《2023年网络安全漏洞态势报告.docx》由会员分享,可在线阅读,更多相关《2023年网络安全漏洞态势报告.docx(40页珍藏版)》请在课桌文档上搜索。
1、HBC数字化解决方案领导者2023年网络安全漏洞态势报告-新华三主动安全系列报告-目录CONTENTS7概述31.1 漏洞增长趋势31.2 攻击总体态势5Web娜丽82.1 新增漏洞趋势82.2 漏洞分类92.3 重点漏洞回顾102.4 攻击态势分析12魂作系统漏洞133.1 新增漏洞趋势133.2 漏洞分类133.3 重点漏洞回顾143.4 攻击态势分析164网络漏洞174.2 漏洞分类1843重点漏洞回顾194.4 攻击态势分析21据库漏洞225.1 新增漏洞趋势225.2 漏洞分类2353重点漏洞回顾245.4 攻击态势分析25系统漏洞266.1 新增漏洞趋势266.2 漏洞分类2763
2、重点漏洞回顾286.4 攻击态势分析297云计算平台漏洞307.1 新增漏洞趋势307.2 漏洞分类3073重点漏洞回顾317.4 攻击态势分析328聘三338.1 触338.2 安会议34382023年网络安全漏洞态势报告新华三安全攻防实验室持续关注国内外网络安全漏洞和态势,协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布2023年网络安全漏洞态势报告。报告开篇概述了2023年漏洞和攻击的总体趋势,正文从Web应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析2023年网络安全领域新增漏洞情况以及演变趋势,希望为各行
3、业网络安全建设者提供参考和帮助。1.1漏洞增长趋势2023年新华三安全攻防实验室漏洞知识库收录的漏洞总数为29039条,比2022年(24892条)增长16.6%,为历史之最。其中超危漏洞4298条,高危漏洞10741条,如图1所示,超危与高危漏洞占比51.8%,如图2所示,高危以上漏洞比2023年增长7.1%o自2017年以来,公开漏洞数量一直在稳步增加,每年增加数量超过10%o图12017-2023年新增漏洞总趋势16035000图22023年不同危险级别漏洞占比1.2攻击总体态势将2023年漏洞按照影响又搀进行统计,Web应用类漏洞占比仍然为第T立,占比40.2%,其次是应用程序、操作系
4、统漏洞,分别占比29.2%、9.1%,如图3所示。应用程序漏洞数量比去年增长60.8%,增幅较大;智能终端(IOT设备)漏洞数量比去年增长64.4%,操作系统、网络设备、云计算、数据库漏洞相比去年漏洞数量有所回落。漏洞数量是危险的一方面,在已披露的漏洞中,有超过7000个漏洞具有概念验证利用代码,超过100个漏洞已经被黑客广泛利用。图32023年漏洞影响对象占比云计算工控数据库网络设备 7.9%应用程序 29.3%WEB应用40.3%将2023年漏洞按照攻击分类进行统计,如图4所示,排名前三的漏洞为跨站脚本、权限许可和访问控制、缓冲区错误,分别占比17.0%,13.4%和11.2%。权限许可口
5、访问控制占比较2022年有大幅提升,权限许可和访问控制漏洞是由于权限限制不正确,或者访问控制设置错误,导致远程攻击者可以绕过身份验证因素或者访问控制设置,达到获取敏感信息,读写任意文件或者权限提升的目的。注入类漏洞,如代码注入、SQL注入、命令注入共占比18.7%,仍然是最突出的漏洞类型。图42023年漏洞攻击分类占比输入验证错误2.6%其他跨站脚本19.5%17.0%目录遍历一2.8%/命令注入,3.5%拒绝服务4.1%跨站请求伪造_/4.42%敏感信息泄露6.4%缓冲区错误11.2%SQLiiA代码注入可7.5%7.8%权限许可和访问控制问题13.4%安全漏洞数量持续增长成为了各行各业不可
6、忽视的挑战,尤其是在工业、金融、交通、国防、医疗和信息技术等领域,安全漏洞的爆发和利用对社会、企业和个人造成了巨大的安全风险。同时,生成式人工智能等一批新技术在带来巨大机遇的同时,也意味着其在安全性上会产生更多挑战。2023年,针对各个领域网络资产的攻击进一步加剧,根据对2023年漏洞及网络攻击进行的观察,我们得出一些结论:1 .漏洞数量持续增长,Oday漏洞利用数量明显增加随着黑客攻击技术的提升和市场化,Oday漏洞的数量和利用呈明显增长趋势,大量攻击团伙利用未公开及厂商未及时修复的漏洞对目标系统进行未授权访问、数据窃取、数据勒索或其他恶意活动,这类漏洞的利用往往具有高度隐秘性和攻击性,使得
7、安全防护和应对的难度进一提高。GoAnywhere今年爆出的CVE-2023-0669漏洞被黑客大规模利用,最早利用该漏洞进行大规模攻击的仍然是Clop勒索软件组织,在最初的一波攻击中就有130家企业受到了影响。由于GoAnywhere是在漏洞被披露可能存在利用的第5天才推出修复程序,这留给了黑客充裕的利用时间,政府、能源、金融、医疗行业多家知名企业成为攻击受害者,也充分题了“零日漏洞+供应链攻击“的可t眨处2 .大量N-Day漏洞被积极利用,Log4j漏洞仍是攻击首要目标2023年涌现出数以万计的新漏洞,但根据相关现网攻击检测数据报告,2023年被用于现网攻击尝试利用次数较多的漏洞反而是过去
8、几年已经披露和修补的N-Day漏洞。这些漏洞通常已经被成熟的工具化,且已有修补补丁。由于现网仍有海量的产品和服务未对这些漏洞进行修补,进而被攻击者趁虚而入;根据统计,2023到IJ用最多的漏洞有APaCheLOgq2远程代码执行漏洞(CVE-2021-44228)、MSl7-010系歹!J漏洞、ApacheStruts2远程代码执行漏洞(CVE20175638)、GNUBash远程命令执行漏洞(CVE-20146271)等。尽管Log4j是一个出现时间已久的漏洞,但在2023年期间仍然是攻击者的首要选择。3 .配置不当引发整体安全风险,身份验证和访问权限管理不当漏洞增加随着互联网的加速发展,企
9、业和组织不断推进内外网业务由线下转向线上,以便于协同及效率提升,业务之间的对接、耦合、互通,使得业务数据大量的产生、传输、交互、公开等。而不同系统、软件和应用程序的默认配置、身份验证和访问权限管理等配置不当问题逐渐成为网络中最易忽视的攻击风险。错误配置可能会导致敏感数据的泄漏,比如未做好严格的权限校验和限制以及未采取严格的加密措施等都会被黑客充分利用。当服务器存在未及时修复的安全漏洞时,错误配置会为攻击者提供突破口,以入侵单个安全控制点作为跳板进一步危及整个系统的安全性。4 .数据泄露与滥用风险涌现,数据泄漏事件创下记录2023年数据泄漏事件还处于高发的态势,根据报告,2021和2022年,全
10、球泄露了惊人的26亿条个人记录,仅2022年一年就泄漏了约15亿条个人记录。2023年创下新的数据泄漏记录,仅2023年前9个月的数据泄露总数就已经比2022年全年总数高出20%o2023年5月,据Emsisoft报道,文件传输服务MOVEit的漏洞已经导致2706个组织遭到(勒索软件)攻击,超过9300万人的个人数据被泄露。2023年10月基因检测提供商23andMe遭遇撞库攻击,导致重大数据泄露,690万用户的数据被泄露。史上最畅销游戏大作GTA5(侠盗猎车手5)的源代码在2023年圣诞夜被泄露,发布者声称此举是为了替近日被宣判永久监视医疗的L叩SUS$黑客组织成员ArionKurtaj复
11、仇,同时也是为了阻止恶意版本的GTA5源代码在网上流传。2023年12月,PayPaI披露其用户账户在大规模撞库攻击中被泄露,攻击者攻破了34942个PayPaI账户。5 .勒索团伙加速高危漏洞武器化利用,勒索攻击高位增长2023年,勒索软件攻击的复杂性和敏捷性快遢是高。根据德国statista网站统计显示,全球高达72%的企业成为攻击受害者,其中包括英国“皇家邮政和美国波音等企业。过往勒索团队常以钓鱼、水坑、Nday等利用手段作为主要的初始载体和入侵手段来部署勒索软件。2023年,勒索团伙攻击方式逐渐升级转变为对关键的零日漏洞加速武器化利用。其中以利用漏洞而闻名的Clop勒索软件组织利用Mo
12、VEit等多个关键的零日漏洞进行了广泛攻击,黑客组织LockBit利用CitrixBleed漏洞(CVE-2023-4966)对金融企业成功实施了攻击,可能窃取、泄露金融和医疗等领域的价值、敏感数据。以LockBit为首的勒索组织通过勒索软件即服务(RaaS),将恶意软件售卖给其他黑客组织,形成攻击产业链,并不断衍生出新变种,导致恶意软件泛滥。勒索攻击形式也逐渐从有组织高烈度转向无序化低烈度,涉及的行业领域更多、破坏性更严重。6 .大语言盥成为攻防双刃剑,其快速演进Jl啕攻防不X播随着人工智能技术的飞速发展,生成式AI狂潮席卷全球,成为了各行各业的新研究热点。在不断对抗发展的网络安全领域,大语
13、言模型不仅成为抵御复杂网络攻击的利器,也已然被攻击者充分利用,不断开发演进新的攻击方式。例如防御方面可以开发和建立自动化威胁检测和安全防护系统等,攻击方面可以用于攻击自动化、智能化社会工程攻击、恶意软件检测规避等。大语言模型的应用极大地降低了攻击利用的门槛,攻击者无需再花费大量时间手动阅读源码、3金正漏洞和构建恶意利用代码,极大提高攻击效率和成功率,使得开发团队和安全团队需要以更快速处置速度应对。7.VR/AR设备漏洞开始显现,以人体感官为中心的设备安全面临挑战网络安全是一个动态的领域,随着技术的进步,各种类型的漏洞与攻击都会被引入。例如,对于VR/AR等新型设备,鉴于内容的潜在不可靠性,VR
14、/AR等增强现实设备可以作为黑客欺骗用户的有效工具,成为社会工程学攻击的一部分。例如,黑客可以通过虚假的标志或画面显示来扭曲用户对现实的看法,在侵入用户的VR/AR设备后,改变用户通过设备看到的场景,这就可能会让他们通过冒充用户认识和信任的实施诈嘛在VisionPro发布后的一天内,其头显系统VisionOS就被发现存在一个内核漏洞。此外,在VisionPro即将登陆美国市场之际,苹果公司发布了一项紧急系统更新。此次VisionOS1.0.2版本的发布距离上一版本的推出仅隔一周,突显了安全问题的紧迫性。此次更新修复了一个WebKit漏洞,该漏洞允许攻击者精心制作恶意网页,一旦VisionPro
15、用户访问这些被感染的网页,攻击者便能在用户设备上执行任意代码,进而控制设备或窃取信息。2Web应用漏洞2.1 新增漏洞趋势针对Web应用的攻击依然是互联网的主要威胁来源之一,更多的流量入口和更易调用的方式在提高应用开发效率的同时也带来了更复杂的安全问题。2023年新华三漏洞知识库收录Web应用漏洞11739条,较2022年(10488条)增长11.9%。对比2022年和2023年每月Web应用漏洞变化趋势如图5所示:图52022与2023年Web应用新增漏洞趋势2.2 漏洞分类黑客普遍会利用Web应用漏洞对网络进行渗透,以达到控制服务器、进入内网、获取大量有价值信息的目的。可以看出2023年W
16、eb应用漏洞主要集中在跨站脚本、注入、跨站请求伪造三种类型,占据全部漏洞类型的69%0跨站脚本与注入是Web应用最常见的漏洞,利用跨站脚本漏洞,黑客可以对受害用户进行Cookie窃取、会话劫持、钓鱼欺骗等各种攻击;利用注入漏洞,黑客可能窃取、更改、删除用户数据,或者执行系统命令等,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。跨站请求伪造相比2023年增幅较大,跨站请求伪造是一种通过挟制当前用户已登录的Web应用程序从而实现非用户本意的操作的攻击方法,比如发邮件、发消息、改密码、购买商品、银行转账等,相对于跨站脚本攻击来说跨站请求伪造危害更严重。图62023年Web应用漏洞类型占比2
17、.3 重点漏洞回顾表12023年Web应用重点漏洞漏洞名称发布时间CVSSv3评分OracleWeblogic11OP协议建代码执行漏洞(CVE-2023-21839)20230187.5ApacheSUPerSet身份认证绕过漏洞(CVE-2023-27524)2023/04/249.8ApacheRoCketsg代AWl彳诵洞(CVE-2023-33246)2023/05/249.8GitLab目录遍历漏洞(CVE-2023-2825)2023/05/2610.0NUX程代码执行漏洞(CVE-2023-3224)20230639.8SpringBootAdminThymeleaft莫板;琢
18、羸同(CVE-2023-38286)2023/07/147.5MetabaSe因呈代吸亍漏洞(CVE-2023-38646)2023/07/219.8SpringforApacheKafka歹洞(CVE-2023-34040)2023/08/247.8JetBrainsTeamCity融期函!Ei三(CVE-2023-42793)20230999.8AtlassianConfluenceDataCenterandSerVerI又限提升漏洞(CVE-2023-22515)2023/10/0410.0HTTP/2拒绝!艮务漏洞(CVE-2023-44487)2023/10/107.5ApacheA
19、ctiveMQ远程代码执行漏洞(CVE-2023-46604)2023/10/279.8AtlassianConfluence身份认证绕过漏洞(CVE-2023-22518)2023/10/319.8ApacheTomcat请求走私漏洞(CVE-2023-46589)2023/11/287.5ApacheOFBizXMLRPC不安全反序列化(CVE-2023-49070)2023/12/059.8ApacheStrUtS2代码执行局同(CVE-2023-50164)2023/12/079.8ApacheOFBiZ远程代码执行漏洞(CVE-2023-51467)2023/12/269.8经典漏洞
20、盘点:OracleWeblogic11OP协议远程代码执行漏洞(CVE-202321839)WebIogiC是由美国Orade公司出品的一款基于JAVAEE架构的中间件,主要用于开发、集成、部署和管SX型分布式Web应用、网络应用和健库应用的JaVa应用服务器,在国内外应用十分广泛。该漏洞允许未经身份验证的远程攻击者通过T3110P协议网络访问并破坏WebLogiC服务器,成功利用此漏洞可导致关键数据的未授权访问或Ii接获取WebLogic服务器权限。漏洞原理是通过WeblogicT3110P协议支持远程绑定对象bind到服务端,当远觐像继承自OpaqueReference,lookup查看远
21、程对时,服务端调用远程对象getReferent方法,其中的remoteJNDIName戮何控,导致攻击者可利用rmi/IdaP远程协议进行远程命令执行。GitLab目同(CVE-2023-2825)GitLab是管理Git存储库的平台,主要提供免费的公共和私人存储库,问题跟踪和wiki,不仅如此,GitLab还提供了自己的持续集成(CI)系统来管理项目,并提供用户界面以及GitLab的其他功能。目前已拥有约3000万名已注册用户以及100万名付费客户。CVE-2023-2825漏洞源于路径遍历问题,当一个附件存在于至少五个组内嵌套的公共项目中时,未经认证的威胁攻击者可以轻松在三务器上读取任意
22、文件。此外,利用CVE-2023-2825漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。威胁攻击者可以读取服务器上的任意文件,例如配置文件、密钥文件、日志文件等,造成信息泄露或进一步的攻击。安全研究人员通过长时间追踪发现,该漏洞全球共40多万个使用记录,其中中国接近17万个,德国5万多个,美国接近5万个。ApacheActiveMQ远程代码执行漏洞(CVE-2023-46604)APaCheACtiVeMQ是最流行的开源、多协议、基于JaVa的消息代理。它文寺行业标准协议,用户可以在各种语言和平台上获得客户端选择的好处,用JaVaSCript、C、C+、P
23、ythOn、.Net编写的客户端辘等,使用无处不在的AMQP协议集成多平台应用程序,通过websockets使用STOMP在web应用程序之间交换消息。2023年10月份,在APaCheActiVeMQ发布的新版本中修复了一个遴代码执行漏洞CVE-2023-46604o该漏洞是由于在BaSeDataStreamMarShailer方法中未对接收的数据进行必要的检直,威胁攻击者可通过构造恶懿掂包通过默认的61616端口利用该漏洞,最终在B艮务器上实现远程代码执行。据悉,Kinsing恶意软件以及HeIlOKitty勒索软件等背后的黑客组织一能极利用CVE-2023-46604漏洞。威胁攻击者利用
24、安全漏洞来进行针对Linux系统的攻击和推送TelIYOUThePaSS勒索软件的初始访问,中国、美国、德国、印度、荷兰、俄罗斯、法国和韩国等国家成为了攻击者主要目标。 AtlassianConfluenceDataCenterandServer权限提升漏洞(CVE-2023-22515)AtlassianConfluenceServer是澳大利亚Atlassian公司的一套具有企业知识管理功能,并支持用于构建企业WiKi的协同软件的服务器版本。2023年10月,安全专家在AtlassianConfluenceServer中发现安全漏洞CVE-2023-22515,其CVSS评分为满分10分,
25、利用条件低害等级极高。该漏洞由ConflUenCeDataCenter&Server中的/setup端点的访问控制不当造成。通过利用此漏洞,攻击者可以获得Confluence实例的管理员访问权限。 HP2才鲍的漏同(CVE2023-44487)HTTP/2是HTTP协议的最新版本,它是HTTP/1.1的升级版,旨硕高Web应用的性能和安全性。在2023年10月10日漏洞披露后,包括微软、ApachesGooglexAmazon在内的多个厂商同步披露该漏洞并给出修复补丁和缓解措施。既满足客户对漏洞的知情权也保障有足够的Embargo期供厂商修复漏洞,减少伤害和降低风险。HTTP/2作为HTTP/
26、1.1的迭代版本,目前大部分的应用服务器和中间件都已支持,影响范围较大。该漏洞源于HTTP/2协议的R叩idReset存在缺陷,攻击者可以在HTTP/2协议中创建新的多路复用流,然后立即发送取消流(RSLSTREAM),导致服务器不断分配资源处理流的创建和取消请求,最终资源耗尽导致拒绝服务。2.4攻击态势分析1 .高危漏洞传播和利用间隔缩短最新漏洞被公布后,漏洞细节及相关利用代码传播速度显著加快,在漏洞公开披露的同一天,立即会有目标被该漏洞攻击,并在爆发第一时间就会被攻击者整合到漏洞攻击库中展开全网探测扫描,而web服务的公开、远程访问特性也促使攻击者会充分利用时间差,在漏洞修补和防御措施实施
27、前迅速展开攻击,从而能够极大的提升利用成功率。2 .办公管理类系统仍是核心风险区域在当前日益数字化和网络化的办公环境中,办公软件的复杂性、功能多样性和广泛使用为潜在漏洞提供了更多的攻击面,办公类系统持续被视为攻击者的首要目标。作为企业日常工作的核心系统,其内部存储了大量的业务数据、员工信息等敏感资料,攻击者会利用各种手段对此类系统进行攻击,以获取上述高价值数据。TeIIYOUThePaSS勒索病毒家族在2023年下半年对国内各类OA、财务及Web系统平台发起多轮攻击,如2023年8月27日,针对某通财务管理软件的勒索投毒攻击,单次范围超1000台月的器。2023年下半年,海莲花组织使用漏洞攻击
28、了国内多款OA系统的服务器。中国电信安全公司水滴实验室追踪发现,2023年11月28日至12月8日,境外高级勒索团伙Mallox疑似利用某OA管理系统、某审批管理系统、某资源管理系统的漏洞攻击中国境内二十余个企业、部门。3操作系统漏洞3.1新增漏洞趋势操作系统是构成网络信息系统的核心关键组件,其安全可靠程度决定了计算机系统的安全性和可靠性。操作系统作为传统的攻击目标,其漏洞占据着重要位置。2023年新华三漏洞知识库收录的操作系统漏洞总数为2511条,较2022年总数(2607条)稍有下降,对比2022年和2023年每月操作系统漏洞变化趋势如图7幅。图72022与2023年操作系统新增漏洞趋势4
29、003503002502001501005001月2月3月4月5月6月7月8月9月10月IlR12R2022年-2023年3.2 漏洞分类操作系统是应用软件和服务运行的公共平台,其安全漏洞是网络安全的主要隐患和风险。对于操作系统,黑客最关注的是获得较高控制权限,进而为实施更深层次的网络渗透提供更大的便利和可能。2023年操作系统权限许可和访问控制问题突出,占比22.2%,是名第一的漏洞,同时缓;中区溢出、代码注入、敏感信息泄露等漏洞也是操作系统较为突出的问题,如图8所示。图82023年操作系统漏洞种类占比竞争条件问题资源管理错误%。令注入年输入验证错误、4.3% X ,释放后重用4.9%拒绝服
30、务11.6%敏感信息泄露13.1%73%权限许可和访问,控制问题22.2%缓冲区错误代码注入14.7%3.3 重点漏洞回顾表22023年操作系统重点漏洞漏洞名称发布时间CVSSv3评分MicrosoftWindowsIKEVendorID铺针解弓|用艮务滞同(0-2023-21547)2023/01/107.5MicrosoftC)Utlook特权升级漏洞(CVE-2023-23397)2023/03/149.8MicrosoftMessageQUeUing拒翘艮务漏洞(CVE-2023-21554)2023/04/119.8MicrosoftWindowsLayer2TunnelingPrO
31、toCO甘艮务JJ(CVE-2023-28220)2023/04/118.1WindowsOLE远程代吸孺洞(CVE-2023-29325)2023/05/098.1Win32k特权提升漏洞(CVE-2023-29336)2023/05/097.8WindowsNetworkFileSystem远程代5驮行漏洞(CVE-2023-24941)2023/05/099.8MicrosoftEXChange远程代5驮行漏洞(CVE-2023-32031)2023/06/148.8ApplemacOSBigSU侬冲区溢出漏洞(CVE-2023-32434)2023/06/237.8LinuxKerne
32、lksmbdSMB2QUERYINFo拒畿艮务同(CVE-2023-32248)2023/07/247.5MicrosoftExchangeSerVerXJHA证同(CVE-2023-38181)2023/08/098.8经典漏洞盘点:MicrosoftOutlook特权升级漏洞(CVE-2023-23397)MicrosoftOfficeOutlook是微软办公软件的组件之一,它对Windows自带的Outlookexpress的功能进行了扩充。Outlook具有很多功能,可以使用它来收发电子邮件、管理联系人信息、安排日程等。2023年3月14日,乌克兰计算机应急响应小组(CERT-UA)向
33、微软上报的Outlook提权漏洞CVE-2023-23397相关信息被公布,据称该漏洞被APT28组织在2022年4月中旬和12月的攻击活动中使用。CVE-2023-23397是一个非常严重的漏洞,该漏洞允许攻击者远程获取受害者的身份验证凭据,而无需受害者做出任何操作。漏洞原理为未经身份验证的攻击者通过发送特制的电子邮件,导致受害者连接到攻击者控制的外部的UNC位置,造成受害者的Net-NTLMv2散列泄露给攻击者,后续攻击者可以将其中继到另一个服务并作为受害者进行身份验证,最终实现权限提升。根据报告该漏洞的在野利用至少从2022年3月开始,攻击者后期以Ubiquiti-EdgeRouter路
34、由器作为C2服务器,且攻击活动的受害者涉及多个国家。RecordedFuture在6月份警告说,APT28威胁组织很可能利用OUtlook漏洞攻击乌克兰的重要组织,10月份,法国网络安全局(ANSSI)又披露俄罗斯黑客利用该漏洞攻击了法国的政府实体、企业、大学、研究机构和智库。WindowsNetworkFileSystemif弋5WU诵同(CVE-2023-24941)NFS(NetworkFiIeSystem)是一种用于服务器和客户机之间文件访问和共享的通信协议,通过它,客户机可以远程访问存储设备上的数据。CVE-2023-24941是微软在2023年5月份补丁日修复的f立于Windows
35、网络文件系统中的远程代码执行漏洞。根据微软的描述,该漏洞可在NFSV4.1协议中触发。经过分析发现,该漏洞是由于NFS协议在处理服务器内存不足时的方式不当所致,当申请内存失败时,程序仍然执行了写入操作,攻击者可以通过精心构造的UtfSstrings数据包来触发该漏洞,从而导致三务器崩溃甚至执行任意代码的风险。ApplemacOSBigSur缴中区溢出满同(CVE-2023-32434)ApplemacOSBigSur是美国苹果(Apple)公司用于MAC操作系统macOS的第17个主要版本。ApplemacOSBigSUr存在输入验证错误漏洞,该漏洞源于存在整数溢出问题,应用程序可能能够使用内
36、核权限执行任意代码。2023年6月,俄罗斯政府首次曝光了大规模的iPhone后门活动,威胁攻击者利用三角测量攻击感染了大量俄罗斯外交使团和数千名使馆工作人员的iPhone.随后,卡巴斯基方面的研究人员对其进行深入分析发现,威胁攻击者在三角测量攻击中使用了多达四个零日漏洞,漏洞详情如下:CVE-2023-32434,CVSS评分:7.8分,内核中的整数溢出漏洞,恶意应用程序可利用该漏洞以内核权限执行任意代码;CVE-2023-32435,CVSS评分:8.8分,Webkit中的内存损坏漏洞,在处理特制的Web内容时可能导致任意代码执行;CVE-2023-38606,CVSS评分5.5分,Appl
37、ekernel安全特性绕过漏洞,攻击者使用恶意应用程序利用该漏洞能够修改敏感的内核状态,从而可能控制设备;CVE-2023-41990,CVSS评分7.8分,该漏洞是处理字体文件的过程中可能导致任意代码执行,是该漏洞利用链“初始入口点”。MicrosoftExchangeServer身份认证绕过漏洞(CVE-2023-38181)该滴同诙于MicrosoftExchangeServer中,个*WSi局同。谟CVE-2023-32031的补丁领,它本身是CVE-2023-21529的融,而CVE-2023-21529是CVE-2022-41082的领,CVE-2022-41082是在主动进攻。利
38、用该漏洞需要进行身份3佥证。攻击者可以利用此漏洞执行NTLM中继攻击,以其他用户的身份进行身份3岗正,获得与服务器的PowerSheII远程会话。3.4 攻击态势分析1 .移动终端操作系统漏洞零日漏洞比例持续上升移动设备如智能手机和!平板电脑等已经成为人们日常生活和工作的重要工具,这些设备的操作系统漏洞可能会导致用户的个人信息泄露、隐私泄露、甚至金融损失。在2023年9月,爆发了三个苹果漏洞,分别是CVE-2023-41992.CVE-2023-41991和CVE-2023-41993,这些漏洞被串联使用,形成了一个漏洞链,用于投放监视供应商Cytrox的间谍软件产品Predatoro在202
39、3年5月至9月期间,埃及议会前议员AhmedEltantawy成为了Predator间谍软件的目标,攻击者用此漏洞链盗取了大量敏感信息,造成了个人乃至于国家机密信息的泄露。2023年末,卡巴斯基安全研究人员BorisLarin发布了可能是iPhone史上复杂程度最高、影响最广泛的的间谍软件攻击之一的三角测量Triangulation的详细情况细节,包括四个翩:CVE-2023-32434,CVE-2023-32435,CVE-2023-38606,CVE-2023-41990,igi蠲合在一起形成了一个零点击漏洞链,威胁攻击者可以利用隆升自身权限、执行远程代码执行命令,甚至可以完全控制设备和用
40、户数据,导致无需任何用户交互即可执行代码,并从攻击者的服务器下载其他恶意软件。在四年时间里,威胁攻击者疯狂地袭击了iOS16.2之前的所有QS版本,不仅涉及到iPhone,还包括Mac、iPod、iPad、AppleTV和AppleWatch等。图92023年操作系统漏洞按系统分类占比2 .权限提升类漏洞数量持续占据操作系统漏洞高位权限提升类漏洞一直以来都是操作系统漏洞中的重要组成部分,并且持续占据高位。这类漏洞允许攻击者在系统中提升其权限级别,从而获得比其正常权限更高的系统访问权限。当攻击者成功利用权限提升漏洞时,可以执行一系列潜在危险的操作,如访问敏感数据、修改系统设置、安装恶意软件等。2
41、023年微软发布的补丁通告中,权限提升漏洞总数较多,且漏洞评分也相对较高,如CVE-2023-21768,CVE202329336等,攻击方式多种多样,包括内物是权、驱动提权、API提权等等,且在野利用中攻击者常利用权限提升漏洞来提升用户权限,从而盗取敏感信息或者执行其他未授权操作。网漏洞4.1 新增漏洞趋势路由器、防火墙、交换机等设备作为关键信息基础设施,其自身安全性已成为世界各国密切关注的重点。网络设备存在软硬件漏洞可能导致设备被攻击入侵,进而导致设备数据和用户信息泄露、设备螃、感染僵尸木马程序、被用作跳板攻击内网主机和其他信息基础设施等安全风险和问题。2023年新华三漏洞知识库共收录网络
42、设备类漏洞2299条,较2022年(2650条)下降13.2%,网络设备新增漏洞有所减缓,但问题仍然突出。对比2022箍口2023年每月网络设备类漏洞变化趋势如图10所示。图102022与2023年网络设备新增漏洞趋势4.2 漏洞分类随着各类新兴技术的发展,企业rr系统之间的相互连接使用了更多的网络设备,这为网络物理系统的安全带来了更多风险,使得企业暴露在攻击者眼中的攻击面大幅增加。据统计,2023年注入类漏洞占比最高,达到32.5%,较去年有显著增长。其次是缓冲区溢出、权限许可和访问控制问题,占比分别为28.4%和13.7%,如图11麻。注入32.5%缓冲区错误28.4%图112023年网络
43、设备漏洞类型占比目录遍历输入验证错误其他2.5%拒绝服务1-5%-4.4%敏感信息泄露_、4.7%5.0%跨站脚木_厂17.2%权限许可和访问控制问题13.7%4.3 重点漏洞回顾表32023年网络设备重点漏洞漏洞名称发布时间CVSSv3评分CiscoIOSXE系统WebUI未授权命令执彳谣洞(CVE-2023-20198)202300610.0F5BIG-IP远程代码执行漏洞(CVE-2023-46747)20230269.8CitrixNetScaIerADC&GateWayB息泄露漏洞(CVE-2023-4966)20231009.4NetgeaJDRRoUteJ命令;iiW(CVE-2
44、023-33533)2023/06/068.8FortinetFortiOSandFortiProxySSL-VPN缴中区溢出翩(CVE-2023-27997)20230639.8IvantiSentryMlCSLOgSerViCe认洞(CVE-2023-38035)2023/08/219.8梭子鱼邮件安全网关命令注入漏洞(CVE-2023-2868)2023/05/249.8SophosWebAppliance命令注入漏洞(CVE-2023-1671)2023/04/049.8JUmPSeer未授权访问漏洞(CVE-2023-42442)20230958.2经典漏洞盘点:梭子鱼邮件安全网关命
45、令注入漏洞(CVE-2023-2868)BarracudaEmailSecurityGateway是Barracuda公司的一种电子邮件安全网关,可管理和过滤所有入站和出站电子M件流量,以保护组织免受电子B件威腑啜据泄露。2023年5月23日,BarracudaNetworks披露了其电子邮件安全网关(ESG)设备中的一个零日漏洞(CVE-2023-2868)。调查显示,该远程命令:ii三i同早在2022年10月就已被利用。BarracudaEmailSecurityGateway5.1.3.001至I9.2.0.006版本存在安全漏洞,该漏洞源于用户提供的tar文件存在问题,攻击群U用该漏洞
46、可以远程执行系统命令。CitrixSystemsNetScaIerADC和NetScaIerGateway安全漏洞(CVE-2023-4966)2023年8月下旬,网络安全研究人员持续发现CVE-2023-4966漏洞在野被利用,根据攻击事件中成功利用CVE-2023-4966的结果,这个漏洞会导致NetScaIerADC和网关设备上的合法用户会话被接管,会话接管绕过了密码和多重身份验证。威胁攻击者使用特制的HTTPGET请求,迫使目标设备返回身份验证后和MFA检查后发布的有效NetscaIerAAA会话cookie等系统内存内容,在窃取这些验证cookie后,网络攻击者可以无需再次执行MFA验证,便可访问设备。更糟糕的是,研究人员发现疑似LockBit勒索软件组织正在利用其发起网络攻击攻击活动,通过越界窃取cookie等敏感信息,从而绕过身份验证,获取系统权限,然后植入勒索病毒进行勒索攻击。此漏洞是由于CitrixNetScaIerADC和NetScaIerGateway在处理OpenIDConnectDiscoveryendpoint时的缓冲区管理不当,导致攻击者可以通过发送包含大量字符的HTTPHost头的请求来触发缓冲区溢出,导致敏感信息泄露。攻击者可利用泄露的用户session,登陆进入内网,执行任意操作。CiscoI
