該漏洞。該漏洞同時也影響基于Chromium的瀏覽器，比如MicrosoftEdge、百度瀏覽器等。GoogleChromeGPU存在越界寫漏洞，利用此漏洞需要用戶交互，成功利用此漏洞可導致在應用程序上下文中執行任意代碼。目前，谷歌已發現此漏洞被用于在野攻擊。SpringSecurity是一個能夠為基于Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。當SpringS

56、ecurity中使用RegexRequestMatcher進行權限配置，且規則中使用帶點號(.)的正則表達式時，未經授權的遠程攻擊者可通過構造惡意數據包繞過身份認證，導致配置的權限驗證失效。漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-4135代碼執行8.8否未知未知已發現漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-22978身份認證繞過8.2是已公開已公開已發現（十）Google Chrome GPU 代碼執行漏洞（十一）Spring Security 身份認證繞過漏洞

57、第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-22980代碼執行8.1是已公開已公開已發現（十二）Spring Data MongoDB SpEL 表達式注入漏洞SpringDataforMongoDB是SpringData項目的一部分，該項目旨在為新數據存儲提供熟悉且一致的基于Spring的編程模型，同時保留特定于存儲的特性和功能。SpringDataMongoDB項目提供與MongoDB文檔數據庫的集成。SpringDataMongoDB

58、的關鍵功能是以POJO為中心的模型，用于與MongoDBDBCollection交互并輕松編寫Repository樣式的數據訪問層。當使用Query或Aggregation注解進行查詢時，若通過SpEL表達式中形如“?0”的占位符來進行參數賦值，同時應用程序未對用戶輸入進行過濾處理，則可能受到SpEL表達式注入的影響，攻擊者成功利用該漏洞可在目標服務器上執行代碼。WindowsPrintSpooler是打印后臺處理服務，管理所有本地和網絡打印隊列及控制所有打印工作。Spooler服務(Spoolsv.exe)以SYSTEM權限運行，并且可通過網絡進行訪問，這允許攻擊者遠程發起攻擊，攻擊者利用這

59、類漏洞可在目標機器上以SYSTEM權限執行任意代碼。盡管漏洞利用需要授權，但具有攻擊經驗的黑客可采用多種方式獲得身份認證信息。2022年2月，微軟修補了CVE-2022-21999WindowsPrintSpooler權限提升漏洞。經過身份認證的本地攻擊者可通過在目標系統上運行特制程序來利用此漏洞，成功利用此漏洞的攻擊者可在目標系統上以漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-21999權限提升7.8是已公開已公開已發現（十三）Windows Print Spooler 權限提升漏洞2022 年度全網漏洞態勢研究報告27Googl

60、eChrome進程通過Mojo相互通信。Mojo是運行時庫的集合，這些運行時庫提供了與平臺無關的通用IPC原語抽象，消息IDL格式以及具有用于多種目標語言的代碼生成功能的綁定庫，以方便跨任意進程間和進程內邊界傳遞消息。2022年9月2日GoogleChrome官方緊急發布安全更新，修復了GoogleChrome沙箱逃逸漏洞(CVE-2022-3075)，由于Mojo中不恰當的數據驗證，GoogleChrome存在沙箱逃逸漏洞。攻擊者可通過多種方式誘導用戶訪問惡意的鏈接來利用此漏洞，成功利用此漏洞可繞過安全限制，實現沙箱逃逸，配合其他遠程代碼執行漏洞，可突破瀏覽器沙箱限制在目標系統上執行任意代碼

61、。iOS、iPadOS系統是美國蘋果（Apple）公司所研發的移動操作系統。為Apple公司多款產品提供相關功能，目前在移動端有較高的占有率。2022年10月24日Apple官方發布更新通告，其中包括存在在野利用的AppleiOS和iPadOS任意代碼執行漏洞。由于AppleiOS和iPadOS系統內核邊界檢查不當，會導致越界寫入問題，該問題可允許惡意程序以內核權限執行任意代碼。最終造成移動設備被接管、個人敏感信息被竊取。SYSTEM權限執行任意代碼。此漏洞為CVE-2020-1030漏洞補丁的繞過，漏洞公開當天，國外安全研究員在網上公開了此漏洞的細節及PoC。目前，此漏洞已發現在野利用。漏洞

62、編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-3075安全特性繞過7.4否未知未知已發現漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-42827代碼執行7.8否未知未知已發現（十五）Google Chrome 沙箱逃逸漏洞（十四）Apple iOS 和 iPadOS 任意代碼執行漏洞 第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅（APT）2022 年中

63、報告漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-21907代碼執行9.8是已公開未知未知（一）Microsoft Windows HTTP 協議堆棧遠程執行代碼漏洞3.4 其它類別關鍵漏洞回顧HTTP協議棧常見于應用之間或設備之間通信，以及InternetInformationServices(IIS)中。2022年1月，微軟補丁日中出現了一枚影響廣泛的高危漏洞（CVE-2022-21907），此漏洞無需身份交互以及用戶交互，且被微軟官方標記為Wormable和ExploitationMoreLikely，這意味著漏洞利用可能性很大

64、且有可能被惡意攻擊者制作成可自我復制的蠕蟲病毒進行大規模攻擊。HTTP存在遠程代碼執行漏洞，由于HTTP協議棧(HTTP.sys)中的HTTPTrailerSupport功能中存在邊界錯誤導致緩沖區溢出。該漏洞允許未授權的遠程攻擊者通過向Web服務器發送一個特制的HTTP請求，觸發緩沖區溢出，從而在目標系統上執行任意代碼。目前，此漏洞細節及PoC已在互聯網公開。漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-34721代碼執行9.8是已公開未知已發現Internet密鑰交換（IKE）是用于在IPsec中建立安全聯盟(SA)的協議。Win

65、dowsIKEEXT在處理IKEv1數據包時，沒有對用戶輸入進行充分驗證，未經身份認證的遠程攻擊者可通過向受影響的系統發送特制的IKEv1數據包觸發漏洞，并執行任意代碼。該漏洞存在于用于處理IKEv1（Internet密鑰交換）協議的代碼中，該協議已被棄用但與遺留系統兼容（二）Windows IKE 協議擴展遠程代碼執行漏洞2022 年度全網漏洞態勢研究報告29漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-43781命令執行9.8是已公開已公開未知漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用

66、CVE-2021-31805代碼執行9.8是已公開已公開未知AtlassianBitbucketServer是一款Git代碼托管解決方案。AtlassianBitbucketDataCenter是AtlassianBitbucket的數據中心版本。2022年11月Atlassian官方發布一嚴重級別漏洞通告：AtlassianBitbucketServer和DataCenter中存在命令注入漏洞，通過控制其用戶名，遠程攻擊者可注入惡意環境變量進而在目標服務器上執行任意命令。ApacheStruts是最早的基于MVC模式的輕量級Web框架。Struts2是在Struts1和WebWork技術的基

67、礎上進行合并后的全新框架。歷史上ApacheStruts2曝出眾多遠程代碼執行漏洞，CVE-2021-31805(S2-62)是時隔一年左右曝出的對S2-61漏洞的繞過。在某些標簽中若后端通過%.形式對其屬性進行賦值，則將對OGNL表達式進行二次解析，進而執行惡意代碼。此次漏洞通告中ApacheStruts表明不再接收由未經過濾的用戶輸入引起的OGNL表達式二次解析問題，這表明開發人員在后臺開發時應嚴格控制用戶輸入，防止再次被繞過的可能。不過，只有開啟IPSec服務的Windows系統受此漏洞影響，觸發此漏洞還需要配置額外的IPSec策略。默認情況下，Windows系統不會運行IPSec服務。

68、目前，此漏洞細節及PoC已在互聯網公開。（四）Atlassian Bitbucket Server 和 Data Center 命令注入漏洞（三）Apache Struts2 遠程代碼執行漏洞 第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用QVD-2022-44046代碼執行9.8是已公開已公開未知11月25日，漏洞相關技術細節及PoC流出。若后臺開啟公開注冊同時存在公開可訪問倉庫，則遠程未授權的攻擊者可利用此漏洞執行任意命令，進而接管服務器。（五）YApi

69、命令執行漏洞YApi是高效、易用、功能強大的api管理平臺，旨在為開發、產品、測試人員提供更優雅的接口管理服務。2022年11月初YApi官方發布新版本修復MongoDB注入問題，同時關閉腳本功能。11月11日漏洞詳情公開，YApi接口管理平臺通過MongoDB注入漏洞獲取到有效用戶token，結合自動化測試API接口寫入命令，繞過沙箱限制，最終在目標系統上執行任意命令。16日，此漏洞技術細節及EXP在互聯網上流傳，漏洞利用現實威脅上升。漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用QVD-2022-46174代碼執行9.8是已公開未知未知ThinkP

70、HP是一個開源免費的，快速、簡單的面向對象的輕量級PHP開發框架，是為了敏捷WEB應用開發和簡化企業應用開發而誕生的。當ThinkPHP開啟了多語言功能時，攻擊者可以通過lang參數和目錄穿越實現文件包含，當存在其他擴展模塊如pear擴展時，攻擊者可進一步利用文件包含實現遠程代碼執行。（六）ThinkPHP 遠程代碼執行漏洞2022 年度全網漏洞態勢研究報告31漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-23121命令執行9.8是已公開已公開未知漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用

71、CVE-2022-40664身份認證繞過9.8是已公開未知未知Netatalk是AFP的開源實現，為類Unix系統提供了和MacOS文件共享的功能。2022年5月，Netatalk遠程命令執行漏洞細節公開在互聯網上，Netatalk存在命令執行漏洞，由于在處理AppleDouble條目時，parse_entries函數缺乏正確的處理導致任意讀和任意寫，攻擊者可以利用此漏洞調用system函數，從而造成命令執行。未經身份驗證的攻擊者可以利用該漏洞在受影響的Netatalk服務上以root權限執行任意命令，利用此漏洞無需權限（在開啟匿名的情況下），也無需用戶交互。由于Netatalk被集成在多個型

72、號的NAS上，所以該漏洞也影響多個型號的NAS。ApacheShiro是一個功能強大且易于使用的Java安全框架，用于執行身份驗證、授權、加密和會話管理，當系統使用RequestDispatcher進行請求處理時，ApacheShiro存在身份認證繞過漏洞。攻擊者可通過訪問指定的請求轉發接口，實現系統身份認證繞過，例如訪問一個請求轉發到用戶登錄接口的業務場景下，可能利用此漏洞繞過系統對token或Auth等參數的驗證，從而出現敏感信息泄漏等安全風險。（八）Netatalk 遠程命令執行漏洞（七）Apache Shiro 身份認證繞過漏洞 第三章 2022 年度漏洞態勢/2022 年度全網漏洞態

73、勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-32158代碼執行9.0否已公開未知未知SplunkEnterprise是機器數據的引擎。使用Splunk可收集、索引和利用所有應用程序、服務器和設備生成的快速移動型計算機數據。關聯并分析跨越多個系統的復雜事件。獲取新層次的運營可見性以及IT和業務智能。SplunkEnterprise部署服務器9.0之前的版本存在遠程代碼執行漏洞，允許客戶端將轉發器捆綁包通過該服務器部署到其他部署客戶端。使用部署服務器時，允許創建可由Splunk通用轉發器(SUF)代

74、理或其他SplunkEnterprise實例(如重型轉發器)自動下載的配置包，這些配置包中允許包含二進制文件，SUF自動下載后會執行該二進制程序。默認情況下，SUF代理在Windows上以SYSTEM身份運行?？刂屏送ㄓ棉D發器端點的攻擊者可利用該漏洞在訂閱部署服務器的所有其他通用轉發器端點上執行任意代碼。（九）Splunk Enterprise 遠程代碼執行漏洞漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-21990代碼執行8.8是已公開未知未知遠程桌面是微軟公司為了方便網絡管理員管理維護服務器而推出的一項服務。遠程桌面客戶端允許用戶

75、通過其他設備訪問開啟了遠程桌面功能的主機。如果遠程桌面客戶端存在漏洞，則會使運行遠程桌面客戶端的主機存在安全隱患。一個通用的攻擊場景是：當受害者使用易受攻擊的遠程桌面客戶端連接到攻擊服務器時，控制遠程桌面服務器的攻擊者可以在RDP客戶端計算機上執行任意代碼。攻擊者可以破壞并控制用戶要登陸的遠程服務器，也可以誘導用戶連接惡意服務器。MicrosoftWindowsRemoteDesktopClient存在遠程代碼執行漏洞(CVE-2022-21990)，在微軟發布安全通告前，此漏洞PoC已在互（十）Microsoft Windows Remote Desktop Client 遠程代碼執行漏洞2

76、022 年度全網漏洞態勢研究報告33Samba是在Linux和UNIX系統上實現了SMB協議的一個免費軟件，由服務器及客戶端程序構成。SMB（ServerMessagesBlock，信息服務塊）是一種在局域網上共享文件和打印機的一種通信協議，它為局域網內的不同計算機之間提供文件及打印機等資源的共享服務。2022年1月31日，Samba官方發布安全公告，Samba存在代碼執行漏洞（CVE-2021-44142），其技術細節已公開。Samba存在堆內存越界讀/寫漏洞，該漏洞存在于Samba中vfs_fruit模塊中，當smbd解析EA元數據時，對文件擴展屬性具有寫訪問權限的遠程攻擊者（可以是來賓身

77、份或未授權身份）可越界讀取/寫入堆內存，成功利用的攻擊者可以以root身份執行任意代碼，并完全控制受害主機。漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2021-44142代碼執行8.8是未知未知未知（十一）Samba 遠程代碼執行漏洞漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-43571代碼執行8.8是已公開未知未知（十二）Splunk Enterprise 遠程代碼執行漏洞聯網公開，之后微軟于2022年3月微軟補丁日發布了該漏洞補丁。當用戶使用遠程桌面客戶端連接惡意服務器并共享

78、除C盤外的磁盤時容易受到此PoC的攻擊，成功利用此漏洞的攻擊者可在目標系統上以該用戶權限執行任意代碼。此漏洞影響hyper-v、mstsc等遠程桌面客戶端。第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-26923權限提升8.8是已公開已公開未知（十三）Active Directory Domain Services 權限提升漏洞Fastjson是阿里巴巴的一個開源項目，在GitHub上開源，使用Apache2.0協議。它是一個支持JavaOb

79、ject和JSON字符串互相轉換的Java庫。2022年5月Fastjson官方發布1.2.83版本，修復了在特定場景漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-25845代碼執行8.1是已公開已公開未知（十四）Fastjson 遠程代碼執行漏洞2022 年度全網漏洞態勢研究報告35Cacti項目是一個開源平臺，可為用戶提供強大且可擴展的操作監控和故障管理框架。Cacti存在命令執行漏洞(CVE-2022-46169)，攻擊者可通過構造惡意請求在無需登錄的情況下向函數中注入命令，達到命令執行的目的。漏洞編號威脅類型CVSS 評分漏洞

80、威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-46169命令執行8.0是已公開未知未知（十五）Cacti 命令執行漏洞服務器服務（也稱為LanmanServer）是一種Windows服務，允許遠程計算機通過命名管道(pipesrvsvc)通過RPC創建、配置、查詢和刪除共享，該服務在Windows系統上默認開啟。WindowsServer服務在處理特制請求時存在漏洞(CVE-2022-30216)，在目標域環境部署了ADCS的情況下，經過身份認證的遠程攻擊者可利用此漏洞結合NTLM中繼在域控制器上執行任意代碼。利用此漏洞漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是

81、否公開PoC 狀態EXP 狀態在野 利用CVE-2022-30216代碼執行7.8是已公開未知未知（十六）Windows Server 服務篡改漏洞下攻擊者可以繞過1.2.68及之后的版本中autoType默認關閉的安全限制，最終在目標機器上執行任意代碼的漏洞。2022年8月初漏洞發現者“淺藍”在安全大會上公開此漏洞技術細節，披露多條不同依賴的漏洞利用鏈，最終導致遠程代碼執行。同時表示Fastjson1.2.83版本可能較難再出相關漏洞。由于Fastjson應用廣泛，建議企業用戶及時升級版本。第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網

82、：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-0847權限提升7.8是已公開已公開未知（十七）Linux DirtyPipe 內核本地權限提升漏洞Polkit是一個用于定義和處理授權的工具包，用于允許非特權進程與特權進程之間進行對話，默認安裝在大多數主流的linux系統(ubuntu,Debian,centos等)。在Polkit工具包中的phexce程序處理命令行參數時，存在越界寫漏洞，可以利用該漏洞覆蓋程序的環境變量，可以通過寫入一些危險的環境變量將普通用戶權限提升至ROOT權限。目前，該漏洞的技術細節和EXP已公開，且漏洞利用難度低。漏

83、洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2021-4034權限提升7.8是已公開已公開未知（十八）Linux Polkit 本地權限提升漏洞2022 年度全網漏洞態勢研究報告37SQLite是使用廣泛的開源數據庫引擎，默認包含在Android、iOS、Windows和macOS以及流行的Web瀏覽器（如GoogleChrome、MozillaFirefox和AppleSafari）中。2022年10月25號研究人員在互聯網上發布SQLite拒絕服務漏洞技術細節。由于SQLite存在數組邊界溢出，攻擊者將大字符串傳遞給SQLite的CAPI字

84、符串參數，導致拒絕服務，可能實現任意代碼執行。該漏洞是SQLite在2000年10月代碼更新時引入的，在沒有堆棧金絲雀保護措施的情況下編譯庫會導致任意代碼執行，如果存在堆棧金絲雀則會導致服務器拒絕服務。由于當時系統主要為32位架構系統，在當時的情況下該問題可能并不是漏洞。由于SQLite存在數組邊界溢出，攻擊者將大字符串傳遞給SQLite的某些函數，導致拒絕服務，消耗系統的內存和CPU資源。在編譯庫時沒有使用堆棧金絲雀保護措施的情況下會導致任意代碼執行。漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-35737拒絕服務7.5是已發現未知

85、未知（十九）SQLite 拒絕服務漏洞OpenSSL是一個開放源代碼的軟件庫包，應用程序可以使用這個包來保護安全通信，避免竊聽，同時確認另一端連接者的身份，OpenSSL采用C語言作為主要開發語言，這使得OpenSSL具有優秀的跨平臺性能，OpenSSL支持Linux、BSD、Windows、Mac、VMS等平臺，這使其具有廣泛的適用性。OpenSSL中的BN_mod_sqrt()函數在解析證書時存在一個拒絕服務漏洞，攻擊者可以通過構造特定證書來觸發無限循環，由于證書解析發生在證書簽名驗證之前，因此任何解析外部提供的證書場景都可能實現拒絕服漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開

86、PoC 狀態EXP 狀態在野 利用CVE-2022-0778拒絕服務7.5是已公開已公開未知（二十）OpenSSL 拒絕服務漏洞 第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-29885拒絕服務7.5否已公開已公開未知（二十一）Apache Tomcat 拒絕服務漏洞OpenSSL是一個開放源代碼的軟件庫包，應用程序可以使用這個包來保護安全通信，避免竊聽，同時確認另一端連接者的身份，OpenSSL采用C語言作為主要開發語言，這使得OpenSS

87、L具有優秀的跨平臺性能，OpenSSL支持Linux、BSD、Windows、Mac、VMS等平臺，這使其具有廣泛的適用性。OpenSSL的ossl_punycode_decode函數存在棧溢出漏洞，當客戶端或服務器配置為驗證X.509證書時，攻擊者可以在電子郵件地址字段的域中創建特殊長度的字符串觸發棧溢出，溢出修改相鄰4個字節數據，導致拒絕服務或代碼執行。因為這個漏洞只能溢出修改4個字節的數據，且現在的平臺都開啟了棧溢出保護，所以該漏洞能造成遠程代碼執行的可能性很低。漏洞編號威脅類型CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-3602代碼執行7.

88、1是未知未知未知（二十二）OpenSSL 遠程代碼執行漏洞2022 年度全網漏洞態勢研究報告39SpringSecurity是一個能夠為基于Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。當SpringSecurity處理forward或include轉發的請求時可能存在漏洞，攻擊者可利用此漏洞繞過授權規則。當項目代碼中通過forward或include進行請求轉發時，攻擊者可通過訪問指定的請求轉發接口實現身份認證繞過。例如訪問一個請求轉發到用戶登錄接口的業務場景下，可能利用此漏洞繞過系統對token或Auth等參數的驗證，從而出現敏感信息泄漏等安全風險。漏洞編號威脅類型

89、CVSS 評分漏洞威脅狀態細節是否公開PoC 狀態EXP 狀態在野 利用CVE-2022-31692身份認證繞過7.0是已公開已公開未知（二十三）Spring Security 身份認證繞過漏洞 第三章 2022 年度漏洞態勢/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 奇安信漏洞情報的深度運營4.1 收集器：多維漏洞信息整合及屬性標定通過對原始數據源的挖掘和實時信息采集，對漏洞進行多維度的屬性標定，保證漏洞信息的全面性和及時性。漏洞情報庫與傳統漏洞庫相比區別最大的地方在于，對漏洞本身技術層面以外維度的持續動態跟蹤，一般的漏洞庫的核心信息只會涉及軟硬

90、件影響面（廠商、應用及版本），和漏洞本身技術層面的評估（威脅類型、利用場景、危害大小等），這些信息遠遠不夠，為了有效管控漏洞導致的風險，我們需要知道得更多。奇安信漏洞情報運營建立在全面收集漏洞信息的基礎上，監測了多個主流漏洞庫以及數百安全廠商，跟蹤了2000+推特賬號和80+安全相關新聞源，開源信息結合商業數據采購，并通過各種手段持續挖掘新的信息源。對漏洞的多維度屬性進行了全面的跟蹤和標記，2022年奇安信漏洞情報共為977個漏洞標記了1530個標簽。以下是一些分類標簽的例子：傳統的漏洞管理模式受限于情報不足、技術能力不夠等限制，容易引發漏洞發現速度滯后、漏洞評估能力不足、漏洞處置優先級排序不

91、當、漏洞修復不徹底等一列問題?；诼┒辞閳蟮男滦吐┒垂芾砟Ｊ?，提供全面的多維漏洞信息整合及屬性標定、準確的漏洞導致的實際安全風險判定、及時的與組織相關漏洞風險通知、可信的綜合性漏洞處理優先級排序、可行的包含詳細操作步驟的處置措施以及靈活的可被集成的開放API數據接口，能夠幫助你擺脫漏洞處理的泥潭，更加高效的進行企業漏洞管理。圖 4-1奇安信漏洞情報運營2022 年度全網漏洞態勢研究報告41圖4-2是2022年新增漏洞中被標記標簽最多的漏洞MicrosoftWindows支持診斷工具遠程代碼執行漏洞(CVE-2022-30190)標簽實例，隨著影響此漏洞實際風險的因素的持續迭代，這些標簽會隨時新

92、增和更新。圖4-3展示的是漏洞的“POC公開”、“EXP公開”標簽，漏洞是否已經有了公開的技術細節、概念驗證代碼（PoC）、武器化的Exploit工具，會直接影響漏洞轉變為現實的攻擊。圖4-4展示的是漏洞的“在野利用”標簽，漏洞是否已經有了野外的利用，體現了漏洞是否已經從潛在威脅轉化為了現實威脅。圖 4-2漏洞標簽實例圖 4-3“POC/EXP 公開”標簽實例 第四章 奇安信漏洞情報的深度運營/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 4-4“在野利用”標簽實例圖 4-5“攻擊者名稱”標簽實例圖 4-6“0day 漏洞”、“APT 相關”標簽實例所

93、有上面這些屬性都通過運營被標記出來，以方便用戶實現有效的處理優先級排序。同時，奇安信漏洞情報還支持基于標簽的搜索，讓用戶非常方便地獲取匹配特定屬性的漏洞集合。這些標簽還有對應的分類和描述，讓用戶能更深入的了解漏洞導致的威脅。2022 年度全網漏洞態勢研究報告43重要漏洞需要專業漏洞分析團隊過濾研判,對于過濾出來的重要漏洞，我們則會盡可能地去完善其技術信息。包含對技術細節的深入分析、POC的驗證測試、可操作的臨時解決方案、檢測規則、補丁有效性的測試等內容。以我們對微軟支持診斷工具漏洞的深度研判報告為例，部分內容如下：（完整報告示例見附錄）圖 4-7深度分析報告示例 14.2 過濾器：準確判定漏洞

94、導致的實際安全風險、及時通知與組織相關漏洞風險、漏洞處理優先級綜合性排序分析團隊依據完善的流程和專業經驗，對漏洞的影響面和技術細節進行研判，把真正需要的漏洞過濾出來，保證信息的準確性和處理優先級的可靠性。目前平均每年新增上萬個漏洞，平均到每天百級的漏洞被公開出來，如果全部對其分析驗證需要巨量的資源投入，這對任何廠商和組織都是不可能完成的任務，操作層面上既無可能也無必要。事實上每年新公開的漏洞只有極少數需要被認真研究。處理流程上，我們需要根據漏洞的影響面、威脅類型及驗證條件，篩選出值得深入分析的漏洞，再通過多種渠道收集或自研PoC進行技術驗證，這是漏洞情報運營過程中專業度要求最高的環節。（一）準

95、確的漏洞導致的實際安全風險判定如圖4-7，報告里會包含漏洞的基本描述，和影響其實際威脅程度的當前狀態標記。第四章 奇安信漏洞情報的深度運營/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 4-8深度分析報告示例 22022 年度全網漏洞態勢研究報告45如圖4-9，報告還會提供漏洞相應的POC及驗證方法，以及主機層或網絡層的漏洞利用檢測方案。深度分析報告是漏洞情報的一個增值服務，與漏洞情報中的基礎信息相比，漏洞深度分析報告提供了額外的漏洞分析內容及防護措施。包含漏洞分析報告（包括漏洞成因、驗證過程和驗證成功圖片、漏洞利用環境、漏洞利用流量規則等內容。）、漏

96、洞驗證程序（用于驗證、復現該漏洞）、部分漏洞還提供復現測試流量包（利用漏洞進行遠程復現測試的流量數據包，文件格式為pcap等）。2022年奇安信漏洞情報共產出此類深度分析報告53篇，涉及影響面巨大而又威脅等級最高的那部分漏洞，是奇安信漏洞情報的核心輸出之一。圖 4-9深度分析報告示例 3 第四章 奇安信漏洞情報的深度運營/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 4-10漏洞風險通知示例2022 年度全網漏洞態勢研究報告47CERT驗證”的標簽。第四，發現關鍵漏洞的在野利用案例。出現實際的在野利用，是漏洞從潛在威脅轉化為現實威脅的重大轉折點，一旦監

97、測到需要立即通知用戶盡快采取措施修補處置。第五，發現關鍵漏洞的新修補和緩解方案。讓用戶盡快知道有新的緩解和解決方案才能在與攻擊者的競速中取勝。2022年，奇安信漏洞情報服務群（群二維碼見圖4-11，此群只會推送經過驗證過的有現實威脅的漏洞信息，免費社區，歡迎加入。）推送了96條漏洞重要狀態的實時更新（包括48條新增關鍵漏洞、25條技術細節、16條在野利用案例、6條公開Exploit或PoC、1條補丁和緩解方案）。如圖4-12，從Qualys對19萬個CVE漏洞的CVSS評分對應威脅級別分布的統計來看，絕大部分為中高級別，超過一半的高危評價，high和critical的占到了51%，僅基于CVS

98、S評分基本上很難對漏洞的實際風險做出有效的評估，其他諸如漏洞是否默認配置受影響、利用的易用性穩定性、攻擊者所能接觸到的資產量級、漏洞利用的其他前置條件，都對漏洞的實際風險有極大影響，而對這些維度信息的判定因為很難自動化，對其準確研判需要投入非常大的資源，所以在就因為非常難以準確量化或被排除在CVSS評分體系以外，或難以得到準確的判定。（三）可信的綜合性漏洞處理優先級排序圖 4-11漏洞情報服務群入群二維碼 第四章 奇安信漏洞情報的深度運營/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 2022 年 12 月 31 日，奇安信漏洞情報庫已收錄全量漏洞23

99、萬余條，并對關鍵漏洞進行重點維護，標記2萬7千余條關鍵漏洞，2萬余條EXP/POC已公開漏洞，1 萬 4 千 3 百余條已發現在野利用漏洞。部分關鍵漏洞庫如圖 4-13 所示：圖 4-12漏洞威脅分布統計圖2022 年度全網漏洞態勢研究報告49圖 4-13部分關鍵漏洞示例4.3 富化器：包含詳細操作步驟的處置措施對于確認的重要漏洞，我們需要富化漏洞信息的上下文，跟蹤漏洞的現時威脅狀態，關聯相應的安全事件，給出切實可行的處理方法，提供除補丁鏈接以外的其它威脅緩解措施。首先考慮一個問題，我們看到的大量官方發布漏洞通告里的漏洞處置建議真的都靠譜嗎？答案是不一定。對于相對復雜些的漏洞，初期給出來的處理

100、方案未必真的能解決問題。以2017年底暴露出來的CPU硬件的漏洞為例，該漏洞可以導致內核信息泄露從而最終實現權限提升，這類漏洞非常底層，影響過去20年來幾乎所有的CPU，最可怕的問題還在于它們很難被修補。漏洞出來以后，當年的US-CERT馬上發布了一個漏洞通告，給出了最初的解決方案，是“ReplaceCPUhardware”，顯然這并不是一個可行的操作。隨著CPU和操作系統的廠商陸陸續續的輸出相應的補丁，US-CERT也隨之更新了自己的通告，給出了相對可操作的安裝軟件更新的解決方案，但至少初期的一些軟件處理方案在很多場景下會導致機器的性能很大下降。另外，我們也應該知道漏洞補丁其實有很大的局限性

101、。因為打補丁受各種現實條件的限制，比如在重大活動中核心服務器出于性能和穩定性的考慮，一旦安裝補丁導致宕機后果不堪設想，有些補丁打完以后需要重啟機器的操作是不允許的，更不用提0day漏洞暫時無補丁可打的情況。因此很多時候，安裝補丁 第四章 奇安信漏洞情報的深度運營/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 4-14部分安全風險通告示例2022 年度全網漏洞態勢研究報告51高效的企業漏洞管理，需要可靠的漏洞情報。如果您對我們的漏洞情報服務感興趣，歡迎通過ti_郵箱與我們聯系！圖 4-15處置措施示例 第四章 奇安信漏洞情報的深度運營/2022 年度全網

102、漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ Windows支持診斷工具(MSDT)遠程代碼執行漏洞深度分析報告示例Microsoft Windows支持診斷工具(MSDT)遠程代碼執行漏洞(CVE-2022-30190)深度分析報告2022年06月01日2022 年度全網漏洞態勢研究報告1時間 更新內容 2022 年 05 月 30 日監測到MicrosoftWindows支持診斷工具(MSDT)遠程代碼執行漏洞的POC、EXP、在野利用、技術細節2022 年 05 月 31 日監測到微軟發布MicrosoftWindows支持診斷工具(MSDT)遠程代碼執行漏洞的緩

103、解措施2022 年 06 月 01 日更新office受影響版本說明修訂歷史附錄/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 目 錄0305061012CATALOGUE2022 年度全網漏洞態勢研究報告3漏洞名稱 Microsoft Windows 支持診斷工具(MSDT)遠程代碼執行漏洞 公開時間2022-05-30更新時間2022-06-01CVE編號CVE-2022-30190其他編號QVD-2022-7976威脅類型代碼執行技術類型安全特性繞過廠商Microsoft產品Windows狀態POC狀態EXP狀態在野利用狀態技術細節狀態已發現已發

104、現已發現已公開漏洞描述Word等應用程序使用URL協議調用MSDT時存在遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以通過MSDT運行任意POWERSHELL代碼。攻擊者可以執行POWERSHELL代碼安裝程序、查看、更改或刪除數據。影響版本WindowsServer2012R2(ServerCoreinstallation)WindowsServer2012R2WindowsServer2012(ServerCoreinstallation)WindowsServer2012WindowsServer2008R2forx64-basedSystemsServicePack1(ServerCor

105、einstallation)WindowsServer2008R2forx64-basedSystemsServicePack1一、基本信息 附錄/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ Microsoft Windows 支持診斷工具(MSDT)遠程代碼執行漏洞 影響版本WindowsServer2008forx64-basedSystemsServicePack2(ServerCoreinstallation)WindowsServer2008forx64-basedSystemsServicePack2WindowsServer2008fo

106、r32-bitSystemsServicePack2(ServerCoreinstallation)WindowsServer2008for32-bitSystemsServicePack2WindowsRT8.1Windows8.1forx64-basedsystemsWindows8.1for32-bitsystemsWindows7forx64-basedSystemsServicePack1Windows7for32-bitSystemsServicePack1WindowsServer2016(ServerCoreinstallation)WindowsServer2016Windo

107、ws10Version1607forx64-basedSystemsWindows10Version1607for32-bitSystemsWindows10forx64-basedSystemsWindows10for32-bitSystemsWindows10Version21H2forx64-basedSystemsWindows10Version21H2forARM64-basedSystemsWindows10Version21H2for32-bitSystemsWindows11forARM64-basedSystemsWindows11forx64-basedSystemsWin

108、dowsServer,version20H2(ServerCoreInstallation)Windows10Version20H2forARM64-basedSystemsWindows10Version20H2for32-bitSystemsWindows10Version20H2forx64-basedSystemsWindowsServer2022AzureEditionCoreHotpatchWindowsServer2022(ServerCoreinstallation)WindowsServer2022Windows10Version21H1for32-bitSystemsWin

109、dows10Version21H1forARM64-basedSystemsWindows10Version21H1forx64-basedSystemsWindowsServer2019(ServerCoreinstallation)WindowsServer2019Windows10Version1809forARM64-basedSystemsWindows10Version1809forx64-basedSystemsWindows10Version1809for32-bitSystems不受影響版本無其他受影響組件無2022 年度全網漏洞態勢研究報告5二、威脅評估 CVSS 3.1

110、評級 高危 CVSS 3.1 分數 7.8 CVSS向量訪問途徑（AV）攻擊復雜度（AC）本地低用戶認證（Au）用戶交互無需要影響范圍機密性影響（C）不變高完整性影響（I）可用性影響（A）高高危害描述攻擊者可通過惡意Office文件中遠程模板功能從服務器獲取惡意HTML文件，通過ms-msdtURI來執行惡意PowerShell代碼。值得注意的是，該漏洞在宏被禁用的情況下，仍能通過MSDT（MicrosoftSupportDiagnosticsTool）功能（用于排除故障并收集診斷數據以供專業人員分析解決問題）執行代碼，在資源管理器中的預覽功能打開的情況下，當惡意文件保存為RTF格式時，甚至無

111、需打開文件，通過資源管理器中的預覽選項卡即可觸發漏洞在目標機器上執行powershell代碼。附錄/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ 2022 年度全網漏洞態勢研究報告7修復緩解措施一、暫無修復措施二、緩解措施更改注冊表：1.警惕下載來路不明的文檔，同時關閉預覽窗格。2.如果在您的環境中使用MicrosoftDefender的AttackSurfaceReduction(ASR)規則，則在Block模式下激活“阻止所有Office應用程序創建子進程”規則。若您還沒有使用ASR規則，可先在Audit模式下運行規則，并監視其結果，以確保不會對用

112、戶造成不利影響；3.移除ms-msdt的文件類型關聯，在windows注冊表找到HKCR:ms-msdt并刪除該條目。當惡意文檔被打開時，Office將無法調用ms-msdt，從而阻止惡意軟件運行。注意在使用此緩解方案之前，請確保對注冊表設置進行備份。通過命令行刪除：1)以管理員身份運行命令提示符。2)要備份注冊表項，請執行命令 regexportHKEY_CLASSES_ROOTms-msdtfilename。3)執行命令 regdeleteHKEY_CLASSES_ROOTmsmsdt/f。圖形化示例：附錄/2022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https

113、:/ regimportfilename。2019/2021的用戶可升級至最新版本：升級Office至16.0.15225.XXX版本可在一定程度上緩解此漏洞。Office2019/2021的用戶可通過打開“文件-賬戶-Office更新-立即更新”來將Office版本升級至5月最新版本。用戶可通過“文件-賬戶-關于Word”來查看當前版本。2022 年度全網漏洞態勢研究報告9修復緩解措施鑒于Office各版本及補丁眾多，更新覆蓋面不夠廣泛，建議用戶使用處置建議第一條中的緩解措施對注冊表進行修改。修復解決方案（含漏洞補?。簾o修復造成的影響是否需要重啟操作系統否是否需要重啟應用系統是其他附錄/2

114、022 年度全網漏洞態勢研究報告郵箱：ti_ 電話：95015 官網：https:/ EXP/POC見附件利用細節描述需要誘導受害者下載惡意文件，當打開該文件或該文件為rtf格式預覽的情況下，觸發該漏洞。惡意文件通過target遠程拉取一個html文件Html文件如下所示，其中使用了ms-msdt協議，該協議是 MicrosoftSupportDiagnosticsTool的縮寫，它是一種實用程序，用于排除故障并收集診斷數據以供支持專業人員分析以解決問題，其可以調用本地腳本，而不觸發office的保護視圖，從而導致代碼執行，如下所示樣本執行的代碼通過base64編碼編碼的數據如下所示。2022

115、 年度全網漏洞態勢研究報告11利用細節描述若需要構造poc，替換換成模板注入的html即可，這里確保你的遠端exp存在這個路徑下http:/127.0.0.1:8080/www/RDF842l.html如下所示，確保RDF842l.html保存路徑如下所示打開對應的52945af1d.docx，即可觸發代碼執行，這里的測試環境是office2019。利用描述成果與截圖 第四章 2022 年度漏洞態勢/奇安信漏洞情報的深度運營郵箱：ti_ 電話：95015 官網：https:/ 本地漏洞，暫無方法strings:$one1=PCWDiagnosticnocasewideascii$one2=ms

116、dtnocasewideascii$one3=/idnocasewideascii$one4=/skipnocasewideascii$one5=forcenocasewideascii$two1=IT_BrowseForFilenocasewideascii$two2=/././$two2=$($three1=/Interaction$three2=IT_LaunchMethod$three3=IT_RebrowseForFile$three4=ContextMenucondition:(allof($one*)andallof($two*)or(allof($three*)andallof($two*)（一）威脅狩獵思路和方法（二）安全設備側的測檢告警規則與防護策略郵箱：ti_電話：95015官網：https:/ 微信公眾號NOX 漏洞情報服務群