2023年網(wǎng)絡(luò)安全漏洞態(tài)勢報告

2023年網(wǎng)絡(luò)安全漏洞態(tài)勢報告-新華三主動安全系列報告-主動安全圈目錄CONTENTS1概述32.1新增漏洞趨勢2.2漏洞分類3操作系統(tǒng)漏洞134網(wǎng)絡(luò)設(shè)備漏洞175數(shù)據(jù)庫漏洞226工控系統(tǒng)漏洞7云計算平臺漏洞8總結(jié)與建議339結(jié)語38主動安全主動安全3勢，正文從Web應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、1概述1.1漏洞增長趨勢4圖12017-2023年新增漏洞總趨勢圖22023年不同危險級別漏洞占比5將2023年漏洞按照影響對象進(jìn)行統(tǒng)計，Web應(yīng)用類漏洞占比仍然為第一位，占比40.2%,其次是應(yīng)用程序、操作系統(tǒng)漏洞，分別占比29.2%、9.1%,如圖3所示。應(yīng)用程序漏洞數(shù)量比去年增長60.8%,增幅較大；智能終端(IOT設(shè)備)漏洞數(shù)量比去年增長64.4%,操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、云計算、數(shù)據(jù)庫漏洞相比去年漏洞數(shù)量有所回落。漏洞數(shù)量是危險的一方面，在已披露的漏洞中，有超過7000個漏洞具有“概念驗(yàn)證利用代碼”,超過100個漏洞已經(jīng)被黑客“廣泛利用。圖32023年漏洞影響對象占比WEB應(yīng)WEB應(yīng)用將2023年漏洞按照攻擊分類進(jìn)行統(tǒng)計，如圖4所示,排名前三的漏洞為跨站腳本、權(quán)限許可和訪問控制、緩沖區(qū)錯誤，分別占比17.0%,13.4%和11.2%。權(quán)限許可和訪問控制占比較2022年有大幅提升，權(quán)限許可和訪問控制漏洞是由于權(quán)限限制不正確，或者訪問控制設(shè)置錯誤，導(dǎo)致遠(yuǎn)程攻擊者可以繞過身份驗(yàn)證因素或者訪問控制設(shè)置，達(dá)到獲取敏感信息，讀寫任意文件或者權(quán)限提升的目的。注入類漏洞，如代碼注入、SQL注入、命令注入共占比18.7%,仍然是最突出的漏洞類型。6圖42023年漏洞攻擊分類占比安全漏洞數(shù)量持續(xù)增長成為了各行各業(yè)不可忽視的挑戰(zhàn)，尤其是在工業(yè)、金融、交通、國防、醫(yī)療和信息技術(shù)等領(lǐng)域，安全漏洞的爆發(fā)和利用對社會、企業(yè)和個人造成了巨大的安全風(fēng)險。同時，生成式人工智能等一批新技術(shù)在帶來巨大機(jī)遇的同時，也意味著其在安全性上會產(chǎn)生更多挑戰(zhàn)。2023年，針對各個領(lǐng)域網(wǎng)絡(luò)資產(chǎn)的攻擊進(jìn)一步加劇，根據(jù)對2023年漏洞及網(wǎng)絡(luò)攻擊進(jìn)行的觀察，我們得出一些結(jié)論：1.漏洞數(shù)量持續(xù)增長，Oday漏洞利用數(shù)量明顯增加隨著黑客攻擊技術(shù)的提升和市場化，Oday漏洞的數(shù)量和利用呈明顯增長趨勢，大量攻擊團(tuán)伙利用未公開及廠商未及時修復(fù)的漏洞對目標(biāo)系統(tǒng)進(jìn)行未授權(quán)訪問、數(shù)據(jù)竊取、數(shù)據(jù)勒索或其他惡意活動，這類漏洞的利用往往具有高度隱秘性和攻擊性，使得安全防護(hù)和應(yīng)對的難度進(jìn)一步提高。GoAnywhere今年爆出的CVE-2023-0669漏洞被黑客大規(guī)模利用，最早利用該漏洞進(jìn)行大規(guī)模攻擊的仍然是Clop勒索軟件組織，在最初的一波攻擊中就有130家企業(yè)受到了影響。由于GoAnywhere是在漏洞被披露可能存在利用的第5天才推出修復(fù)程序，這留給了黑客充裕的利用時間，政府、能源、金融、醫(yī)療行業(yè)多家知名企業(yè)成為攻擊受害者，也充分展現(xiàn)了“零日漏洞+供應(yīng)鏈攻擊”的可怕之處。2.大量N-Day漏洞被積極利用，Log4j漏洞仍是攻擊首要目標(biāo)2023年涌現(xiàn)出數(shù)以萬計的新漏洞，但根據(jù)相關(guān)現(xiàn)網(wǎng)攻擊檢測數(shù)據(jù)報告，2023年被用于現(xiàn)網(wǎng)攻擊嘗試?yán)么螖?shù)較多的漏洞反而是過去幾年已經(jīng)披露和修補(bǔ)的N-Day漏洞。這些漏洞通常已經(jīng)被成熟的工具化，且已有修補(bǔ)補(bǔ)丁。由于現(xiàn)網(wǎng)仍有海量的產(chǎn)品和服務(wù)未對這些漏洞進(jìn)行修補(bǔ)，進(jìn)而被攻擊者“趁虛而入。根據(jù)統(tǒng)計，2023年利用最多的漏洞有ApacheLog4j2遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-44228)、MS17-010系列漏洞、ApacheStruts2遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-5638)、GNUBash遠(yuǎn)程命令執(zhí)行漏洞(CVE-2014-6271)等。盡管Log4j是一個出現(xiàn)時間已久的漏洞，但在2023年期間仍然是攻擊者的首要選擇。主動安全主動安全74.數(shù)據(jù)泄露與濫用風(fēng)險涌現(xiàn)，數(shù)據(jù)泄漏事件創(chuàng)下5.勒索團(tuán)伙加速高危漏洞武器化利用，主動安全主動安全8網(wǎng)絡(luò)安全是一個動態(tài)的領(lǐng)域，隨著技術(shù)的進(jìn)步，各種等新型設(shè)備，鑒于內(nèi)容的潛在不可靠性，VR/AR等增入用戶的VR/AR設(shè)備后，改變用戶通過設(shè)備看2Web應(yīng)用漏洞2.1新增漏洞趨勢9主動安全主動安全圖52022與2023年Web應(yīng)用新增漏洞趨勢-2022年—2023年2.2漏洞分類黑客普遍會利用Web應(yīng)用漏洞對網(wǎng)絡(luò)進(jìn)行滲透，以達(dá)到控制服務(wù)器、進(jìn)入內(nèi)網(wǎng)、獲取大量有價值信息的目的?？梢钥闯?023年Web應(yīng)用漏洞主要集中在跨站腳本、注入、跨站請求偽造三種類型，占據(jù)全部漏洞類型的69%?？缯灸_本與注入是Web應(yīng)用最常見的漏洞，利用跨站腳本漏洞，黑客可以對受害用戶進(jìn)行Cookie竊取、會話劫持、釣魚欺騙等各種攻擊；利用注入漏洞，黑客可能竊取、更改、刪除用戶數(shù)據(jù)，或者執(zhí)行系統(tǒng)命令等，以及進(jìn)一步導(dǎo)致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害?？缯菊埱髠卧煜啾?023年增幅較大，跨站請求偽造是一種通過挾制當(dāng)前用戶已登錄的Web應(yīng)用程序從而實(shí)現(xiàn)非用戶本意的操作的攻擊方法，比如發(fā)郵件、發(fā)消息、改密碼、購買商品、銀行轉(zhuǎn)賬等，相對于跨站腳本攻擊來說跨站請求偽造危害更嚴(yán)重。圖62023年Web應(yīng)用漏洞類型占比其他其他注入表12023年Web應(yīng)用重點(diǎn)漏洞發(fā)布時間OracleWeblogicIIOP協(xié)議遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-21839)ApacheSuperset身份認(rèn)證繞過漏洞(CVE-2023-27524)ApacheRocket遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-33246)GitLab目錄遍歷漏洞(CVE-2023-2825)Nuxt遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-3224)SpringBootAdminThymeleaf模板注入漏洞(CVE-2023-38286)Metabase遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-38646)SpringforApacheKafka反序列化漏洞(CVE-2023-34040)JetBrainsTeamCity繞過身份驗(yàn)證漏洞(CVE-2023-42793)HTTP/2拒絕服務(wù)漏洞(CVE-2023-44487)ApacheActiveMQ遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-46604)主動安全主動安全經(jīng)典漏洞盤點(diǎn)：還提供了自己的持續(xù)集成(CI)系統(tǒng)來管理項目，并提供用戶界面以國、美國、德國、印度、荷蘭、俄羅斯、法國和韓國等國家成為了攻擊者主要目標(biāo)。主動安全主動安全DataCenter&Server中的/setup端點(diǎn)的訪問控制不當(dāng)造成。通過利用此漏洞，攻擊者可以獲得的多路復(fù)用流，然后立即發(fā)送取消流(RST_STREAM)，導(dǎo)致服務(wù)器不斷分配資源處理流的創(chuàng)建和取消請2.4攻擊態(tài)勢分析主動安全主動安全操作系統(tǒng)漏洞3.1新增漏洞趨勢操作系統(tǒng)是構(gòu)成網(wǎng)絡(luò)信息系統(tǒng)的核心關(guān)鍵組件，其安全可靠程度決定了計算機(jī)系統(tǒng)的安全性和可靠性。操作系統(tǒng)作為傳統(tǒng)的攻擊目標(biāo)，其漏洞占據(jù)著重要位置。2023年新華三漏洞知識庫收錄的操作系統(tǒng)漏洞總數(shù)為2511條，較2022年總數(shù)(2607條)稍有下降，對比2022年和2023年每月操作系統(tǒng)漏洞變化趨勢如圖7所示。圖72022與2023年操作系統(tǒng)新增漏洞趨勢操作系統(tǒng)是應(yīng)用軟件和服務(wù)運(yùn)行的公共平臺，其安全漏洞是網(wǎng)絡(luò)安全的主要隱患和風(fēng)險。對于操作系統(tǒng)，黑客最關(guān)注的是獲得較高控制權(quán)限，進(jìn)而為實(shí)施更深層次的網(wǎng)絡(luò)滲透提供更大的便利和可能。2023年操作系統(tǒng)權(quán)限許可和訪問控制問題突出，占比22.2%,是排名第一的漏洞，同時緩沖區(qū)溢出、代碼注入、敏感信息泄露等漏洞也是操作系統(tǒng)較為突出的問題，如圖8所示。圖82023年操作系統(tǒng)漏洞種類占比2.2%命令注入1.8%表22023年操作系統(tǒng)重點(diǎn)漏洞發(fā)布時間MicrosoftWindowsIKEVendorID空指針解引用導(dǎo)致拒絕服務(wù)漏洞(CVE-20MicrosoftOutlook特權(quán)升級漏洞(CVE-2023-23397)MicrosoftMessageQueuing拒絕服務(wù)漏洞(CVE-2023-21554)WindowsOLE遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-29325)Win32k特權(quán)提升漏洞(CVE-2023-29336)WindowsNetworkFileSystem遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-24941)MicrosoftExchange遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-32031)ApplemacOSBigSur緩沖區(qū)溢出漏洞(CVE-2023-32434)LinuxKernelksmbdSMB2QUERYINFO拒絕服務(wù)漏洞(CVE-2023-32248)MicrosoftExchangeServer身份認(rèn)證繞過漏洞(CVE-2023-38181)主動安全主動安全經(jīng)典漏洞盤點(diǎn)：過分析發(fā)現(xiàn)，該漏洞是由于NFS協(xié)議在處理服務(wù)器內(nèi)存不足時的方式不當(dāng)所致，當(dāng)申請內(nèi)存失敗時，程執(zhí)行任意代碼；任意代碼執(zhí)行；該漏洞能夠修改敏感的內(nèi)核狀態(tài)，從而可能控制設(shè)備；主動安全主動安全洞利用鏈“初始入口點(diǎn)”。3.4攻擊態(tài)勢分析主動安全主動安全圖92023年操作系統(tǒng)漏洞按系統(tǒng)分類占比其他其他2.權(quán)限提升類漏洞數(shù)量持續(xù)占據(jù)操作系統(tǒng)漏洞高位權(quán)限提升類漏洞一直以來都是操作系統(tǒng)漏洞中的重要組成部分，并且持續(xù)占據(jù)高位。這類漏洞允許攻擊者在系統(tǒng)中提升其權(quán)限級別，從而獲得比其正常權(quán)限更高的系統(tǒng)訪問權(quán)限。當(dāng)攻擊者成功利用權(quán)限提升漏洞時，可以執(zhí)行一系列潛在危險的操作，如訪問敏感數(shù)據(jù)、修改系統(tǒng)設(shè)置、安裝惡意軟件等。2023年微軟發(fā)布的補(bǔ)丁通告中，權(quán)限提升漏洞總數(shù)較多，且漏洞評分也相對較高，如CVE-2023-21768,CVE-2023-29336等，攻擊方式多種多樣，包括內(nèi)核提權(quán)、驅(qū)動提權(quán)、API提權(quán)等等，且在野利用中攻擊者常利用權(quán)限提升漏洞來提升用戶權(quán)限，從而盜取敏感信息或者執(zhí)行其他未授權(quán)操作。4.1新增漏洞趨勢路由器、防火墻、交換機(jī)等設(shè)備作為關(guān)鍵信息基礎(chǔ)設(shè)施，其自身安全性已成為世界各國密切關(guān)注的重點(diǎn)。網(wǎng)絡(luò)設(shè)備存在軟硬件漏洞可能導(dǎo)致設(shè)備被攻擊入侵，進(jìn)而導(dǎo)致設(shè)備數(shù)據(jù)和用戶信息泄露、設(shè)備被控、感染主動安全主動安全僵尸木馬程序、被用作跳板攻擊內(nèi)網(wǎng)主機(jī)和其他信息基礎(chǔ)設(shè)施等安全風(fēng)險和問題。2023年新華三漏洞知識庫共收錄網(wǎng)絡(luò)設(shè)備類漏洞2299條，較2022年(2650條)下降13.2%,網(wǎng)絡(luò)設(shè)備新增漏洞有所減緩，但問題仍然突出。對比2022年和2023年每月網(wǎng)絡(luò)設(shè)備類漏洞變化趨勢如圖10所示。圖102022與2023年網(wǎng)絡(luò)設(shè)備新增漏洞趨勢一-2022年一-2023年隨著各類新興技術(shù)的發(fā)展，企業(yè)IT系統(tǒng)之間的相互連接使用了更多的網(wǎng)絡(luò)設(shè)備，這為網(wǎng)絡(luò)物理系統(tǒng)的安全帶來了更多風(fēng)險，使得企業(yè)暴露在攻擊者眼中的攻擊面大幅增加。據(jù)統(tǒng)計，2023年注入類漏洞占比最高，達(dá)到32.5%,較去年有顯著增長。其次是緩沖區(qū)溢出、權(quán)限許可和訪問控制問題，占比分別為28.4%和13.7%,如圖11所示。圖112023年網(wǎng)絡(luò)設(shè)備漏洞類型占比敏感信息泄露4.7%注入注入表32023年網(wǎng)絡(luò)設(shè)備重點(diǎn)漏洞發(fā)布時間CiscoIOSXE系統(tǒng)WebUI未授權(quán)命令執(zhí)行漏洞(CVE-2023-20198)F5BIG-IP遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-46747)CitrixNetScalerADC&Gateway信息泄露漏洞(CVE-2023-4966)NetgearDRRouter_命令注入漏洞(CVE-2023-33533)FortinetFortiOSandFortiProxySSL-VPN緩沖區(qū)溢出漏洞(CVElvantiSentryMICSLogService認(rèn)證繞過漏洞(CVE-2023-38035)梭子魚郵件安全網(wǎng)關(guān)命令注入漏洞(CVE-2023-2868)JumpServer未授權(quán)訪問漏洞(CVE-2023-42442)經(jīng)典漏洞盤點(diǎn)：●梭子魚郵件安全網(wǎng)關(guān)命令注入漏洞(CVE-2023-2868)主動安全主動安全CitrixSystemsNetScalerADC和NetScalerGateway安全漏洞（CVE-2023-4966）話接管繞過了密碼和多重身份驗(yàn)證。威脅攻擊者使用特制的HTTPGET請求，迫使目標(biāo)設(shè)備返回身份驗(yàn)臺運(yùn)行易受攻擊的IOSXE軟件的思科設(shè)備已被利用這兩個安全漏洞的威脅者所破壞。F5BIG-IP遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-46747）F5BIG-IP是美國F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理碼和多重身份驗(yàn)證。威脅攻擊者使用特制的HTTPGE主動安全主動安全4.4攻擊態(tài)勢分析年前兩個月每個組織的平均每周攻擊次數(shù)增加了41%。平均每周，54%的主動安全主動安全5數(shù)據(jù)庫漏洞5.1新增漏洞趨勢主動安全主動安全5.2漏洞分類MySQL數(shù)據(jù)庫作為傳統(tǒng)的關(guān)系型數(shù)據(jù)庫，由于代碼開源、版本眾多，2023年漏洞數(shù)量仍然位居第一，占名第二。從漏洞類型分布上來看，主要集中在權(quán)限許可和訪問控制問題、代碼注入、拒絕服務(wù)三種類型，占據(jù)全部其最主要風(fēng)險為權(quán)限控制與配置問題。當(dāng)黑客入侵?jǐn)?shù)據(jù)庫或內(nèi)部員工濫用權(quán)限時，敏感數(shù)據(jù)可能會被竊取或泄露。這可能導(dǎo)致個人隱私泄露、財務(wù)損失以及聲譽(yù)受損。圖152023年數(shù)據(jù)庫漏洞類型占比表42023年數(shù)據(jù)庫重點(diǎn)漏洞發(fā)布時間Neo4jXXE漏洞(CVE-2023-23926)SQLiteJDBC遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-32697)OpenTSDB注入漏洞(CVE-2023-36812)OracleMySQLConnectors代碼執(zhí)行漏洞(CVE-2023-22102)RedisRedisGraph代碼執(zhí)行漏洞(CVE-2023-47004)PostgreSQLJDBCDriverSQL注入漏洞(CVE-2023-2454)經(jīng)典漏洞盤點(diǎn)：Redis(全稱為RemoteDictionaryServer)是一個使用ANSIC編寫的高性能鍵值對存儲系統(tǒng)，具有快速、靈活和可擴(kuò)展的特性。它是一個基于內(nèi)存的數(shù)據(jù)結(jié)構(gòu)存儲系統(tǒng)，可以用作數(shù)據(jù)庫、緩存和消息代理。主動安全主動安全JDBCURL，執(zhí)行任意Java代碼，造成服務(wù)器被入侵或數(shù)據(jù)被泄露等危害。算機(jī)系開發(fā)。該系統(tǒng)支持大部分SQL標(biāo)準(zhǔn)并且提供了許多其他特性，例如外鍵、觸發(fā)器、視圖等。5.4攻擊態(tài)勢分析因?yàn)榈谌浇M件可能存在漏洞或與數(shù)據(jù)庫系統(tǒng)的集成方式存在安全問題等。例如：2023年7月美國客可以利用這些漏洞來繞過訪問控制、執(zhí)行未授權(quán)操作或竊取主動安全主動安全近年來，隨著APT組織的興起，數(shù)據(jù)庫成為了其漏洞利用的主要目標(biāo)之一。A6工控系統(tǒng)漏洞6.1新增漏洞趨勢主動安全主動安全圖162022與2023年工控系統(tǒng)新增漏洞趨勢一9-2022年一-2023年6.2漏洞分類工業(yè)控制系統(tǒng)作為工業(yè)生產(chǎn)運(yùn)行的基礎(chǔ)核心,其網(wǎng)絡(luò)安全事關(guān)企業(yè)運(yùn)營和生產(chǎn)安全、事關(guān)產(chǎn)業(yè)鏈供應(yīng)鏈安全穩(wěn)定、事關(guān)經(jīng)濟(jì)社會運(yùn)行和國家安全。工業(yè)設(shè)備的高危漏洞、后門、病毒、高級持續(xù)性威脅以及無線技術(shù)應(yīng)用帶來的風(fēng)險，給工業(yè)控制系統(tǒng)的安全防護(hù)帶來巨大挑戰(zhàn)。根據(jù)統(tǒng)計，2023年緩沖區(qū)溢出、權(quán)限許可和訪問控制問題、注入等是工控系統(tǒng)最為突出的問題，如圖17所示，各類型占比和2022年相差不大。圖172023年工控系統(tǒng)漏洞種類占比表52023年工控系統(tǒng)重點(diǎn)漏洞發(fā)布時間ContecSolarViewCompact命令注入漏洞(CVE-2023-23333)RockwellAutomationThinManager緩沖區(qū)溢出漏洞(CVE-2023-27857)DeltaElectronicsDX-2100-L1-CN跨站腳本漏洞(CVE-2023-0432)MySCADAmyPRO操作系統(tǒng)命令注入漏洞(CVE-2023-28384)SDGTechnologiesPnPSCADASQL注入漏洞(CVE-2023-1934)AdvantechiViewConfigurationServletSQL注入漏洞(CVE-2023-3983)FUXA任意命令執(zhí)行漏洞(CVE-2023-33831)經(jīng)典漏洞盤點(diǎn)：●ContecSolarViewCompact命令注入漏洞(ContecSolarViewCompact是日本Contec公司提供光伏發(fā)電測量的應(yīng)用系統(tǒng),可幫助太陽能光伏電站內(nèi)的人員監(jiān)控產(chǎn)生、存儲和配電。Contec表示，全球大約3萬個發(fā)電站已經(jīng)引進(jìn)了這些設(shè)備，根據(jù)運(yùn)營規(guī)模和使用的設(shè)備類型不同，SolarView設(shè)備提供不同的封裝形式。ContecSolarViewCompact6.00版本及之前版本存在安全漏洞。攻擊者利用該漏洞通過downloader.php繞過內(nèi)部限制來執(zhí)行命令。主動安全主動安全全漏洞，該漏洞源于/api/runscript端點(diǎn)中存在遠(yuǎn)程命令執(zhí)行(RCE)漏洞。攻擊者可利用POST請求執(zhí)行任意命令。6.4攻擊態(tài)勢分析類基礎(chǔ)設(shè)施，且針對工業(yè)系統(tǒng)的攻擊會破壞工業(yè)系統(tǒng)的正常運(yùn)行，極易造成停產(chǎn)、停電等大規(guī)模的破壞，所以針對工控系統(tǒng)也成為了一些具有政治動機(jī)的黑客組織的首要攻擊目標(biāo)。2023年1月，黑客組織GhostSec聲稱對白俄羅斯的工業(yè)遠(yuǎn)程終端單元進(jìn)行了攻擊，造成了當(dāng)?shù)毓S停產(chǎn)停工。該組織是主動安全主動安全絡(luò)融合發(fā)展,攻擊者越來越多地利用其中一個環(huán)境中的漏洞來接觸另一個環(huán)境中的資產(chǎn)，工控網(wǎng)絡(luò)所面臨的風(fēng)險也伴隨著攻擊者關(guān)注度提升和利用手段的增加持續(xù)上升，與其他網(wǎng)絡(luò)環(huán)境所面對的情況一樣，工控系統(tǒng)也迫切需要更有效的方法來檢測和解決OT安全漏洞。云計算平臺漏洞7.1新增漏洞趨勢在當(dāng)今快速發(fā)展的數(shù)字化時代，云計算技術(shù)已成為企業(yè)現(xiàn)代化IT架構(gòu)的關(guān)鍵組成部分。然而，隨著其普及和應(yīng)用，安全問題也愈發(fā)引人關(guān)注。2023年，云計算安全領(lǐng)域取得了重大突破，通過一系列安全管控手段，有效降低了高危漏洞和數(shù)據(jù)泄露的風(fēng)險。2023年新華三漏洞知識庫收錄云計算平臺漏洞888條，比2022年(總數(shù)1353條)下降34.3%,近2年漏洞增長趨勢如圖18所示：圖182022與2023年云計算平臺新增漏洞趨勢在云計算環(huán)境中，安全風(fēng)險主要來自于以下幾個方面：數(shù)據(jù)泄露、系統(tǒng)崩潰、服務(wù)中斷、未經(jīng)授權(quán)的訪問等。數(shù)據(jù)泄露可能發(fā)生在數(shù)據(jù)的傳輸、存儲和處理過程中，若被惡意利用，將導(dǎo)致嚴(yán)重的法律和財務(wù)風(fēng)險。系統(tǒng)崩潰和服務(wù)中斷則會影響云計算服務(wù)的可用性，對用戶體驗(yàn)和業(yè)務(wù)連續(xù)性造成嚴(yán)重影響。根據(jù)2023年數(shù)據(jù)統(tǒng)計，云計算漏洞類型主要分布在權(quán)限許可和訪問控制問題、注入、敏感信息泄露、拒絕服務(wù)，這幾種類型總共占比65.9%,如圖19所示。圖192023年云計算平臺漏洞類型占比其他注入表62023年云計算平臺重點(diǎn)漏洞發(fā)布時間VMwareAriaOperationsApacheSpark命令注入漏洞(CVE-2023-32007)VMwareAriaOperations命令注入漏洞(CVE-2023-20887)CloudExplorerLite命令注入漏洞(CVE-2023-38692)DockerDesktop代碼注入漏洞(CVE-2023-0625)VMwarevCenterServer緩沖區(qū)錯誤漏洞(CVE-2023-34048)VMwareCloudDirector安全漏洞(CVE-2023-34060)經(jīng)典漏洞盤點(diǎn)：主動安全主動安全用該漏洞在遠(yuǎn)程服務(wù)器上執(zhí)行任意代碼，從而獲取到遠(yuǎn)程服務(wù)在命令注入漏洞，影響該軟件6.2至6.10版本。服務(wù)器配置權(quán)訪問。此外，還有個API函數(shù)使用管理員權(quán)限接受用戶輸入而不對其進(jìn)行處理。將這兩個漏洞結(jié)合起以允許某人通過提供任意用戶名來執(zhí)行命令。惡意用戶可能能夠訪問權(quán)限檢查功能，該功能最終將根據(jù)7.4攻擊態(tài)