2023年全网漏洞态势研究报告.docx

2023年1月1日至12月31日期间，奇安信安全监测与响应中心（又称奇安信CERT）共监测到新增漏洞 28975个，较2022年同比增长10.9%。其中，有7602个高危漏洞触发了人工研判。经研判：本年度值得 重点关注的漏洞共793个%达到奇安信CERT发布安全风险通告标准的漏洞共360个0 ,并对其中109个漏 洞进行深度分析网2023年奇安信CERT漏洞库每月新增漏洞信息数量如图1-1所示：2023年每月新增漏洞数量立:个3500300027842594C i2381250020882000150010005001月 2月3月4月5月6月7月8月9月10月11月12月图Ll 2023年奇安信CERT漏洞库每月新增漏洞信息数量值得注意的是,2023年新增的28975个漏洞中，有715个漏洞在NVD上没有相应的CVE编号，未被国外漏 洞库收录，为国产软件漏洞，占比情况如图1-2所示。此类漏洞具有较高威胁，如果被国家背景攻击组织 利用将导致严重后果。L奇安信漏洞情报页面：2 .漏洞风险通告发布页面：3 .漏洞深度分析报告发布页面：2023年国产软件漏洞占比2.47%国产软件漏洞图1-2国产软件漏洞占比将2023年度新增的28975条漏洞信息根据漏洞威胁类型进行分类总结，如图1-3所示:图1-3漏洞威胁类型排名其中漏洞数量占比最高的前三种类型分别为：代码执行、信息泄露、拒绝服务。这些类型的漏洞通常很容 易被发现、利用，其中代码执行、权限提升等类型的漏洞可以让攻击者完全接管系统、窃取数据或阻止应 用程序运行，具有很高的危险性，是安全从业人员的重点关注对象。将2023年度新增的28975条漏洞信息根据漏洞影响厂商进行分类总结，如图1-5所示:开放源代码项目10.58%Google6.9%Microsoft6.63%WordPress3.01%Apple2.76%Adobe2.44%Apache1.73%Jenkins1.68%Cisco1.57%Linux1.55%图1-5漏洞影响厂商占比其中漏洞数量占比最高的前十家厂商为：开放源代码项目、Googles Microsoft. WordPresss Apples Adobes Apaches Jenkinsx Ciscos Linuxo Googles Microsoft. APPle这些厂商漏洞多发,且因为其 有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件和应用在企业中被使用的越来越多，关注度逐 渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位，因而获得了安全研究员的重点关注。为了更加有效的管控漏洞导致的风险，奇安信漏洞情报建立了全面的多维漏洞信息整合及属性标定机制， 使关键漏洞、在野利用、"POC公开、影响量级、"Botnet理、攻击者名称、漏 洞别名等标签，标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、ExpIoitTMs概念验 证代码（PoC ）、是否已经有了野外利用、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获 取对系统控制途径等属性。涵盖的漏洞标签类别如图1-6所示：Cuba RansomwareDarkCasino GraphicaIProton porkpink人入_人 CLEMJR 门葭工 LocaIPotalo hzmner AndaridC3%B3R M4 UAC oo57shzrrerAr>der>elr,ncy Bedr WHalPCl CngPMg od RaWm FRC7FKIBARENTS LZQlhanClCD u+ I D ÷ APT29 Looney-Tunables Winter Vivern DregmBus ULUr OtacKHotrtyNB XORigatB Predator -r/Lace TemPMt APT28 Terrapin 止I否存Kkk>lloKtty Ev MinIOBIueDeIta MythicCIopAPT33(Z1H9蔓灵花BiOOdyOnyx SlElFIN IT UNO47 - V-0950Sidecopy KON N LockBit Saaiwc CondiDownfoi BlastpascIN7 TA-505 TA422 Kinsing Mirai Lazarus Cactus ssaspy DarkMtCerber 奇安信已发现在野利用MintMetasploit MagniberEarth Lusca UNC2970 Peach Sandstorm Storm-0978 RomCom BuhtCitrix Bleed ForestIceFire-ThemeBIeed hzzard LockBit 3 0LINC4R41 Keptar Fiahting Urst PLUTONIUM GoTitarAndoryuBotDiamond Sleet图1 Y漏洞f签词TI图将2023年奇安信CERT人工标记的漏洞，按照标签数量进行分类总结，拥有的标签数量排名前十的漏洞如 下表所示:排名2345678漏洞名称RARLAB WinRAR代码执行漏洞Microsoft Outlook 权限提升漏洞Apache ActiveMQ 远程代码执行漏洞JetBrains TeamCity 身份认证绕过漏洞Zoho ManageEngine OnPremise 多款产品远程代码执行漏洞Progress MOVEit Transfer SQL 注入漏洞Barracuda Email Security GateWay远程命令注入漏洞PaperCut NG和ME身份认证绕过漏洞Veeam Backup GReplication 身份认证绕过漏洞漏洞编号标签数量修复建议升级至6. DEL23版本安装补丁升级至安全版本升级至安全版本升级至安全版本升级至安全版本升级至安全版本MF-20. DELl. 7力尔本DEL 21. DEL2. DELll DEL22DEL0. DEL9. 升取至NG -20 .DELl .DEL7DjEL21 DEL2 DELll,22. DELO. DEL9版本升级至安全版本910TP-LINK Archer AX21 代码注入漏洞升级至安全版本其中RARLABWinRAR代码执行漏洞(CVE-2023-38831)拥有的标签数量最多为28个，如图7所示。其次 是MiCroSoft OUtlook权限提升漏洞(CVE-2023-23397)拥有17个标签，如图1-8所示。排名第三的APaChe ActiveMQ远程代码执行漏洞(CVE-2023-46604)被标记了15个标签，如图1-9所示。漏洞详情漏洞详情POC/EXPWinRAR在姐里压缩包内同名的文件与文件夹时代码执行离洞，攻击者构建由恶息文件与非恶意文件构成的特制压端包文件，诱导受害者打开此文件后，将在受害者机器上执行任意代码，目前此漏洞存在在野利用，已被利用来攻击加密货币和股票交易论坛。 解决方案检测规则CPE图1-7 CVE-2023-38831 漏洞标签示例Microsoft Outlook 权限提升漏洞(CVE-2023-23397)公开日期：2023-03-14 更新日期：2023-12-关建系利POC公开EP公开Otby用ApT相关在苏科用总安病(K整证技术细书公开十万级语化技术细节：利用可能性：威物美型：技术类型：漏洞详情漏河详情四POC/EXPMicroso ft Outlook存在权限提升漏洞，未经身份验证的远程攻击者可以向受害者发送特制的电子部件，导致受害者连接到收击省控制的外部UNC位置。这会将受离者的Net-NTHIV2 hash泄露给攻击者，然后攻击者可以将其中继到另一个服务并作为受害者进行身份验证。解决方案检测规则CPE奇安信评分触韧式：复杂度：低图1-8 CVE-2023-23397 漏洞标签示例公开日期：2023-10-27 更新日期：2023-12-2关建据词PoC公 开EP公 开APT相关在芳利用盛交低（王Rl检证技术相节公开万级武深化漏洞详情漏洞详情POC/EXPApache ACtiVeMQ容易受到远程代码执行漏河的攻击。该漏周可能允许对broker具有网络访问权限的远程攻击者通过提纵OPenWire协议中的序列化类类型来实例化类路径上的任何类，最终可能导数运彳诳意ShelI命令。 解决方案检测规则CPE奇安信评分图1-9 CVE-2023-46604漏洞标签示例漏洞拥有的攻击者标签越多，与其关联的攻击团伙或者恶意家族就越多，说明漏洞正在被积极利用。从侧 面印证了这个漏洞具有较高的可达性和危害性，这样的漏洞已经不仅仅是潜在的威胁，而是具有了较高的 现时威胁，漏洞修补时应该放在最高的优先级。根据奇安信CERT的监测娄好居，2023年漏洞舆论热度榜ToPlO漏洞如下：1NaCoS身份认证绕过漏洞QVD-2023-6271IwJ危升级至220.1或以上版本2curl SOCKS5堆溢出漏洞CVE-2023-38545高危升级至8.4.0及以上版本3Microsoft Word 远程代码执行漏洞CVE-2023-21716IwJ危安装补丁4PowerSheII远程代码执行漏洞CVE-2022-41076高危安装补丁5泛微E-Cology SQL注入最同QVD-2023-15672高危升级至10.58及以上版本6Fortinet FortiOS SSL-VPN远程代码执行漏洞CVE-2023-27997高危升级至安全版本7Apache Kafka ConnectJNDI 注入漏洞CVE-2023-25194高危升级至340及以上版本8Ju m pServer未授权访问漏洞CVE-2023-42442高危升级至安全版本9MirlIO信息泄露漏洞CVE-2023-28432高危升级至RELEASE.2023-03-20T20-16-18Z 及以上版本10泛微e-cology9 SQL注入最同QVD-2023-5012IwJ危升级至10.56及以上版本在本年度总热度舆论榜前十的漏洞中，热度最高的漏洞为Nacos身份认证绕过漏洞(QVD-2023-6271)。该 漏洞是由于开源服务管理平台NaCoS在默认配置下未对token.secret.key进行修改，导致远程攻击者可以 绕过密钥认证进入后台，造成系统受控等后果。该系统通常部署在内网，用作服务发现及配置管理，历史 上存在多个功能特性导致认证绕