2022年網(wǎng)絡(luò)空間安全漏洞分析研究報(bào)告-2023.03

可信網(wǎng)絡(luò)

安全世界天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利1

/

34可信網(wǎng)絡(luò)

安全世界目錄第一章

前言................................................................................................................................................

3第二章

CNVD

漏洞庫(kù)安全漏洞概況......................................................................................................52.1

漏洞威脅等級(jí)統(tǒng)計(jì).......................................................................................................................52.2

漏洞利用攻擊位置統(tǒng)計(jì)..............................................................................................................62.3

漏洞影響對(duì)象類型統(tǒng)計(jì)..............................................................................................................72.4

漏洞產(chǎn)生原因統(tǒng)計(jì).......................................................................................................................82.5

漏洞引發(fā)威脅統(tǒng)計(jì).......................................................................................................................92.6

漏洞增長(zhǎng)趨勢(shì)..............................................................................................................................10第三章

CVE

漏洞庫(kù)安全漏洞概況......................................................................................................123.1

漏洞影響廠商分布情況...........................................................................................................

123.2

高危漏洞披露時(shí)間趨勢(shì)圖.......................................................................................................133.3

攻擊途徑概況..............................................................................................................................143.4

漏洞影響平臺(tái)分類.....................................................................................................................153.5

漏洞類型統(tǒng)計(jì)概況.....................................................................................................................163.6

POC

公開(kāi)情況統(tǒng)計(jì)......................................................................................................................18第四章

漏洞預(yù)警統(tǒng)計(jì)情況..................................................................................................................

204.1

漏洞廠商情況..............................................................................................................................204.2

漏洞威脅情況..............................................................................................................................224.3

年度

TOP10

高危漏洞................................................................................................................234.4

漏洞預(yù)警

TOP10

漏洞回顧.......................................................................................................25第五章

總結(jié)..............................................................................................................................................305.1

安全防護(hù)建議..............................................................................................................................305.2

漏洞態(tài)勢(shì)展望..............................................................................................................................33天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利2

/

34可信網(wǎng)絡(luò)

安全世界第2022

年在國(guó)家出臺(tái)了新網(wǎng)絡(luò)安全法規(guī)的推動(dòng)下，網(wǎng)絡(luò)空間安全日益受到重視。隨著政府部門(mén)和企業(yè)對(duì)網(wǎng)絡(luò)安全的投入增加，網(wǎng)絡(luò)安全產(chǎn)業(yè)也迎來(lái)了快速發(fā)展的機(jī)遇，但與此同時(shí)，許多企業(yè)和個(gè)人受疫情影響更加依賴網(wǎng)絡(luò)，網(wǎng)絡(luò)攻擊手段的日新月異使得網(wǎng)絡(luò)空間安全漏洞依然是一個(gè)棘手的問(wèn)題。在國(guó)際沖突和疫情的疊加影響下，全球網(wǎng)絡(luò)空間的對(duì)抗升級(jí)已經(jīng)成為不容忽視的現(xiàn)實(shí)。隨著國(guó)家間網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪活動(dòng)的頻繁出現(xiàn)，相應(yīng)的漏洞利用事件也在不斷增加，保護(hù)和維護(hù)網(wǎng)絡(luò)安全已成為越來(lái)越重要的任務(wù)。為了應(yīng)對(duì)這些挑戰(zhàn)，必須加強(qiáng)網(wǎng)絡(luò)安全信息共享和工作協(xié)同，強(qiáng)調(diào)提升網(wǎng)絡(luò)安全整體防護(hù)能力。同時(shí)，隨著數(shù)字化和云化的普及，安全漏洞成為了保障網(wǎng)絡(luò)安全的基礎(chǔ)。因此，我們必須采取積極的措施，加強(qiáng)網(wǎng)絡(luò)安全管理和漏洞預(yù)警，確保及時(shí)修復(fù)漏洞，防止漏洞被利用。作為網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)者，天融信一直致力于推動(dòng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展和應(yīng)用，并通過(guò)不斷的探索和實(shí)踐為客戶提供全方位的網(wǎng)絡(luò)安全服務(wù)。為了更好地了解網(wǎng)絡(luò)空間安全漏洞的發(fā)展趨勢(shì)，并采取適當(dāng)?shù)拇胧?yīng)對(duì)漏洞威脅，特發(fā)布《2022

年網(wǎng)絡(luò)空間安全漏洞分析研究報(bào)告》，在這份報(bào)告中，我們將通過(guò)實(shí)際案例和數(shù)據(jù)分析，為廣大客戶和讀者提供有價(jià)值的信息。本報(bào)告重點(diǎn)內(nèi)容共分三個(gè)部分，第一部分為

2022

年漏洞趨勢(shì)，通過(guò)對(duì)

CNVD

漏洞信息庫(kù)及

CVE

高危漏洞

CVSS

評(píng)分

TOP100

漏洞數(shù)據(jù)進(jìn)行綜合分析而產(chǎn)生。據(jù)

CNVD

公開(kāi)數(shù)據(jù)顯示，2021

年共披露漏洞

26558

枚，2022

年共披露漏洞

23900

枚，同比降低

10%。這可能表明，在過(guò)去一年里，安全運(yùn)維人員加強(qiáng)了對(duì)系統(tǒng)安全的管理，降低了漏洞數(shù)量。其中，低危漏洞占

11.13%，中危漏洞占

53.82%，高危漏洞占

35.05%。相對(duì)于低危漏洞，中危和高危漏洞的數(shù)量要多得多，這也需要安全運(yùn)維人員提高警惕，加強(qiáng)對(duì)中高危漏洞的控制。第二部分為天融信

2022

年度高危漏洞預(yù)警情況概述,在

2022

年整個(gè)年度中，天融信阿爾法實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)了上萬(wàn)條漏洞情報(bào)，經(jīng)過(guò)實(shí)驗(yàn)室人員快速研判分析，第一時(shí)間預(yù)警并處理了多起突發(fā)高危漏洞，并根據(jù)漏洞的影響范圍、影響對(duì)象及產(chǎn)生威脅的因素，挑出了排名前十的漏洞。2022

年度重點(diǎn)漏洞含

Microsoft

Windows

支持診斷工具

(MSDT)

遠(yuǎn)程代碼執(zhí)行漏洞、Exchange

Server

遠(yuǎn)程代碼執(zhí)行漏洞、Spring

Framework

任意文件寫(xiě)入漏洞、Spring

Cloud

Gateway

遠(yuǎn)程代碼執(zhí)行漏洞等。實(shí)驗(yàn)室第一時(shí)間監(jiān)測(cè)到漏洞后，進(jìn)行了漏洞復(fù)現(xiàn)和應(yīng)急響應(yīng)處理，并給出臨時(shí)緩解方案，保障了客戶網(wǎng)絡(luò)環(huán)境安全。第三部分為

2022

年度總結(jié)及展望，天融信阿爾法實(shí)驗(yàn)室通過(guò)對(duì)

CNVD

披露的漏洞數(shù)量和

CVE

TOP

100

漏洞以及年度預(yù)警情況進(jìn)行了分析總結(jié)，并對(duì)

2023

年漏洞趨勢(shì)做出了相關(guān)預(yù)測(cè)。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利3

/

34可信網(wǎng)絡(luò)

安全世界企業(yè)安全部門(mén)應(yīng)該提升網(wǎng)絡(luò)安全威脅感知能力，建立有效的監(jiān)測(cè)預(yù)警體系，并制定應(yīng)急指揮計(jì)劃，加強(qiáng)對(duì)威脅的發(fā)現(xiàn)、監(jiān)測(cè)、預(yù)警和應(yīng)對(duì)能力。以便在網(wǎng)絡(luò)攻擊發(fā)生時(shí)快速作出應(yīng)對(duì)。此外，還需要強(qiáng)化攻擊溯源能力，即能夠追查攻擊來(lái)源，查找攻擊路徑，找出攻擊工具，以便有效地防御和應(yīng)對(duì)未來(lái)攻擊。天融信阿爾法實(shí)驗(yàn)室秉承攻防一體的理念，以保衛(wèi)國(guó)家網(wǎng)絡(luò)空間安全為己任，在未來(lái)的工作中將持續(xù)針對(duì)網(wǎng)絡(luò)空間漏洞進(jìn)行實(shí)時(shí)偵測(cè)，并靈活應(yīng)對(duì)和防護(hù)突發(fā)漏洞的產(chǎn)生，攻防相結(jié)合，為國(guó)家網(wǎng)絡(luò)安全進(jìn)行全方位賦能。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利4

/

34可信網(wǎng)絡(luò)

安全世界第漏洞的統(tǒng)計(jì)與評(píng)判是評(píng)估網(wǎng)絡(luò)安全情況的一個(gè)重要指標(biāo)，天融信阿爾法實(shí)驗(yàn)室參考CNVD

漏洞數(shù)據(jù)庫(kù)數(shù)據(jù),對(duì)

2022

年披露的漏洞進(jìn)行了全方位的統(tǒng)計(jì)分析,下圖是近十年漏洞數(shù)量走勢(shì)圖，從這個(gè)數(shù)據(jù)中可以看出，近十年來(lái)，CNVD

披露的漏洞數(shù)量呈現(xiàn)上升趨勢(shì)。尤其是在

2018

年至

2021

年之間，漏洞數(shù)量大幅增加。然而，2022

年的數(shù)據(jù)顯示漏洞數(shù)量有所下降。這可能表明，在近一年的時(shí)間里，企事業(yè)單位和軟件開(kāi)發(fā)者采取了有效措施來(lái)防止漏洞的產(chǎn)生和利用，從而降低了漏洞的數(shù)量。但由于網(wǎng)絡(luò)安全威脅的持續(xù)存在，仍然有必要繼續(xù)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。圖

1

近十年漏洞數(shù)量走勢(shì)圖(數(shù)據(jù)來(lái)自于

CNVD)2.1

漏洞威脅等級(jí)統(tǒng)計(jì)根據(jù)

2022

年

1-12

月漏洞引發(fā)威脅嚴(yán)重程度統(tǒng)計(jì)，其中低危漏洞占

11.13%，中危漏洞占

53.82%，高危漏洞占

35.05%。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利5

/

34可信網(wǎng)絡(luò)

安全世界圖

2

2022

年收錄漏洞按威脅級(jí)別統(tǒng)計(jì)(數(shù)據(jù)來(lái)自于

CNVD)可以看出大多數(shù)漏洞為中高危。這意味著如果這些漏洞被利用，可能會(huì)對(duì)網(wǎng)絡(luò)造成嚴(yán)重的損害。因此，企業(yè)組織需要重視漏洞管理工作，并加強(qiáng)對(duì)中高危漏洞的修補(bǔ)和防護(hù)。同時(shí)，這也提醒企業(yè)組織需要注意資產(chǎn)的安全性，雖然低危漏洞只有

11.13%

，但如果這些資產(chǎn)很重要或者被大量使用，仍然有可能帶來(lái)潛在的風(fēng)險(xiǎn)。2.2

漏洞利用攻擊位置統(tǒng)計(jì)根據(jù)

2022

年

1-12

月漏洞利用攻擊位置統(tǒng)計(jì)，其中遠(yuǎn)程攻擊占比約為

82.5%，本地攻擊約占

13.5%，其他攻擊為

4.0%。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利6

/

34可信網(wǎng)絡(luò)

安全世界圖

3

2022

年收錄漏洞利用的攻擊位置統(tǒng)計(jì)（數(shù)據(jù)來(lái)自于

CNVD）由此可見(jiàn)，遠(yuǎn)程攻擊是主要的漏洞攻擊手段，且更具有潛在危險(xiǎn)。因此，對(duì)企業(yè)組織來(lái)說(shuō)，保護(hù)外部接入點(diǎn)更加重要，安全團(tuán)隊(duì)?wèi)?yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)邊界的審查和保護(hù)。此外，盡管本地攻擊和其他類型的攻擊所占比例較小，但這并不意味著可以忽略這部分攻擊的風(fēng)險(xiǎn)，仍然是一種需要警惕的攻擊方式。其他類型的攻擊可能包括例如物聯(lián)網(wǎng)設(shè)備、工業(yè)控制系統(tǒng)等非傳統(tǒng)網(wǎng)絡(luò)設(shè)備的攻擊，這些設(shè)備可能不具備足夠的安全防護(hù)措施，因此需要加強(qiáng)對(duì)這些設(shè)備的安全監(jiān)控和保護(hù)。2.3

漏洞影響對(duì)象類型統(tǒng)計(jì)根據(jù)

2022

年

1-12

月漏洞引發(fā)威脅統(tǒng)計(jì)，受影響的對(duì)象大致可分為八類：分別是

WEB應(yīng)用、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、智能設(shè)備、數(shù)據(jù)庫(kù)、安全產(chǎn)品、工業(yè)控制系統(tǒng)。其中

WEB

應(yīng)用漏洞

43.8%，應(yīng)用程序漏洞

28.7%，網(wǎng)絡(luò)設(shè)備漏洞

13.9%，操作系統(tǒng)漏洞4.8%，智能設(shè)備漏洞

4.5%，數(shù)據(jù)庫(kù)漏洞

1.6%，安全產(chǎn)品漏洞

1.5%，工業(yè)控制系統(tǒng)漏洞1.3%。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利7

/

34可信網(wǎng)絡(luò)

安全世界圖

4

2022

年漏洞影響對(duì)象類型統(tǒng)計(jì)(數(shù)據(jù)來(lái)自于

CNVD)由此可見(jiàn)，應(yīng)用程序漏洞和

WEB

應(yīng)用漏洞是導(dǎo)致威脅的主要原因，占據(jù)了總數(shù)的72.5%。天融信提供政府、金融、交通、運(yùn)營(yíng)商、教育、衛(wèi)生等行業(yè)安全場(chǎng)景解決方案，可以有效解決此類應(yīng)用程序在實(shí)際場(chǎng)景中存在的各類安全問(wèn)題。企業(yè)組織在進(jìn)行滲透測(cè)試或代碼審計(jì)時(shí)，也應(yīng)首先關(guān)注這兩類產(chǎn)品可能出現(xiàn)的大量漏洞。雖然操作系統(tǒng)漏洞所占比例較小，但由于操作系統(tǒng)是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)，因此也應(yīng)加強(qiáng)對(duì)操作系統(tǒng)的安全防護(hù)。此外，盡管智能設(shè)備漏洞、安全產(chǎn)品漏洞和數(shù)據(jù)庫(kù)漏洞所占比例較小，但也應(yīng)加強(qiáng)對(duì)這些方面的安全性評(píng)估。特別是在工業(yè)控制系統(tǒng)方面，由于其對(duì)社會(huì)基礎(chǔ)設(shè)施起關(guān)鍵性作用，應(yīng)特別重視工業(yè)控制系統(tǒng)的安全防護(hù)。2.4

漏洞產(chǎn)生原因統(tǒng)計(jì)根據(jù)

2022

年

1-12

月漏洞產(chǎn)生原因的統(tǒng)計(jì)，設(shè)計(jì)錯(cuò)誤導(dǎo)致的漏洞占比

68.1%

，屈居首位，緊跟其后的是輸入驗(yàn)證錯(cuò)誤導(dǎo)致的漏洞占比

27.4%，位居第二，接著是邊界條件錯(cuò)誤導(dǎo)致的漏洞占比

3.1%，位居第三。后面的訪問(wèn)驗(yàn)證錯(cuò)誤、競(jìng)爭(zhēng)錯(cuò)誤、其他錯(cuò)誤、配置錯(cuò)誤、環(huán)境錯(cuò)誤、意外情況處理錯(cuò)誤分別占比

1.1%、

0.2%、0.1%、0.01%、0.004%、0.004%。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利8

/

34可信網(wǎng)絡(luò)

安全世界圖

5

2022

年漏洞產(chǎn)生原因統(tǒng)計(jì)(數(shù)據(jù)來(lái)自于

CNVD)由此可見(jiàn)，設(shè)計(jì)錯(cuò)誤是導(dǎo)致漏洞的主要原因。這說(shuō)明系統(tǒng)在項(xiàng)目設(shè)計(jì)之初，可能并未全面地考慮自身的安全性需求，導(dǎo)致系統(tǒng)存在漏洞。這種漏洞可能難以在輸入輸出測(cè)試中發(fā)現(xiàn)，因此在設(shè)計(jì)系統(tǒng)時(shí)應(yīng)使用安全設(shè)計(jì)原則確保系統(tǒng)的安全性。此外，輸入驗(yàn)證錯(cuò)誤也是一個(gè)常見(jiàn)的導(dǎo)致漏洞原因，輸入驗(yàn)證是指對(duì)于外部輸入的數(shù)據(jù)進(jìn)行校驗(yàn)的過(guò)程。這是一種重要的安全措施，因?yàn)樵谠S多情況下，惡意用戶會(huì)嘗試向系統(tǒng)注入惡意數(shù)據(jù)，以便破壞系統(tǒng)或獲取敏感信息。軟件開(kāi)發(fā)人員往往忽略了對(duì)輸入數(shù)據(jù)進(jìn)行足夠的校驗(yàn)。這種漏洞通常危害大，因?yàn)樗鼈兛赡茉试S攻擊者執(zhí)行任意代碼或獲取敏感信息。同時(shí)，這種漏洞通常很容易利用，因?yàn)楣粽呖梢允褂米詣?dòng)化工具來(lái)構(gòu)造惡意輸入并測(cè)試系統(tǒng)的輸入驗(yàn)證。為了避免輸入驗(yàn)證錯(cuò)誤，軟件開(kāi)發(fā)人員應(yīng)該加強(qiáng)對(duì)輸入數(shù)據(jù)的驗(yàn)證，包括對(duì)數(shù)據(jù)類型、格式和范圍的檢查。例如，如果系統(tǒng)期望接收用戶年齡的輸入，則應(yīng)該確保輸入的數(shù)據(jù)是整數(shù)，并且在合理范圍內(nèi)。這樣可以避免惡意用戶輸入字符串或超出范圍的數(shù)字，從而導(dǎo)致系統(tǒng)異常。盡管其他原因所占比例較小，但仍然應(yīng)加強(qiáng)對(duì)系統(tǒng)的訪問(wèn)驗(yàn)證、競(jìng)爭(zhēng)、配置和環(huán)境的安全性評(píng)估，以確保系統(tǒng)的安全性。2.5

漏洞引發(fā)威脅統(tǒng)計(jì)根據(jù)

2022

年

1-12

月漏洞引發(fā)威脅統(tǒng)計(jì)，未授權(quán)的信息泄露占比

45.5%居首位，管理員訪問(wèn)權(quán)限獲取占比

27.6%位居第二，拒絕服務(wù)占比

14.0%位居第三，后面的未授權(quán)的信天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利9

/

34可信網(wǎng)絡(luò)

安全世界息獲取、其他、普通用戶權(quán)限獲取、未知。占比分別是

12.1%、0.5%、0.3%、0.1%。圖

6

2022

年漏洞引發(fā)威脅統(tǒng)計(jì)(數(shù)據(jù)來(lái)自于

CNVD)由此可見(jiàn)，未授權(quán)的信息泄露是導(dǎo)致威脅的主要原因，數(shù)據(jù)即生命，數(shù)據(jù)泄露可能會(huì)對(duì)企業(yè)造成無(wú)法估量的損失，保護(hù)信息安全是非常重要的。因此，有效的數(shù)據(jù)防泄漏系統(tǒng)是必不可少的。天融信網(wǎng)絡(luò)數(shù)據(jù)防泄漏系統(tǒng)通過(guò)深度的內(nèi)容識(shí)別、敏銳的行為感知、多樣化的部署方式、全覆蓋業(yè)務(wù)系統(tǒng)應(yīng)用場(chǎng)景、全面的流動(dòng)監(jiān)控、迅速的泄漏響應(yīng)、開(kāi)放的架構(gòu)設(shè)計(jì)、靈活的交付部署來(lái)幫助企業(yè)保護(hù)數(shù)據(jù)安全。同時(shí)，管理員訪問(wèn)權(quán)限獲取也是值得關(guān)注的重點(diǎn)，在保護(hù)網(wǎng)絡(luò)安全時(shí)，應(yīng)加強(qiáng)對(duì)管理員訪問(wèn)權(quán)限的保護(hù)，避免使用弱口令等導(dǎo)致攻擊者惡意獲取管理員權(quán)限。此外，拒絕服務(wù)也是一種威脅。拒絕服務(wù)攻擊可以通過(guò)多種方式實(shí)現(xiàn)，包括但不限于：利用腳本模擬大量用戶請(qǐng)求、使用僵尸網(wǎng)絡(luò)發(fā)起攻擊、利用漏洞導(dǎo)致服務(wù)器資源耗盡等。如果未得到及時(shí)有效的防護(hù)，拒絕服務(wù)攻擊可能會(huì)對(duì)信息系統(tǒng)和業(yè)務(wù)造成嚴(yán)重的影響，包括網(wǎng)站癱瘓、服務(wù)中斷、數(shù)據(jù)丟失、用戶流失等。因此，加強(qiáng)對(duì)系統(tǒng)服務(wù)的保護(hù)是非常重要的，應(yīng)使用多種方法來(lái)防護(hù)拒絕服務(wù)攻擊，包括但不限于：安裝防火墻、使用

DDOS

防護(hù)設(shè)備、進(jìn)行服務(wù)器優(yōu)化和加固等。最后，也應(yīng)注意未授權(quán)的信息獲取、普通用戶權(quán)限獲取等方面的威脅，加強(qiáng)相應(yīng)的安全防護(hù)。2.6

漏洞增長(zhǎng)趨勢(shì)通過(guò)

CNVD

漏洞信息庫(kù)對(duì)

2021、2022

漏洞公開(kāi)數(shù)據(jù)顯示，2021

年一共披露漏洞

26558枚，2022

年一共披露漏洞

23900

枚。同比減少

10%，2021

年高危漏洞

7284，2022

年高危天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利10

/

34可信網(wǎng)絡(luò)

安全世界漏洞

8379

枚，同比

2021

年增加

15.03%，2021

年中危漏洞

15738

枚，2022

年中危漏洞12862

枚，同比

2021

年減少

18.27%，2021

年低危漏洞

3536

枚，2022

年低危漏洞

2659

枚，同比

2021

年減少

16.32%。圖

7

2022

年漏洞增長(zhǎng)趨勢(shì)統(tǒng)計(jì)（數(shù)據(jù)來(lái)自

CNVD）根據(jù)這份數(shù)據(jù)我們可以看出，2022

年的漏洞總數(shù)相較于

2021

年有所減少，這可能是因?yàn)槠髽I(yè)和機(jī)構(gòu)在過(guò)去一年里加強(qiáng)了對(duì)漏洞的檢測(cè)和修復(fù)或者因?yàn)樵谲浖_(kāi)發(fā)過(guò)程中更加注重了安全性。然而，從高危漏洞的數(shù)量來(lái)看，2022

年的數(shù)量略微高于

2021

年，這說(shuō)明有些高危漏洞并沒(méi)有得到很好的修復(fù)，存在潛在的威脅。為了提高漏洞管理效率，需要不斷優(yōu)化漏洞管理計(jì)劃的成熟度和有效性，加強(qiáng)漏洞管理流程。此外，還需注意不同級(jí)別漏洞的處理優(yōu)先級(jí)，高風(fēng)險(xiǎn)和嚴(yán)重風(fēng)險(xiǎn)漏洞需要盡快修復(fù)，但也不要忽略低風(fēng)險(xiǎn)和中等風(fēng)險(xiǎn)漏洞的修復(fù)。同時(shí)也要盡力在預(yù)算允許的范圍內(nèi)招募和培養(yǎng)安全人才，并定期評(píng)估和更新漏洞管理規(guī)程，從而更有效地保護(hù)自己的網(wǎng)絡(luò)安全。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利11

/

34可信網(wǎng)絡(luò)

安全世界第通過(guò)對(duì)

CVE

在

2022

年公布的漏洞按

CVSS

評(píng)分高低進(jìn)行排序,我們篩選了

CVSS

基本評(píng)分最高的前

100

個(gè)漏洞進(jìn)行統(tǒng)計(jì)分析。此次統(tǒng)計(jì)分析主要從漏洞所影響廠商、影響平臺(tái)、攻擊途徑、披露時(shí)間、漏洞類型以及

POC

公開(kāi)情況等

6

個(gè)方面展開(kāi)。結(jié)果顯示，漏洞影響廠商前三名分別是谷歌、臺(tái)達(dá)及思科。從影響的平臺(tái)進(jìn)行統(tǒng)計(jì)，受影響的平臺(tái)大致可分為五類:分別是

PC

端平臺(tái)、移動(dòng)端平臺(tái)、硬件設(shè)備平臺(tái)、跨平臺(tái)以及其他平臺(tái)。其中硬件設(shè)備平臺(tái)

38%，占據(jù)首位。由此可見(jiàn)漏洞依然集中在傳統(tǒng)廠商的設(shè)備和產(chǎn)品中，且主流系統(tǒng)和產(chǎn)品所面臨的漏洞威脅和安全風(fēng)險(xiǎn)較大。而從高危漏洞的披露時(shí)間看，2

月份共披露高危漏洞

22

個(gè)，位居全年第一。在

TOP100漏洞中大約有

17%的高危漏洞存在公開(kāi)

POC，這一數(shù)據(jù)占比相比往年提高。公開(kāi)

POC

可能會(huì)為攻擊者提供便利條件，使其能夠更快地研發(fā)攻擊工具，這將對(duì)相關(guān)軟硬件設(shè)備造成重大安全威脅，并給用戶帶來(lái)威脅。為了避免這種情況的發(fā)生，開(kāi)發(fā)者應(yīng)該在軟件設(shè)計(jì)和開(kāi)發(fā)階段就考慮安全問(wèn)題，并采取有效措施來(lái)防范漏洞的產(chǎn)生。從攻擊途徑看可被遠(yuǎn)程利用的漏洞占比約為

98%，本地利用的漏洞約占

2%，這表明大多數(shù)漏洞都是可以被遠(yuǎn)程利用的，只有很少一部分漏洞可以被本地利用。因此，為了保證網(wǎng)絡(luò)安全，我們應(yīng)該采取更多有效措施，防止遠(yuǎn)程攻擊。從披露漏洞危害程度前

100

例的統(tǒng)計(jì)數(shù)據(jù)可以看出，遠(yuǎn)程代碼執(zhí)行漏洞、SQL

注入漏洞、命令注入漏洞是當(dāng)前網(wǎng)絡(luò)安全形勢(shì)下最為嚴(yán)峻的威脅，它們共同占比超過(guò)

50%。未來(lái)，我們應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全管理，健全安全技術(shù)，針對(duì)這些漏洞提供有效的防護(hù)措施，以期確保網(wǎng)絡(luò)安全。具體統(tǒng)計(jì)分析結(jié)果如下:3.1

漏洞影響廠商分布情況根據(jù)

2022

年

1-12

月

CVE

披露漏洞危害程度前

100

例所影響的相同廠商情況進(jìn)行統(tǒng)計(jì)，前三名分別是谷歌、臺(tái)達(dá)及思科。其中谷歌廠商的產(chǎn)品占比達(dá)到

17.00%，臺(tái)達(dá)的產(chǎn)品占到11.00%，思科的產(chǎn)品共占

5.00%。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利12

/

34可信網(wǎng)絡(luò)

安全世界圖

8

漏洞廠商分布圖(數(shù)據(jù)來(lái)自于

CVE)谷歌、臺(tái)達(dá)和思科是在

2022

年

1-12

月中受到漏洞攻擊最多的廠商。這也意味著，如果你正在使用谷歌、臺(tái)達(dá)或思科的產(chǎn)品，就應(yīng)該特別注意保護(hù)這些產(chǎn)品的安全。可以考慮采取一些措施來(lái)防范漏洞的利用，例如定期更新其應(yīng)用程序的安全補(bǔ)丁，使用相應(yīng)的安全產(chǎn)品來(lái)監(jiān)測(cè)網(wǎng)絡(luò)流量，并在發(fā)現(xiàn)異常時(shí)立即采取行動(dòng)。定期對(duì)網(wǎng)絡(luò)進(jìn)行安全審計(jì)，以找出并修復(fù)潛在的漏洞。最后，還要注意不要下載來(lái)自不信任來(lái)源的文件，也不要點(diǎn)擊未知的鏈接，以避免意外地觸發(fā)漏洞。通過(guò)這些措施，可以有效地降低遭受漏洞攻擊的風(fēng)險(xiǎn)。3.2

高危漏洞披露時(shí)間趨勢(shì)圖根據(jù)

2022

年

1-12

月

CVE

披露漏洞危害程度前

100

例相同披露時(shí)間進(jìn)行統(tǒng)計(jì)，在

2022年全年中，2

月份披露

22

個(gè)，占比

22%位居第一，6

月份披露

21

個(gè)，占比

21%位居第二，5月份披露

20

個(gè)，占比

20%位居第三。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利13

/

34可信網(wǎng)絡(luò)

安全世界圖

9

高危漏洞披露時(shí)間趨勢(shì)圖(數(shù)據(jù)來(lái)自于

CVE)3.3

攻擊途徑概況根據(jù)

2022

年

1-12

月

CVE

披露漏洞危害程度前

100

例相同攻擊途徑進(jìn)行統(tǒng)計(jì)，其中來(lái)自遠(yuǎn)程攻擊占比約為

98%，本地攻擊約占

2%。圖

10

TOP100

攻擊途徑概況(數(shù)據(jù)來(lái)自于

CVE)天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利14

/

34可信網(wǎng)絡(luò)

安全世界2022

年遠(yuǎn)程攻擊漏洞數(shù)量占比提升。這表明，遠(yuǎn)程攻擊是當(dāng)前攻擊者采用的主要攻擊手段，要有效防范網(wǎng)絡(luò)攻擊，應(yīng)該優(yōu)先考慮和加強(qiáng)安全策略的實(shí)施、進(jìn)行綜合性的安全防御、嚴(yán)格控制網(wǎng)絡(luò)訪問(wèn)權(quán)限、定期進(jìn)行安全漏洞掃描、保護(hù)網(wǎng)絡(luò)的關(guān)鍵資源、以及采用多層防護(hù)技術(shù)，這些措施都可以有效地防止遠(yuǎn)程攻擊。3.4

漏洞影響平臺(tái)分類根據(jù)

2022

年

1-12

月

CVE

披露漏洞危害程度前

100

例所影響的平臺(tái)進(jìn)行統(tǒng)計(jì)，受影響的平臺(tái)大致可分為五類:分別是硬件設(shè)備平臺(tái)、PC

端平臺(tái)、跨平臺(tái)、移動(dòng)端平臺(tái)以及其他平臺(tái)。其中硬件設(shè)備平臺(tái)

38%、PC

端平臺(tái)

19%、跨平臺(tái)

18%、移動(dòng)端平臺(tái)

15%、其他平臺(tái)10%。圖

11

TOP100

漏洞平臺(tái)分類(數(shù)據(jù)來(lái)自于

CVE)這些數(shù)據(jù)表明，硬件設(shè)備平臺(tái)受到的漏洞攻擊最多，由于硬件設(shè)備的復(fù)雜度較高，其更新迭代速度較慢，導(dǎo)致在設(shè)計(jì)、開(kāi)發(fā)和使用過(guò)程中容易出現(xiàn)漏洞。另外，PC

端平臺(tái)和跨平臺(tái)也受到了較多的漏洞攻擊，這與

PC

端平臺(tái)和跨平臺(tái)的廣泛使用密切相關(guān)。而移動(dòng)端平臺(tái)的漏洞攻擊相對(duì)較少，移動(dòng)端平臺(tái)的安全機(jī)制相對(duì)比較完善，更新迭代速度較快，使得漏洞得到及時(shí)修復(fù)?？偟膩?lái)看，各類平臺(tái)都需要加強(qiáng)對(duì)漏洞的防范和修復(fù)工作，以確保系統(tǒng)和設(shè)備的安全。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利15

/

34可信網(wǎng)絡(luò)

安全世界3.5

漏洞類型統(tǒng)計(jì)概況根據(jù)

2022

年

1-12

月

CVE

披露漏洞危害程度前

100

例相同類型進(jìn)行統(tǒng)計(jì)，其中遠(yuǎn)程代碼執(zhí)行漏洞占比最多，以

28%位居首位，而

SQL

注入占比

15%、命令注入占比

11%、權(quán)限提升占比

8%、訪問(wèn)控制不當(dāng)

6%、越界寫(xiě)入占比

5%、身份驗(yàn)證繞過(guò)占比

4%、其他漏洞占比15%。圖

12

TOP100

漏洞類型統(tǒng)計(jì)概況(數(shù)據(jù)來(lái)自于

CVE)遠(yuǎn)程代碼執(zhí)行漏洞是最常見(jiàn)的漏洞類型，其次是

SQL

注入和命令注入。可以考慮采用一些措施來(lái)防范漏洞的利用，例如使用輸入驗(yàn)證、邊界檢查和訪問(wèn)控制等技術(shù)來(lái)防止攻擊者利用漏洞進(jìn)行攻擊。此外，定期更新操作系統(tǒng)和應(yīng)用程序的安全補(bǔ)丁也是很有必要的，這可以幫助系統(tǒng)修復(fù)已知的漏洞，防止攻擊者利用這些漏洞進(jìn)行攻擊。根據(jù)

MITRE

今年通過(guò)對(duì)公開(kāi)可用的國(guó)家漏洞數(shù)據(jù)庫(kù)中

37000

項(xiàng)數(shù)據(jù)調(diào)研分析得出的CWE

TOP

25

排名如下。排名ID名稱分?jǐn)?shù)64.2045.9722.1120.63與

2021

年排名相比1234CWE-787CWE-79CWE-89CWE-20越界寫(xiě)入00跨站腳本SQL

注入+30輸入驗(yàn)證不當(dāng)天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利16

/

34可信網(wǎng)絡(luò)

安全世界CWE-125CWE-78越界讀取17.6717.5315.5014.0811.539.567.156.686.536.355.665.535.425.154.85-2-106OS

命令注入U(xiǎn)se-After-Free路徑遍歷7CWE-416CWE-22809CWE-352CWE-434CWE-476CWE-502CWE-190CWE-287CWE-798CWE-862CWE-77跨站請(qǐng)求偽造

(CSRF)文件上傳0101112131415161718190NULL

指針解引用反序列化+4+1-10整數(shù)溢出身份驗(yàn)證不當(dāng)使用硬編碼憑證缺少授權(quán)+1+2+8-7-2命令注入CWE-306CWE-119缺少關(guān)鍵功能的身份驗(yàn)證內(nèi)存緩沖區(qū)范圍內(nèi)的操作限制不當(dāng)202122232425CWE-276CWE-918CWE-362CWE-400CWE-611CWE-94不正確的默認(rèn)權(quán)限服務(wù)器端請(qǐng)求偽造

(SSRF)競(jìng)爭(zhēng)條件4.844.273.573.563.383.32-1+3+11+4不受控制的資源消耗XML

外部實(shí)體引用限制不當(dāng)代碼注入-1+3表

1

CVE

TOP

25

排名(數(shù)據(jù)來(lái)自于

MITRE)與過(guò)去幾年一樣，CWE

團(tuán)隊(duì)在分析今年的變化時(shí)指出，前

25

名的漏洞越來(lái)越多地轉(zhuǎn)向更具體的基礎(chǔ)層漏洞，在今年的漏洞排行榜上，有幾種漏洞類型的排名與去年有所變化，其中有的完全消失或是首次進(jìn)入前

25

名。排名大幅提升的漏洞有：（1）（2）（3）（4）（5）CWE-362（競(jìng)爭(zhēng)條件）：從第

33

名提升到第

22

名；CWE-94（代碼注入）：從第

28

名提升到第

25

名；CWE-400（不受控制的資源消耗）：從第

27

名提升到第

23

名；CWE-77（命令注入）：從第

25

名提升到第

17

名；CWE-476（NULL

指針解引用）：從第

15

名提升到第

11

名。排名大幅下降的漏洞有：天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利17

/

34可信網(wǎng)絡(luò)

安全世界（1）（2）（3）（4）CWE-306（缺少關(guān)鍵功能的身份驗(yàn)證）：從第

11

名下降到第

18

名；CWE-200（未授權(quán)訪問(wèn)敏感信息）：從第

20

名下降到第

33

名；CWE-522（憑證失效）：從第

21

名下降到第

38

名；CWE-732（權(quán)限分配錯(cuò)誤）：從第

22

名下降到第

30

名。Top

25

中的新入圍的漏洞有：（1）（2）（3）CWE-362（競(jìng)爭(zhēng)條件）：從第

33

名上升到第

22

名；CWE-94（代碼注入）：從第

28

名上升到第

25

名；CWE-400（不受控制的資源消耗）：從第

27

名上升到第

23

名。從

Top

25

中落選的漏洞有：（1）（2）（3）CWE-200（未授權(quán)訪問(wèn)敏感信息）：從第

20

名降至第

33

名；CWE-522（憑據(jù)失效）：從第

21

名降至第

38

名；CWE-732（權(quán)限分配錯(cuò)誤）：從第

22

名降至第

30

名。3.6

POC

公開(kāi)情況統(tǒng)計(jì)根據(jù)

2022

年

1-12

月

CVE

披露漏洞危害程度前

100

例

POC

公開(kāi)情況進(jìn)行統(tǒng)計(jì)，其中未公開(kāi)

POC

居多，占比

83%，公開(kāi)

POC

的僅有

17%。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利18

/

34可信網(wǎng)絡(luò)

安全世界圖

13

TOP100POC

公開(kāi)情況概況(數(shù)據(jù)來(lái)自于

CVE)由此可見(jiàn)，大多數(shù)漏洞沒(méi)有被正確有效地揭示出來(lái)。及時(shí)更新軟件修復(fù)版本可以有效地防止漏洞利用的產(chǎn)生。企業(yè)可以采用自動(dòng)化補(bǔ)丁管理流程，通過(guò)使用自動(dòng)化工具來(lái)監(jiān)控補(bǔ)丁發(fā)布，并自動(dòng)部署補(bǔ)丁，來(lái)提高應(yīng)用補(bǔ)丁的速度和效率。這樣做還能幫助企業(yè)避免人為錯(cuò)誤，并減少補(bǔ)丁管理過(guò)程中的工作量。在快速應(yīng)用安全補(bǔ)丁的同時(shí)，也需要確保補(bǔ)丁的有效性。補(bǔ)丁應(yīng)用過(guò)程中，應(yīng)該進(jìn)行測(cè)試，以確保補(bǔ)丁不會(huì)對(duì)系統(tǒng)性能造成負(fù)面影響。同時(shí)也應(yīng)該對(duì)補(bǔ)丁進(jìn)行監(jiān)控，以確保補(bǔ)丁能夠有效修復(fù)漏洞。此外企業(yè)安全團(tuán)隊(duì)需要準(zhǔn)確的漏洞信息，僅依靠公開(kāi)的漏洞庫(kù)可能不夠充分，因此有必要引入并收集更多的漏洞資源。擁有更充分的漏洞信息可以幫助安全團(tuán)隊(duì)更準(zhǔn)確地評(píng)估漏洞的可利用性和是否存在解決方案，從而更有針對(duì)性地進(jìn)行漏洞修復(fù)。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利19

/

34可信網(wǎng)絡(luò)

安全世界第2022

年，天融信阿爾法實(shí)驗(yàn)室通過(guò)漏洞監(jiān)測(cè)系統(tǒng)共監(jiān)測(cè)發(fā)現(xiàn)各類漏洞信息

45627

條，經(jīng)過(guò)漏洞監(jiān)測(cè)系統(tǒng)自動(dòng)智能篩選后留存高危漏洞信息

365

條，進(jìn)一步經(jīng)人工研判后發(fā)布高危漏洞風(fēng)險(xiǎn)提示通告

62

條。涉及眾多廠商的軟件產(chǎn)品，由漏洞引發(fā)的安全威脅也多種多樣，統(tǒng)計(jì)結(jié)果顯示，主流操作系統(tǒng)是漏洞高發(fā)產(chǎn)品。2022

年針對(duì)

Microsoft

廠商漏洞預(yù)警次數(shù)達(dá)

15

次，其中

Windows

系統(tǒng)的漏洞占大多數(shù)。OpenSSL、Vmware

等關(guān)鍵基礎(chǔ)設(shè)施漏洞也是受關(guān)注度較高的方向。2022

年預(yù)警的漏洞中，代碼執(zhí)行類漏洞占比最高，達(dá)到

71%。這一類漏洞也是

APT

攻擊者的重要方向和攻擊武器，攻擊者利用這類漏洞可以遠(yuǎn)程執(zhí)行任意代碼或者指令，有些漏洞甚至無(wú)需用戶交互即可達(dá)到遠(yuǎn)程代碼執(zhí)行的效果，對(duì)目標(biāo)網(wǎng)絡(luò)和信息系統(tǒng)造成嚴(yán)重影響。具體預(yù)警統(tǒng)計(jì)分析情況如下:4.1

漏洞廠商情況在

2022

年內(nèi)發(fā)布的

62

條漏洞通告內(nèi)所涉及到的知名廠商中，針對(duì)

Microsoft

廠商漏洞預(yù)警次數(shù)最多，為

15

次，占比約

24%，針對(duì)

Google

和

Apache

的均為

6

次，占比

10%，并列第二名。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利20

/

34可信網(wǎng)絡(luò)

安全世界圖

14

2022

年漏洞預(yù)警廠商情況從整體情況來(lái)看，微軟使用廣泛、影響力大無(wú)疑是一個(gè)重要因素，同時(shí)其也非常重視安全性，一直依靠強(qiáng)大的安全能力來(lái)應(yīng)對(duì)各種外部攻擊。由于微軟的產(chǎn)品影響力如此之大，因此涉及到的安全風(fēng)險(xiǎn)也就更大。就算是在合理或者正常的使用情況下，也有可能出現(xiàn)未修補(bǔ)的危險(xiǎn)問(wèn)題。因此，在使用微軟產(chǎn)品的過(guò)程中，應(yīng)當(dāng)特別注意安全問(wèn)題，及時(shí)更新修復(fù)版本，防止漏洞被利用。同時(shí)，對(duì)于使用微軟產(chǎn)品的組織或者個(gè)人來(lái)說(shuō)，也應(yīng)當(dāng)加強(qiáng)對(duì)相關(guān)安全知識(shí)的學(xué)習(xí)和掌握，以便在使用過(guò)程中盡早發(fā)現(xiàn)和處理問(wèn)題。Google

在技術(shù)開(kāi)源方面做出了巨大貢獻(xiàn)。其廣泛發(fā)布使用的開(kāi)源代碼應(yīng)用，為業(yè)界帶來(lái)了許多方便。然而，由于

Google

產(chǎn)品涵蓋面廣，涉及的行業(yè)和領(lǐng)域也各不相同，因此其所面臨的風(fēng)險(xiǎn)也各有不同。包含瀏覽器、智能手機(jī)、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)存儲(chǔ)、移動(dòng)應(yīng)用程序、自動(dòng)駕駛等領(lǐng)域。例如，在瀏覽器領(lǐng)域，Google

Chrome

可能會(huì)面臨

V8

引擎內(nèi)核漏洞、瀏覽器擴(kuò)展漏洞、第三方應(yīng)用漏洞以及針對(duì)瀏覽器惡意軟件的威脅。個(gè)別風(fēng)險(xiǎn)來(lái)源于其使用的開(kāi)源組件，因此需要密切關(guān)注漏洞修復(fù)情況并及時(shí)升級(jí)。此外，用戶也應(yīng)該注意自己的網(wǎng)絡(luò)安全，避免下載未知來(lái)源的軟件以及注意保護(hù)個(gè)人信息。在智能手機(jī)市場(chǎng)，開(kāi)源的

Android

系統(tǒng)底層代碼對(duì)所有人都是可見(jiàn)的，這意味著任何人都可以檢查代碼，尋找潛在的漏洞并嘗試?yán)盟鼈儭Ｒ虼?，Android

系統(tǒng)也會(huì)面臨著來(lái)自第三方應(yīng)用或惡意軟件利用系統(tǒng)漏洞的威脅，這些漏洞可能會(huì)被黑客用來(lái)獲取用戶的個(gè)人信息或者控制用戶的設(shè)備。此外，由于

Android

市場(chǎng)份額的巨大優(yōu)勢(shì)，它也可能成為攻擊者針對(duì)的主要目標(biāo)。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利21

/

34可信網(wǎng)絡(luò)

安全世界為了應(yīng)對(duì)這些威脅，Android

開(kāi)發(fā)商必須不斷加強(qiáng)系統(tǒng)安全性，并且需要不斷地對(duì)系統(tǒng)進(jìn)行更新以修補(bǔ)漏洞。Android

用戶也應(yīng)該注意安裝來(lái)自可靠來(lái)源的應(yīng)用，并且應(yīng)該及時(shí)安裝系統(tǒng)更新以保證信息安全。在

Web

架構(gòu)中，開(kāi)源軟件的應(yīng)用范圍同樣廣泛，不僅如

Log4j

這樣的日志組件會(huì)受到攻擊者的影響，還有像

Tomcat、Dubbo、Solr、Hadoop

等

Apache

軟件基金會(huì)管理的頂級(jí)開(kāi)源項(xiàng)目也都存在被攻擊的可能性。由于組件之間存在相互依賴關(guān)系，一旦存在安全漏洞，就會(huì)導(dǎo)致漏洞在組件之間傳播，從而影響到

90%以上基于

Java

開(kāi)發(fā)的應(yīng)用平臺(tái)。因此，我們?cè)谑褂瞄_(kāi)源軟件時(shí)，一定要制訂完善的安全管理措施，以防止開(kāi)源軟件帶來(lái)的漏洞威脅。4.2

漏洞威脅情況在

2022

年發(fā)布的

62

條漏洞通告中，所通告的漏洞可分為

8

大類，分別是遠(yuǎn)程代碼執(zhí)行漏洞、權(quán)限提升漏洞、身份驗(yàn)證繞過(guò)漏洞、任意文件上傳漏洞、拒絕服務(wù)漏洞、命令注入漏洞、沙箱逃逸漏洞，其中代碼執(zhí)行漏洞占比

71%，位于首位，權(quán)限提升漏洞占比

10%，位于第二位，身份驗(yàn)證繞過(guò)漏洞占比

8%，位于第三位。圖

15

2022

年預(yù)警漏洞威脅情況由此可見(jiàn)，隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，攻擊者們?cè)絹?lái)越傾向于利用代碼執(zhí)行漏洞來(lái)獲取服務(wù)器權(quán)限，進(jìn)而實(shí)現(xiàn)攻擊目的。其次是權(quán)限提升漏洞，這類漏洞允許攻擊者在沒(méi)有正確授權(quán)的情況下獲得系統(tǒng)或軟件的高級(jí)權(quán)限，可能導(dǎo)致數(shù)據(jù)泄露或其他嚴(yán)重后果。緊隨其后的是身份驗(yàn)證繞過(guò)漏洞，這類漏洞可以讓攻擊者繞過(guò)身份驗(yàn)證機(jī)制，獲取未授權(quán)的訪問(wèn)權(quán)限。在其他漏洞類型中，任意文件上傳漏洞、拒絕服務(wù)漏洞、命令注入漏洞和沙箱逃逸天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利22

/

34可信網(wǎng)絡(luò)

安全世界漏洞的比例都較低，但仍需引起重視。任意文件上傳漏洞可能導(dǎo)致未經(jīng)授權(quán)的文件被上傳到系統(tǒng)中，拒絕服務(wù)漏洞可能導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行，命令注入漏洞可能允許攻擊者在系統(tǒng)中執(zhí)行任意命令，而沙箱逃逸漏洞則可以讓攻擊者跳出限制性安全措施的限制，獲取未授權(quán)的訪問(wèn)權(quán)限。因此應(yīng)該繼續(xù)加強(qiáng)安全意識(shí)，不斷更新防護(hù)措施。4.3

年度

TOP10

高危漏洞本節(jié)內(nèi)容篩選自天融信

2022

年預(yù)警的漏洞信息，并根據(jù)漏洞的利用難易程度、漏洞利用成功后造成的損失、漏洞影響的范圍進(jìn)行排名，根據(jù)排名節(jié)選出排名前十的漏洞。危害程度漏洞編號(hào)標(biāo)題概述排名CVE-2022-30190：遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可通過(guò)惡意

Office

文件中遠(yuǎn)程模板功能從服務(wù)器獲取惡意

HTML

文件，通過(guò)MicrosoftWindows

支

‘ms-msdt’URI

來(lái)執(zhí)行惡意

PowerShell持診斷工具

代碼。該漏洞在宏被禁用的情況下，仍能(MSDT)

遠(yuǎn)

通

過(guò)

MSDT

（

Microsoft

Support程代碼執(zhí)行

Diagnostics

Tool）功能執(zhí)行代碼，將惡NO.1CVE-2022-30190漏洞意

doc

文件另存為

RTF

格式時(shí)，無(wú)需打開(kāi)文件，通過(guò)資源管理器中的預(yù)覽選項(xiàng)卡即可在目標(biāo)機(jī)器上執(zhí)行任意代碼。CVE-2022-41082：是一個(gè)遠(yuǎn)程命令執(zhí)行漏洞，要成功利用該漏洞必須先經(jīng)過(guò)身份認(rèn)證，之后即可利用一個(gè)網(wǎng)絡(luò)調(diào)用來(lái)觸發(fā)惡意

程

序

代

碼

。

被

微

軟

列

為

重

大（Critical）漏洞，經(jīng)微軟證實(shí)，黑客們利用

ProxyNotShell

漏洞，在被攻擊的Exchange

服

務(wù)

器

上

部

署

了

ChinaChopper

web

shell

惡意腳本。這個(gè)漏洞在微軟發(fā)布的

11

月周二補(bǔ)丁包中都已得到了解決。MicrosoftExchangeNO.2CVE-2022-41082

Server

遠(yuǎn)程代碼執(zhí)行漏洞CVE-2022-22965：該漏洞是SpringFramework

的一個(gè)漏洞，攻擊者可以在未授權(quán)的情況下，通過(guò)發(fā)送數(shù)據(jù)包，在目標(biāo)服務(wù)器上寫(xiě)入任意文件，例如通過(guò)漏洞將

WebShell

寫(xiě)入目標(biāo)服務(wù)器，然后通過(guò)訪問(wèn)

WebShell

來(lái)執(zhí)行命令，進(jìn)而獲取整個(gè)服務(wù)器的權(quán)限。雖然該漏洞的利用SpringFramework

任

意CVE-2022-22965文件寫(xiě)入漏NO.3洞天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利23

/

34可信網(wǎng)絡(luò)

安全世界方式并沒(méi)有那么容易，但是該漏洞已經(jīng)成為不法犯罪分子的武器，所以值得被關(guān)注。2022

年

10

月

27

日

google

官方緊急發(fā)布Google

Chrome

遠(yuǎn)

程代

碼執(zhí)

行漏

洞

CVE-GoogleChrome

遠(yuǎn)程

2022-3723。該漏洞是由于

Chrome

V8

引代碼執(zhí)行漏

擎中存在類型混淆所導(dǎo)致，此類漏洞通常NO.4CVE-2022-3723洞會(huì)在成功讀取或?qū)懭氤鼍彌_區(qū)邊界的內(nèi)存后造成瀏覽器崩潰或者執(zhí)行任意代碼。CVE-2022-1388

該漏洞是一個(gè)身份驗(yàn)證繞F5

BIG-IP

過(guò)漏洞，未經(jīng)身份驗(yàn)證的攻擊者利用此漏CVE-2022-1388

iControl

洞可以通過(guò)管理端口或利用自身

IP

對(duì)NO.5REST

身份驗(yàn)

BIG-IP

系統(tǒng)進(jìn)行網(wǎng)絡(luò)訪問(wèn)繞過(guò)身份驗(yàn)證,證繞過(guò)漏洞

并且可以任意執(zhí)行系統(tǒng)命令、創(chuàng)建或刪除文件以及禁用

BIG-IP

上的服務(wù)。此

次

漏

洞

的

影

響

范

圍

是

≤

1.2.80

，F(xiàn)astjson

使用黑白名單用于防御反序列化Fastjson

反NO.6NO.7CVE-2022-25845漏洞,在特定條件下可繞過(guò)默認(rèn)

autoType序列化漏洞關(guān)閉限制，攻擊遠(yuǎn)程服務(wù)器，風(fēng)險(xiǎn)影響較大。SpringCloud當(dāng)

啟

用

和

暴

露

不

安

全

的

GatewayActuator

端

點(diǎn)

時(shí)

，

使

用

Spring

CloudCVE-2022-22947

Gateway

遠(yuǎn)

Gateway

的應(yīng)用程序容易受到代碼注入攻程代碼執(zhí)行

擊。遠(yuǎn)程攻擊者可以發(fā)出惡意制作的請(qǐng)漏洞求，成功利用該漏洞可以導(dǎo)致代碼執(zhí)行。CVE-2021-4034

是由于

pkexec

無(wú)法正確處理調(diào)用參數(shù)，從而將環(huán)境變量作為命令執(zhí)Polkit

權(quán)限

行，具有任意用戶權(quán)限的攻擊者都可以在NO.8CVE-2021-4034提升漏洞Apache默認(rèn)配置下通過(guò)修改環(huán)境變量來(lái)利用此漏洞，從而獲得受影響主機(jī)的

root

權(quán)限，漏洞的影響范圍較廣，應(yīng)值得被關(guān)注。導(dǎo)致該漏洞的原因是對(duì)

S2-061

修復(fù)不夠完整，當(dāng)開(kāi)發(fā)人員使用%{……}語(yǔ)法強(qiáng)制NO.9CVE-2021-31805

Struts2

遠(yuǎn)

OGNL

解析時(shí)，還是會(huì)有一些特殊的標(biāo)簽屬程代碼執(zhí)行

性會(huì)被二次解析，攻擊者可以向受害主機(jī)發(fā)送惡意的

OGNL

表達(dá)式執(zhí)行任意代碼。該漏洞允許在未經(jīng)身份驗(yàn)證的情況下，通Atlassian過(guò)發(fā)送惡意的

Web

請(qǐng)求注入命令，實(shí)現(xiàn)在CVE-2022-26134

ConfluenceNO.10受

影

響

的

Confluence

Server

或

DataRCE

漏洞Center

實(shí)例上執(zhí)行任意代碼。天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利24

/

34可信網(wǎng)絡(luò)

安全世界4.4

漏洞預(yù)警

TOP10

漏洞回顧4.4.1

Microsoft

Windows

支持診斷工具

(MSDT)

遠(yuǎn)程代碼執(zhí)行漏洞Microsoft

Windows

支持診斷工具

(MSDT)

是一種

Windows

系統(tǒng)工具，可以幫助您診斷和解決

Windows

系統(tǒng)中出現(xiàn)的問(wèn)題。它包含了大量的診斷工具和修復(fù)程序，可以幫助您解決各種問(wèn)題，如藍(lán)屏錯(cuò)誤、系統(tǒng)崩潰、網(wǎng)絡(luò)連接問(wèn)題等。攻擊者可通過(guò)惡意

Office

文件中遠(yuǎn)程模板功能從服務(wù)器獲取惡意

HTML

文件，通過(guò)‘ms-msdt’URI

來(lái)執(zhí)行惡意

PowerShell

代碼。該漏洞在宏被禁用的情況下，仍能通過(guò)MSDT（Microsoft

Support

Diagnostics

Tool）功能執(zhí)行代碼，將惡意

doc

文件另存為RTF

格式時(shí)，無(wú)需打開(kāi)文件，通過(guò)資源管理器中的預(yù)覽選項(xiàng)卡即可在目標(biāo)機(jī)器上執(zhí)行任意代碼。影響范圍：Microsoft

Office

2013、2016、2019

等主流版本。漏洞類型漏洞編號(hào)CVSS

3.1漏洞評(píng)分預(yù)警日期遠(yuǎn)程代碼執(zhí)行CVE-2022-30190AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H7.82022-5-314.4.2

Microsoft

Exchange

Server

遠(yuǎn)程代碼執(zhí)行漏洞Microsoft

Exchange

Server

是一種流行的電子郵件和日歷應(yīng)用程序，企業(yè)和組織使用它來(lái)管理他們的電子郵件通信。它是

Microsoft

Server

產(chǎn)品線的一部分，該產(chǎn)品線包括其他服務(wù)器應(yīng)用程序，例如

Active

Directory

、

Lync

和

SharePoint。ExchangeServer

提供多種功能，包括支持電子郵件、日歷、聯(lián)系人等。CVE-2022-41082

是一個(gè)遠(yuǎn)程命令執(zhí)行漏洞，要成功利用該漏洞必須先經(jīng)過(guò)身份認(rèn)證，之后即可利用一個(gè)網(wǎng)絡(luò)調(diào)用來(lái)觸發(fā)惡意程序代碼。被微軟列為重大（Critical）漏洞，經(jīng)微軟證實(shí)，黑客們利用

ProxyNotShell

漏洞，在被攻擊的

Exchange

服務(wù)器上部署了China

Chopper

web

shell

惡意腳本。影響范圍：Microsoft

Exchange

Server

2013、2016、2019

等主流版本。漏洞類型漏洞編號(hào)CVSS

3.1漏洞評(píng)分遠(yuǎn)程代碼執(zhí)行CVE-2022-41082AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利25

/

34可信網(wǎng)絡(luò)

安全世界預(yù)警日期2022-9-304.4.3

Spring

Framework

任意文件寫(xiě)入漏洞Spring

Framework

是

Java

平臺(tái)的應(yīng)用程序框架和控制反轉(zhuǎn)容器。該框架的核心功能可供任何

Java

應(yīng)用程序使用，但也有用于在

Java

Enterprise

Edition

(Java

EE)

平臺(tái)之上構(gòu)建

Web

應(yīng)用程序的擴(kuò)展。Spring

為現(xiàn)代基于

Java

的企業(yè)應(yīng)用程序提供了一個(gè)全面的編程和配置模型——在任何類型的部署平臺(tái)上。攻擊者利用該漏洞可以在未授權(quán)的情況下，通過(guò)發(fā)送數(shù)據(jù)包，在目標(biāo)服務(wù)器上寫(xiě)入任意文件，例如通過(guò)漏洞將

WebShell

寫(xiě)入目標(biāo)服務(wù)器，然后通過(guò)訪問(wèn)

WebShell

來(lái)執(zhí)行命令，進(jìn)而獲取整個(gè)服務(wù)器的權(quán)限。影響范圍：3.0.0.M3

<=

Spring

Cloud

Function

<=3.2.2。漏洞類型漏洞編號(hào)CVSS

3.1漏洞評(píng)分預(yù)警日期遠(yuǎn)程代碼執(zhí)行CVE-2022-22965AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.82022-3-304.4.4

Google

Chrome

遠(yuǎn)程代碼執(zhí)行漏洞谷歌瀏覽器是由谷歌開(kāi)發(fā)的網(wǎng)絡(luò)瀏覽器。它適用于臺(tái)式機(jī)和移動(dòng)設(shè)備，允許用戶瀏覽互聯(lián)網(wǎng)和訪問(wèn)范圍廣泛的在線服務(wù)和應(yīng)用程序。Chrome

以其速度、安全性和對(duì)廣泛的網(wǎng)絡(luò)標(biāo)準(zhǔn)和技術(shù)的支持而聞名。它是世界上最流行的網(wǎng)絡(luò)瀏覽器之一，每天有數(shù)百萬(wàn)人使用。該漏洞是由于

Chrome

V8

引擎中存在類型混淆所導(dǎo)致，此類漏洞通常會(huì)在成功讀取或?qū)懭氤鼍彌_區(qū)邊界的內(nèi)存后造成瀏覽器崩潰或者執(zhí)行任意代碼。影響范圍：Chrome

forMac/Linux

<

107.0.5304.87、Chrome

for

Windows

<

107.0.5304.87。漏洞類型漏洞編號(hào)CVSS

3.1漏洞評(píng)分預(yù)警日期遠(yuǎn)程代碼執(zhí)行CVE-2022-3723AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H8.82022-10-28天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利26

/

34可信網(wǎng)絡(luò)

安全世界4.4.5

F5

BIG-IP

iControl

REST

身份驗(yàn)證繞過(guò)漏洞F5

BIG-IP

是

F5

Networks

生產(chǎn)的一系列網(wǎng)絡(luò)設(shè)備。這些設(shè)備提供一系列與網(wǎng)絡(luò)和應(yīng)用程序性能相關(guān)的服務(wù)，包括負(fù)載平衡、流量管理和應(yīng)用程序安全。BIG-IP

設(shè)備通常被大型組織用來(lái)提高其網(wǎng)絡(luò)和應(yīng)用程序的性能、可靠性和安全性。CVE-2022-1388

該漏洞是一個(gè)身份驗(yàn)證繞過(guò)漏洞，未經(jīng)身份驗(yàn)證的攻擊者利用此漏洞可以通過(guò)管理端口或利用自身

IP

對(duì)

BIG-IP

系統(tǒng)進(jìn)行網(wǎng)絡(luò)訪問(wèn)繞過(guò)身份驗(yàn)證,并且可以任意執(zhí)行系統(tǒng)命令、創(chuàng)建或刪除文件以及禁用

BIG-IP

上的服務(wù)。影響范圍：16.1.0

-16.1.2、15.1.0

-

15.1.5、14.1.0

-

14.1.4、13.1.0

-

13.1.4、12.1.0

-

12.1.6、11.6.1

-

11.6.5。漏洞類型漏洞編號(hào)CVSS

3.1漏洞評(píng)分預(yù)警日期遠(yuǎn)程代碼執(zhí)行CVE-2022-1388AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.82022-5-64.4.6

Fastjson

反序列化漏洞Fastjson

是一個(gè)

Java

語(yǔ)言編寫(xiě)的高性能功能完善的

JSON

庫(kù)。它采用一種“假定有序快速匹配”的算法，把

JSON

Parse

的性能提升到極致，是目前

Java

語(yǔ)言中最快的

JSON

庫(kù)。Fastjson

接口簡(jiǎn)單易用，已經(jīng)被廣泛使用在緩存序列化、協(xié)議交互、Web

輸出、Android客戶端等多種應(yīng)用場(chǎng)景。Fastjson

使用黑白名單用于防御反序列化漏洞,在特定條件下使用該漏洞可繞過(guò)默認(rèn)autoType

關(guān)閉限制，攻擊遠(yuǎn)程服務(wù)器。影響范圍：特定依賴存在下影響

≤1.2.80。漏洞類型漏洞編號(hào)CVSS

3.1漏洞評(píng)分預(yù)警日期遠(yuǎn)程代碼執(zhí)行CVE-2022-25845AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.82022-5-234.4.7

Spring

Cloud

Gateway

遠(yuǎn)程代碼執(zhí)行漏洞天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利27

/

34可信網(wǎng)絡(luò)

安全世界Spring

Cloud

Gateway

是基于

Spring

Framework

和

Spring

Boot

構(gòu)建的

API

網(wǎng)關(guān)，它旨在為微服務(wù)架構(gòu)提供一種簡(jiǎn)單、有效、統(tǒng)一的

API

路由管理方式。當(dāng)啟用和暴露不安全的

Gateway

Actuator

端點(diǎn)時(shí)，使用

Spring

Cloud

Gateway

的應(yīng)用程序容易受到代碼注入攻擊。遠(yuǎn)程攻擊者可以發(fā)出惡意制作的請(qǐng)求，成功利用該漏洞可以導(dǎo)致代碼執(zhí)行。影響范圍：Spring

Cloud

Gateway

<

3.1.1、Spring

Cloud

Gateway

3.0.0

-3.0.7、SpringCloud

Gateway

其他已不再更新的版本。漏洞類型漏洞編號(hào)CVSS

3.1漏洞評(píng)分預(yù)警日期遠(yuǎn)程代碼執(zhí)行CVE-2022-22947AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H102022-3-24.4.8

Polkit

權(quán)限提升漏洞Polkit

是

Linux

操作系統(tǒng)的一個(gè)組件，它使非

root

用戶能夠執(zhí)行通常需要

root

權(quán)限的管理任務(wù)。它通過(guò)定義一組規(guī)則來(lái)實(shí)現(xiàn)這一點(diǎn)，這些規(guī)則確定何時(shí)允許特定用戶或用戶組執(zhí)行特定任務(wù)。當(dāng)用戶嘗試執(zhí)行特權(quán)操作時(shí)，Polkit

會(huì)檢查規(guī)則以查看用戶是否具有執(zhí)行管理任務(wù)的能力，而無(wú)需以

root

用戶身份登錄，這樣可以更輕松地管理系統(tǒng)設(shè)置并提高系統(tǒng)安全性，無(wú)需切換到

root

用戶就能輕松地管理他們的系統(tǒng)。CVE-2021-4034

是由于

pkexec

無(wú)法正確處理調(diào)用參數(shù)，從而將環(huán)境變量作為命令執(zhí)行，具有任意用戶權(quán)限的攻擊者都可以在默認(rèn)配置下通過(guò)修改環(huán)境變量來(lái)利用此漏洞，從而獲得受影響主機(jī)的

root

權(quán)限。影響范圍十分廣泛。漏洞類型漏洞編號(hào)CVSS

3.1漏洞評(píng)分預(yù)警日期權(quán)限提升CVE-2021-4034AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H7.82022-1-274.4.9

Apache

Struts2

遠(yuǎn)程代碼執(zhí)行Apache

Struts

2

是用于開(kāi)發(fā)

Java

EE

Web

應(yīng)用程序的開(kāi)源

Web

應(yīng)用程序框架。它使用并擴(kuò)展了

Java

Servlet

API

以鼓勵(lì)開(kāi)發(fā)人員采用模型-視圖-控制器

(MVC)

架構(gòu)。Struts

2

旨在使開(kāi)發(fā)可擴(kuò)展、可維護(hù)和靈活的

Web

應(yīng)用程序變得更加容易。它建立在流天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利28

/

34可信網(wǎng)絡(luò)

安全世界行的開(kāi)源

Apache

Commons

組件之上，為開(kāi)發(fā)人員提供了一組可重用的核心組件，用于構(gòu)建

Web

應(yīng)用程序。導(dǎo)致該漏洞的原因是對(duì)

S2-061

修復(fù)不夠完整，當(dāng)開(kāi)發(fā)人員使用%{……}語(yǔ)法強(qiáng)制

OGNL

解析時(shí)，還是會(huì)有一些特殊的標(biāo)簽屬性會(huì)被二次解析，攻擊者可以向受害主機(jī)發(fā)送惡意的

OGNL

表達(dá)式執(zhí)行任意代碼。影響范圍：2.0.0

<=

Apache

Struts

<=

2.5.29。漏洞類型漏洞編號(hào)CVSS

3.1漏洞評(píng)分預(yù)警日期遠(yuǎn)程代碼執(zhí)行CVE-2021-31805AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.82022-4-144.4.10

Atlassian

Confluence

RCE

漏洞Atlassian

Confluence

是一個(gè)協(xié)作平臺(tái)，它可以幫助團(tuán)隊(duì)成員更好地協(xié)作、溝通和共享信息。它提供了一個(gè)簡(jiǎn)單易用的界面，允許團(tuán)隊(duì)成員創(chuàng)建和編輯文檔、添加圖片和視頻等，并能夠方便地與其他人共享這些內(nèi)容。此外，Confluence

還提供了許多其他功能，例如項(xiàng)目管理、知識(shí)庫(kù)管理和團(tuán)隊(duì)博客等，可以幫助團(tuán)隊(duì)成員更好地管理信息和提高協(xié)作效率。該漏洞允許在未經(jīng)身份驗(yàn)證的情況下，通過(guò)發(fā)送惡意的

Web

請(qǐng)求注入命令，實(shí)現(xiàn)在受影響的

Confluence

Server

或

Data

Center

實(shí)例上執(zhí)行任意代碼。當(dāng)時(shí)影響范圍很廣。漏洞類型漏洞編號(hào)CVSS

3.1漏洞評(píng)分預(yù)警日期遠(yuǎn)程代碼執(zhí)行CVE-2022-26134AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.82022-6-4天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利29

/

34可信網(wǎng)絡(luò)

安全世界第2022

年網(wǎng)絡(luò)空間安全漏洞分析研究報(bào)告顯示，漏洞數(shù)量仍然不容忽視，但相比往年多數(shù)漏洞已經(jīng)得到了有效的解決，CNVD

披露的漏洞數(shù)量出現(xiàn)了下降趨勢(shì)。可見(jiàn)技術(shù)發(fā)展、相關(guān)政策法規(guī)的完善和安全機(jī)制的建立在漏洞治理方面發(fā)揮了重要作用。另外，企業(yè)組織也需要重視漏洞管理工作，優(yōu)先修補(bǔ)和防護(hù)中高及嚴(yán)重風(fēng)險(xiǎn)漏洞，優(yōu)化漏洞管理計(jì)劃的成熟度和有效性。保護(hù)外部接入點(diǎn)，加強(qiáng)對(duì)網(wǎng)絡(luò)邊界的審查和保護(hù)，監(jiān)控和保護(hù)物聯(lián)網(wǎng)設(shè)備、工業(yè)控制系統(tǒng)等非傳統(tǒng)網(wǎng)絡(luò)設(shè)備的安全。評(píng)估操作系統(tǒng)、智能設(shè)備、安全產(chǎn)品和數(shù)據(jù)庫(kù)的安全性，使用安全設(shè)計(jì)原則保證系統(tǒng)安全性。校驗(yàn)輸入數(shù)據(jù)，建立有效的數(shù)據(jù)防泄漏系統(tǒng)。通過(guò)對(duì)

2022

年

CVE

發(fā)布的高危漏洞統(tǒng)計(jì)分析可知，漏洞依然集中在傳統(tǒng)廠商的設(shè)備和產(chǎn)品中，且受影響的平臺(tái)大致可分為五類，其中硬件設(shè)備平臺(tái)占據(jù)首位。這說(shuō)明傳統(tǒng)廠商的設(shè)備和產(chǎn)品依然是高危漏洞的主要載體，這些設(shè)備和產(chǎn)品還存在較高的安全風(fēng)險(xiǎn)，用戶在使用這些設(shè)備和產(chǎn)品時(shí)應(yīng)該注意加強(qiáng)安全防護(hù)，尤其是硬件設(shè)備，因?yàn)檫@類設(shè)備的漏洞更難以修復(fù)。2

月份共披露了高危漏洞

22

個(gè)，位居全年第一，其中大約

17%的高危漏洞存在公開(kāi)

POC。公開(kāi)

POC

可能會(huì)為攻擊者提供便利條件，使其能夠更快地研發(fā)攻擊工具。大多數(shù)漏洞都是可以被遠(yuǎn)程利用的，只有很少一部分漏洞可以被本地利用。這意味著，系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施尤為重要。在前

100

個(gè)漏洞中，遠(yuǎn)程代碼執(zhí)行漏洞、SQL

注入漏洞、命令注入漏洞是當(dāng)前網(wǎng)絡(luò)安全形勢(shì)下最為嚴(yán)峻的威脅。為了確保網(wǎng)絡(luò)安全，應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全管理，健全安全技術(shù)，針對(duì)這些漏洞提供有效的防護(hù)措施。2022

年漏洞預(yù)警多為主流操作系統(tǒng)，其中

Windows

系統(tǒng)漏洞和遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警最多。還有一些關(guān)鍵基礎(chǔ)設(shè)施如

OpenSSL

和

Vmware

的漏洞也出現(xiàn)在其中。這類漏洞也是APT

攻擊者的重點(diǎn)，操作系統(tǒng)類漏洞的影響面很大，因?yàn)樗鼈兛赡苌婕暗讲僮飨到y(tǒng)的核心功能，對(duì)整個(gè)系統(tǒng)的安全造成威脅。如果攻擊者成功利用這些漏洞，就有可能會(huì)爆發(fā)蠕蟲(chóng)病毒傳播事件或者勒索事件，對(duì)目標(biāo)網(wǎng)絡(luò)和信息系統(tǒng)造成嚴(yán)重影響。對(duì)于仍舊存在的各種漏洞事件，建議企業(yè)、組織加強(qiáng)安全技術(shù)研究和投入，建立完善的安全防護(hù)體系，有效地發(fā)現(xiàn)和堵塞漏洞，以減少網(wǎng)絡(luò)空間安全漏洞的發(fā)生。5.1

安全防護(hù)建議歸納

2022

網(wǎng)絡(luò)空間安全態(tài)勢(shì)和應(yīng)對(duì)措施，主要分為如下幾點(diǎn)：1、攻擊形式多樣且多層次，應(yīng)不斷強(qiáng)化安全防護(hù)措施，建立全面的安全防護(hù)體系?？v觀近年所披露的安全事件，不難發(fā)現(xiàn)攻擊手段在不斷升級(jí)，攻擊路徑也是多種多樣，涵蓋了信息系統(tǒng)整個(gè)生命周期。在

2022

年

2

月，向日葵軟件的

Windows

版本發(fā)現(xiàn)存在遠(yuǎn)程代天融信阿爾法實(shí)驗(yàn)室版權(quán)所有?天融信

保留一切權(quán)利30

/

34可信網(wǎng)絡(luò)

安全世界碼執(zhí)行漏洞。攻擊者通過(guò)向日葵的

Web

服務(wù)隨機(jī)端口獲取

Cookie

CID，構(gòu)造惡意請(qǐng)求執(zhí)行命令并獲取服務(wù)器控制權(quán)限。向日葵的遠(yuǎn)程控制特性使得很多人將其作為后臺(tái)進(jìn)程運(yùn)行，如果暴露在公網(wǎng)上則會(huì)造成巨大危害。疫情期間增加的遠(yuǎn)程辦公場(chǎng)景和遠(yuǎn)程控制軟件使用增加了系統(tǒng)被黑客攻擊的風(fēng)險(xiǎn)。遠(yuǎn)控黑產(chǎn)團(tuán)伙多次利用這個(gè)漏洞攻擊企業(yè)主機(jī)和個(gè)人電腦。同樣在

2

月發(fā)生的

NPM

存儲(chǔ)庫(kù)供應(yīng)鏈攻擊事件表明，軟件供應(yīng)鏈攻擊已經(jīng)出現(xiàn)了新的攻擊手段，攻擊者在不斷提高攻擊技能，使防御變得更加困難。這次攻擊者使用了自行編寫(xiě)的

Python

代碼和

Selenium

等

Web

測(cè)試工具，來(lái)模擬新用戶創(chuàng)建并繞過(guò)了其中的一次性驗(yàn)證密碼（OTP），從而將近

800

個(gè)惡意

NPM

包自動(dòng)批量上傳到

NPM。攻擊者通過(guò)使用多個(gè)用戶名分發(fā)惡意軟件包，從而增加感染的機(jī)會(huì)。另外由于很多

NPM

開(kāi)發(fā)者的郵箱域名都已過(guò)期但還用來(lái)登錄，在沒(méi)有雙重身份認(rèn)證的情況下，黑客只需要把域名買(mǎi)下來(lái)就可以劫持賬戶，同樣可以在開(kāi)源項(xiàng)目中注入惡意代碼。今年還出現(xiàn)了與

Log4j

遠(yuǎn)程代碼執(zhí)行漏洞不相上下的

Spring4Shell（CVE-2022-22965），該漏洞是由于

JDK9

及以上版本引入對(duì)模塊化的支持從而繞過(guò)了

CVE-2010-1622，結(jié)合

Struts2

S2-020

在

Tomcat

8

下的命令執(zhí)行的方法，對(duì)

Tomcat

的處理請(qǐng)求日志管道（AccessLogValve）進(jìn)行改寫(xiě)，導(dǎo)致當(dāng)前請(qǐng)求觸發(fā)記錄日志，并按照特定方式生成了

JSP文件。盡管該漏洞利用存在諸多限制，但根據(jù)相關(guān)數(shù)據(jù)顯