《2023年全网漏洞态势研究报告.docx》由会员分享,可在线阅读,更多相关《2023年全网漏洞态势研究报告.docx(53页珍藏版)》请在课桌文档上搜索。
1、2023年1月1日至12月31日期间,奇安信安全监测与响应中心(又称奇安信CERT)共监测到新增漏洞289乃个,较2022年同匕继长10.9%。其中,有7602个高危漏洞触发了人工研判。经研判:本年度值得重点关注的漏洞共793个叫达到奇安信CERT发布安全风险通告标准的漏洞共360个,并对其中109个漏洞进行深度分析也2023年奇安信CERT漏洞库每月新增漏洞信息数量如图1-1所示:2023年每月新增漏洞数量个35003000278425942500C238120882000150010005001月2月3月4月5月6月7月8月9月10月11月12月,、图1-12023年奇安信CERT漏洞库每
2、月新增漏洞信息数量值得注意的是,2023年新增的28975个漏洞中,有715个漏洞在NVD上没有相应的CVE编号,未被国外漏洞库收录,为国产软件漏洞,占比情况如图1-2所示。此类漏洞具有较高威胁,如果被国家背景攻击组织利用彳辐致严重后果。1漏:2漏洞告发布:3.漏洞深度分析报告发布页面:2023年国产软件漏洞占比2.47%国产软件漏洞图1-2国产软件漏洞占比将2023年度新增的28975条漏洞信息根据漏洞威胁类型进行分类总结,如图1-3所示:&图1-3漏洞威胁类型排名其中漏洞数量占比最高的前三种类型分别为:代码执行、信息泄露、拒绝服务。这些类型的漏洞通常很容易被发现、利用,其中代码执行、权限提
3、升等类型的漏洞可以让攻击者完全接管系统、窃取数据或阻止应用程序运行,具有很高的危险性,是安全从业人员的重点关注儒。将2023年度新增的28975条漏洞信息根据漏洞影响厂商进行分类总结,如图1-5所示:开放源代码项目10.58%Google6.9%Microsoft6.63%WordPress3.01%Apple2.76%Adobe2.44%Apache1.73%Jenkins1.68%Cisco1.57%1.inux1.55%图1-5漏洞影响厂商占比其中漏洞数量占比最高的前十家厂商为:开放源代码项目、GooglexMicrosoft.WordPressxApple、Adobe.ApachexJ
4、enkinsxCiscoxLinuxoGooglexMicrosoft.APPIe这些厂商漏洞多发,且因为其有节奏的发布安全补丁,为漏洞处置的关注重点。开源软件和应用在企业中被使用的越来越多,关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位,因而获得了安全研究员的重点关注。为了更加有效的管控漏洞导致的风险,奇安信漏洞情报建立了全面的多维漏洞信息整合及属性标定机制,使用关键漏洞、在!杯IJ用、POC公开、影响量级、Botne超、攻击者名辨、漏洞别名”等标签,标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、EXPloit工具、概念验证代码(PoC)、是否已经有了野利用、
5、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获取对系统控制途径等属性。涵盖的漏洞标签类别如图1-6所示:CubaRansomwareDarkCasinoGraphicaIProtonporkpink一一LEMuRuoO工UniraatphzminerAndariel_C3RB3RstorrHS4UAC57shzrninerAndefierTnCyBearM4RPnmCmPtaagVOidRaMlH)7FARENTSLvtath11ClcodbnAPT29Looney-TunablesWinterVivernDregmBusULUro3CKH0t11-iyNFXORigatePre
6、dator弓艮1.aosTemPniAPT28TerrapinjtzrrU-iHICKIftyE*MinlOBIueDeItaMythicCIopDownfoiBlastpascIN7TA-505TA422KinsingMiraiCerberEarthLuscaUNC2970PeachSandstorm1.INC4R41KeptarFiahtmgUrstCitrixBIeedJceFire.ThemeBleedd.itmii.CCTLoCkBit30PLUTONlUMGoTitarAndoryuBotDiamondSleet图16漏洞标签词云图将2023年奇安信CERT人工标记的漏洞,按照标签
7、数量进行分类总结,拥有的标签数量排名前十的漏洞如下表所示:排名漏洞名称漏洞编号RARLABWinRAR代码执行漏洞2 MicrosoftOutlook权限提升漏洞3 ApacheActiveMQ远程代码执行漏洞4 JetBrainsTeamCity身份认证绕过漏洞5 ZohoManageEngineOnPremise多款产品远程代码执行漏洞6 ProgressMOVEitTransferSQL注入漏洞7 BarracudaEmailSecurityGateway远程命令注入漏洞8 PaperCutNG和ME身份认证绕过漏洞9 VeeamBackupfiReplication身份认证绕过漏洞10
8、 TP-LINKArcherAX21标签数量修复建议升级至6. DEL23版本安装补丁升级至安全版本升级至安全版本升级至安全版本升级至安全版本升级至安全版本MF-2- DELl. 74Tk2DEL2l. DEL2. DElJI DEL22DELQDELk TTSK壬NG -20 .DliLl .DIL7DlL21 D112 DELlL22. DElQ阳.9版本升级至安全版本升级至安全版本代码注入漏洞其中RARLABWinRAR代码执行漏洞(CVE-2023-38831)拥有的标签数量最多为28个,如图1-7所示。其次是MiCroSoftOUtlOok权限提升漏洞(CVE-2023-23397)
9、拥有17个标签,如图1-8所示。排名第三的APaCheACtiVeMQ远程代码执行漏洞(CVE-2023-46604)被标记了15个标签,如图1-9所示。霖洞详情antvaPOclEXP在她班酩包内同名的文件与文件央时代码执行忠犯攻出者锹由文件与非总意文忤构成的特槛端包文件,泊导受害弄打开此文件向将在受害者机鼐上执彳正意代码.目前就都存在在野利用.己被利用来攻击加也货币林蝴交易论端.IJ决方案。法潮规则IICPE图1-7CVE-2023-38831漏洞标签示例Microsoft0utlk权限提升漏洞(CVE-2023-23397)公开日期I2023-03-14更新B期IX23T2关系利P()C
10、公开EP公开()tb)用相关在苏科用总期IK蚯陇枚书公开十万皴语化技术绢节,利用可能性:或将美型,技术类Sb霖洞详情flffwtt四HXVEXPNicra5Ofl存在奴微提升藏.未经身蟀证的远检攻击*可以向5HMf发送播幽电刊件,导我受*连明收击IW蜘的外酢”位置.这会将景研的Vt-N三2E力裁露给攻击力.就用攻击力可以将It中维刎另一小服务并作为受声力进行狰臊i.簿决方案。检测规则IJCPt安”分fta*低图1-8CVE-2023-23397漏洞标签示例公开日期:2023-10-27更新日期:2023-12-2天茂据例Ia公开EP公开AH相关在芳利用盛交任(王肥检国技木相节公开方级就深化演洞
11、洋情flflffllPOGEXP即小足“,M启用受到远程代码执行响的攻击,曲阎可解允许对卜治一员右网络访网权限的远程攻击畲通过提物UiiW议中的你外化类荚现实例化英路径、上的任何类,”可能导的或诳聋.你令.解决方案总渊枕则IICPE3辞分图1-9CVE-2023-46604漏洞标签示例漏洞拥有的攻击者标签越多,与其关联的攻击团伙或者恶意家族就越多,说明漏洞正在被积极利用。从侧面印证了这个漏洞具有较高的可达性和危害性,这样的漏洞已经不仅仅是潜在的威胁,而是具有了较高的现时威胁,漏洞修补时应该放在最高的优先级。根据奇安信CERT的监测数据,2023年漏洞舆论热度榜ToPIo漏洞如下:1Nacos身
12、份认证绕过漏洞QVD-2023-6271高危升级至220.1或以上版本2curlSOCKS5博益出翻CVE-2023-38545高危升级至&4.0及以上版本3MicrosoftWord远程R码执行漏洞CVE-2023-21716同)危安黔卜丁4PowerSheII远程代码执彳瑞洞CVE-2022-41076高危安赛卜丁5泛微E-C。IOgySQL注入漏洞QVD-2023-15672高危升级至10.58及以上版本6FortinetFortiOSSSL-VPN远程代码执行漏洞CVE-2023-27997高危升级至安全版本7ApacheKafkaConnectJNDI注入漏洞CVE-2023-251
13、94高危升级至3.4.0及以上版本8JUmPSerVer未授权访问漏洞CVE-2023-42442高危升级至安全版本9MinIO信息泄露漏洞CVE-2023-28432同)危升级至RELEASE2023-03-20T20-16-18Z及以上版本10泛微e-cology9SQL注入漏洞QVD-2023-5012高危升级至10.56及以上版本在本年度总热度舆论榜前十的漏洞中,热度最高的漏洞为NaCoS身份认证绕过漏洞(QVD-2023-6271)。该漏洞是由于开源服务管理平台NaCoS在默认配置下未对token.SeCret.key进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后
14、果。该系统通常部署在内网,用作服务发现及配置管理,历史上存在多个功能特性导致认证绕过、未授权等漏洞,建议升级至最新版本或修改默认密钥,并禁止公网访问,避免给业务带来安全风险。事件描述谷歌威胁分析小组安全研究团队的成员VIadStOlyarOV和CIMmentLecigne发现了今年影响ChrOme浏览器用户的第八个零日漏洞。Ggle威胁分析小组(ThreatAnalysisGroup,TAG)在2023年12月19日报告,当时已发现针对该漏洞的攻击样本。为了响应该漏洞,Ggle向所有ChrOme用户发布了紧急修复补丁,CVE-2023-702领评为高严重性漏洞,影响ChromeWeb浏览器的开
15、源WebRTC组件,属于堆缓冲区溢出类型。该实时通信组件支持网页内的音频和视频通信,并由大多数现代浏览器部署,任何基于ChromiUm项目的Web浏览器都易策U相同的攻击。谷却是醒WindoWS用户,将ChrOme版本升级至J20.0.6099129或20Q6099.130;1.inUX和macOS用户升级)120.0.6099.129(修复版本。关联漏洞1.1GoogleChromeWebRTC堆缓冲区溢出漏洞(CVE-2023-7024)WebRTC(WebReal-TimeCommunication)Zb由Google发起的实时通信开源项目,通iS用程病程接口(APl)为Web浏览器和移
16、动应用程序提供实时通信(RTC)。它允许直接点对点通信,从而允许音频和视频通信在网页内进行,无需安装插件或下载本地应用程序。言CERT监测至IGOogIe修复GOogIeChromeWebRTCWg冲区溢出漏洞(CVE023-7024),该漏洞存在在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码或导致浏览器崩溃。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。修复建议检查更新:可蛆Chrome聊-【帮助】-【对GOOgIechrome】本更新,并在更新完成后重新启动。事件SS述Mandiam表示,自2023年8月下旬以来,攻击者一直在利用CVE-2
17、023-4966作为零日漏洞来窃取身份验证会话和劫持帐户。攻击者可以利用该漏洞绕过因素身份验证或其他强身份验证要求。即使在修补后,受畸的会话仍然存在,并且根据受感染账户的权限,攻击者可以在网络上横向移动或危及其他账户。此外,Mandiant还发现了利用CVE-2023-4966渗透政府实体和技术公司基础设施的案例。CVE-2023-4966CitrixBIeed缺陷是f未经身份验证的缓;中区相关漏洞,影响CitriXNetScaIerADC和NetSCaIerGateWay、用于负载平衡、防火墙实施、流量管理、VPN和用户身份验证的网络设备。漏洞于2023年10月10日被披露,CitriX发布
18、了补丁来修复该漏洞。关联漏洞2.1NetScaIerADC和NetScaIerGateway敏感信息泄露漏洞(CVE-2023-4966)CitrixNetScaIerGateway(以前称为CitriXGateway)和NetSCalerADC(以前称为CitriXADC)都是CitriX公司的产品。CitrixNetScaIerGateWay是T安全的远程接入解决方案。该方案可为管理员提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。CitrixSystemsNetS-CaIerADC是f应用程序交付和安全平台。奇安信CERT监测到官方更新NetScaIerADC和Net
19、ScaIerGateway敏感信息泄露漏洞(CVE-2023-4966)造由于在SnPrintf格式化HTTP响应时,使用返回的长度作为参数读取内存,并且未验证长度范围,导致攻击者可以发送恶意请求读取CitriXGateWay内存,远程未授权攻击者可通过越界读写利用此漏洞最终可能造成敏感信息泄露,利用此漏洞无需解保件。该漏洞已出现大规模野利用,目前官方已修复该漏洞,建议用户尽快升级至安全版本。修复建议NetScaIerADCandNetScaIerGateway14.114.1-8.50NetScaIerADCandNetScaIerGateway13.113.1-49.15NetScaIer
20、ADCandNetScaIerGateway13.013.0-92.19NetScaIerADC13.1-RPS13.1-37.164NetScaIerADC12.1-11PS12.1-55.300NetScaIerADC12.1-NDcPP12.1-downloadscitri-gateway事件描述2023年10月26日,F5向客户发出了T严重后翩CVE-2023-46747的循,该翻CVSS评分9.8,影响BlG-IP,可能导致未经身份验证的远程代码执行。10月30日,F5更新最初的安全公告,称威胁行为体正在积极利用该漏洞。攻击者将该漏洞与BIG-IP配置实用程序中的另一个漏洞CVE-2
21、023-46748结合使用。F5还发布了威胁剧示(IoC),以帮助防御者识别潜在威胁。专刘是醒,在漏洞PoC披露后不到五天,威胁行为体就开始利用F5BlG-IP中的关键缺陷CVE-2023-46747o美国网络安全和基础设施安全局(ClSA)将BIG-IP中的漏洞CVE-2023-46747和CVE-2023-46748添加至惧已知被利用的漏洞目录中。F5发布了针对易受攻击的F5BIG-IP产品的修补程序。建议组织尽快修补易受攻击的F5BlG-IP产品。鉴于此漏洞影响范围较大,建议客户尽快做好自杳及防护。关联漏洞3.1F5BIG-IP远程代码执行漏洞(CVE202346747)F5BIG-IP
22、是美国F5公司一款集成流量管理、DNS,出入站规则、Web应用防火墙、Web网关、负载均衡等功能的应用交付平台。奇安信CERT监测到F5BlG-IP远程代码执行漏洞(CVE-2023-46747),未授权的远程攻击者可在暴露流量管理户界面(TMUI)的F5BIG-IP实例WI行任三弋码。修复建议BIG-IP17.x=17.1016.1.0=BIG-IP=16.1415.1.0=BIG-IP=15.11014.1.0=BIG-IP=14.1513.10=BIG-IP经即分野正的攻击者获取PaPerCUtNG/MFs中存储的有关用户的信息。根据报告,3月份勒索软件攻击创下新高的原因是Fortra的
23、GoAnywhereMFT安全文件传输工具中的TOdayg洞CVE023-066涮用。勒索软件组织CloP利用该漏洞在十天内从130家公司窃取了数据。关联漏洞3.1 ProgressMOVEitTransferSQ4羸同(CVE202334362)在MOVEitTranSferWeb应用程序中存在SQL注入漏洞,该漏洞允许园!未绍S权的攻击者获得对MOVEitTranSfe嘤据库的访问权限,用睡所使用的数据库引擎(MySQL、MicrosoftSQLServer或AzureSQL),除了执行更改或删除数据库元素的SQL语句外,还可能推断出有关数据库结构和内容的信息,造成敏感信息泄露,进多11用
24、可能获取三务器权限。目前该漏洞已出现在野利用,建议受影响用户尽快修复。修复建议2021.0.0MOVEitTransfer2021.0.6(13.0.6)2021.1.0MOVEitTransfer2021.1.4(13.1.4)2022.0.0MOVEitTransfer2022.0.4(14.0.4)2022.1.0MOVEitTransfer2022.1.5(14.1.5)2023.0.0MOVEitTransfer=8.0PaperCutMF=8.0https:/www.papercut.eom/kb/Main/PO-1216-and-PO-1219#faqs1.对PaPerclJt服
25、务器的远程访问:可以通过将服务器的侦听端口从8080更改为三标隹端口来完成2 .PaperCut账户使用强密码和多重身份验证:有助于防止攻击者未经授权访问有风险的服务器。3 .视PaPerCUt服务器是否存在可疑活动:可以通过使用安全信息和事件管理(SlEM江具或手动查看日志文件来完成。关联漏洞3.3 PaperCutMF/NG信息泄露漏洞(CVE202327351)PaperCutNG/MF打印管理软件存在信息泄露漏洞,未经身份验证的攻击者可利用该漏洞提取存储在PapercutMF/NG中的用户信息,包括用户名、电子邮件地址、办公室/部门信息以及与用户关联的任何卡号。DELI攵击者还可以利用
26、该漏洞提取密码哈希值。修复建议关联漏洞3.4 GoAnywhereMFT命令执行漏洞(CVE-2023-0669)HelpSystemsGoAnywhereMFT是美国HelPSyStemS公司的一款托管文件传输软件。GoAnywhereMFT中存在反序列化漏洞,远程攻击者可通过发送特制的序列化对至管理端口,服务端接收此请求未进行过滤从而反序列化任意攻击者控制的对象,最终建任意代码执行。修复建议事件描述研究人员观察到QlikSenSe在CaCtUS勒索软件活动中被利用,该活动利用了QlikSenSe应用程序中的多个漏洞。目前评估认为,根据补丁级别,威胁行为体很可能通过组合或直接利用QIikSe
27、nSe中的CVE-2023-41266.CVE-2023-41265或潜在的CVE-2023-48365来实现代码执行。SgPWCactu勒索软件的威胁行为体首次利用QIikSenSe中的漏洞进行初始访问。关联漏洞4.1QlikSense路漏洞(CVE-2023-41266)QlikSense是一个现代分析平台,旨在帮助用户创建具有数据素养的员工队伍并实现业务转型。QI次SenseEnterpriseforWindOWS存在目录遍历漏洞。由于对用户提供白城入的验证不正确,未经身份验证的远程攻击者可能会生成匿名会话,从而允许彳也们向未绍权的端点执行HKP请求。该漏洞结合CVE-2023-4126
28、5TJ用,可以实现未授权RCE。修复建议QlikSenseEnterpriseforWindows=May2023Patch3QlikSenseEnterpriseforWindows=February2023Patch7QhkSenSeEnterpriseforWindows=November2022Patch10QlikSenseEnterpriseforWindows=August2022Patch12限制所有流向MC)VEitTranSfe曲HTT丽HTTPS流量关联漏洞4.2 QlikSenseHTTpi青求H三i三同(CVE202341265)QHkSenSeEnterPriSef
29、orWind。WS存在请求隧道漏洞,由于HKP三求头验证不当,远程攻击者能够通过隧道传输HTTP请求礴升其权限,从而允许他|、电托管存储库应用程序的后端服务器上执行HHP请求。修复建议QlikSenseEnterpriseforWindows=May2023Patch3QlikSenseEnterpriseforWindows=February2023Patch7QhkSenSeEnterpriseforWindows=November2022Patch10QlikSenseEnterpriseforWindows=August2022Patch12关联漏洞4.3 QlikSense远程代码执彳诵洞(CVE-2023-48365)QlikSenseEnterpriseforWindOWS存在代码执行漏洞,该漏洞由于对HTT麻头的3金正不正确,园呈攻击者能够通过隧道传输HTTP请求来提升权限,从而允许攻击者在托管存储库应用程序的后端服务器WI行Hp求,就错代码执行。修复建议QlikSenseEnterpriseforWindows=August2023Patc
