由中國信息安全測評中心牽頭編寫的《2022上半年網絡安全漏洞態勢觀察》報告(以下簡稱《報告》)于2022年9月正式發布。據了解,該報告參編單位包括中國信息產業商會信息安全產業分會、奇安信威脅情報中心、360漏洞研究院以及北京知道創宇信息技術股份有限公司。
報告全文共41頁,分三大主要板塊共計五個章節,其中第一個板塊共計三個章節,分別從漏洞的態勢、漏洞的現實威脅、漏洞的威脅變革方面對2022年上半年的整體漏洞態勢進行了系統性的分析和闡述,第二個板塊則針對漏洞防范以及如何做好安全保障提供了相關的對策和建議;最后一個板塊則是對報告期內的20余個明星漏洞及其危害性做了回顧。
超高危漏洞數量再增長
開源軟件漏洞致供應鏈安全風險凸顯
據國家信息安全漏洞庫(CNNVD)的統計數據,2022年上半年新增通用型漏洞信息共計12466 條,其中超危漏洞1927 個,占比16%;高危漏洞4639 個,占比37%;中危漏洞5478 個,占比44%;低危漏洞422 個,占比3%。
通過數據可以看出,新增的漏洞信息中,超高危以及高危漏洞的占比高達53%,無論是危害程度方面還是數量增長方面都令人產生擔憂,也令網絡安全形勢面臨極大挑戰。報告指出,一些容易被發現且利用難度不高的漏洞是值得關注的熱點。另外,由于美國在信息產業方面整體仍然處在領先位置,再加上擁有包括谷歌、微軟、甲骨文、Adobe等擁有眾多產品以及全球大量用戶的企業,因此在遭受漏洞影響方面較為嚴重。
圖片《2022上半年網絡安全漏洞態勢觀察》
報告援引CNNVD 的漏洞收錄數據,顯示2022年上半年的漏洞數量排名前10的品牌中有8個來自于美國,具體到產品方面,則涵蓋了操作系統、數據庫、應用、網絡設備、開源軟件等。報告表示,上述這些美國品牌旗下產品曝出大量漏洞,一方面反映出其產品本身的問題之外,還體現出這些品牌自身對于安全的重視程度較高,除了靠自身力量去發現并修復產品漏洞之外,還各自推出獎勵措施鼓勵外部人員參與漏洞分析工作,從而在一定程度上也提高了產品的安全性。
與此同時,漏洞對于軟件供應鏈安全造成的威脅也是值得重點關注的一點,基于新思科技針對2400余個代碼庫的審計數據顯示,高達97%的代碼中存在開源組件漏洞,而81%的代碼庫中包含至少一個已公開開源組件漏洞,49%的代碼庫中包含至少一個高風險漏洞。
由于軟件供應鏈攻擊本身具有低成本、高效率的特點,因此具有極強的擴散性和傳導性,與之相關的安全事件在近兩年來更是被頻繁爆出,除了軟件開發者自身損失之外,還會對其供應鏈下游的軟件客戶/用戶群體制造威脅,而隨著開源組件在軟件開發中的應用趨勢持續增長,存在于其中的漏洞也將會對軟件供應鏈安全帶來不小的挑戰。因此,我們認為企業在軟件供應鏈安全層面需要予以絕對的重視。同時,國內包括懸鏡安全、安全玻璃盒、默安科技等企業均推出了相關的安全解決方案,并且在應用落地方面都有著較為豐富的經驗,值得企業在進行相關安全建設時采用或借鑒。
除上述內容之外,報告還指出漏洞POC/Exploit信息的公開,也增加了漏洞被廣泛利用的風險,尤其是有效的Exploit信息,將漏洞利用實戰化的態勢進一步推高。同時,漏洞利用也仍然是APT組織發動攻擊的主要手段,尤其是在包括操作系統、終端軟件、網絡設備、Web應用等方面的漏洞,在野利用情況有增無減,而且大量漏洞攻擊工具被APT組織掌握和囤積,潛在風險極高。
圖/《2022上半年網絡安全漏洞態勢觀察》
開源組件及軟件漏洞波及范圍廣
協同辦公軟件漏洞危及企業運行
報告指出,2022年上半年,針對操作系統、開源組件、協同辦公軟件、云原生及虛擬化軟件、網絡設備、移動平臺等目標對象,均曝光了多個具有較大影響的“明星”漏洞,并在實際網絡攻擊中產生了較大現實威脅。
在操作系統方面,包括Windows、Linux以及服務器端Microsoft Exchange Server都有多個CVSS評分在7.8以上的漏洞出現,微軟共有8個,其中Windows系統有5個(3個評分為9.8分,2個評分為8.8分),Exchange Server有3個評分均為9.0的漏洞披露,相比之下,Linux則為2個(評分均為7.8分)。
在開源組件及軟件漏洞方面,報告特別指出Apache Struts2 開源框架及 Apache APISIX 開源組件所披露的安全漏洞。由于Apache Struts2 是全球最流行的輕量級WEB 框架之一,在互聯網上對外開放的服務數量達到近 500 萬個,因此無論是在影響的范圍廣度還是深度方面都較為嚴重,另外,Zabbix所曝出的代碼執行漏洞盡管利用難度較高,但由于Zabbix同樣具有應用廣泛的特點,因此也必須值得重點關注。
在協同辦公軟件方面,由于近年來疫情影響,此類軟件應用數量大幅提升,企業端需求增長迅猛,因此也成為攻擊者關注的重要目標之一。尤為重要的是,由于此類辦公軟件還承載著大量企業的內部信息,甚至包含重要信息、敏感信息,一旦發生泄露,還會造成更深層面的危害,影響到企業的正常運行乃至生存。在這方面,上半年中影響最為嚴重的是是微軟Windows 支持診斷工具MSDT (Microsoft Support Diagnostics Tool) 遠程代碼執行漏洞,以及Microsoft SharePoint Server 、Atlassian Confluence的多個遠程代碼執行漏洞,在國內軟件方面,報告也列舉了兩個應用廣泛的產品。
除此之外,報告還對邊界設備如路由器、交換機以及防火墻、IDS/IPS等網絡和安全相關設備的漏洞情況進行了闡述,并強調一旦這類產品因漏洞問題而被攻擊者攻破,將會令企業網絡的“大門失手”,后果不堪設想。與之情況類似的是移動終端漏洞,如被成功利用,終端設備中的個人隱私及數據安全問題也將會爆發,而且包括蘋果、安卓在內的主流移動操作系統在2022年上半年的漏洞情況都不容樂觀,均被曝出0day漏洞及在野利用情況。
高價值漏洞層出不窮
漏洞利用實戰化需高度警惕
報告指出,漏洞作為網絡空間的重要資源,攻防雙方對抗的關鍵核心,漏洞數量持續增長,其受到關注的程度也日益提高,漏洞及其管控措施已經成為網絡空間博弈的重要方面。
在高價值漏洞方面,由于邊界設備在網絡中的樞紐作用,決定了其漏洞在網絡攻防中愈發受到關注。根據統計發現,2021 年上半年主流網絡設備漏洞數量共計546 個,達到近三年的峰值,雖然2022 年上半 年數量有所下降,但也有近300 個之多。
圖/《2022上半年網絡安全漏洞態勢觀察》
此外,報告強調道,2022 年上半年漏洞在野利用的形勢十分嚴峻,在野利用漏洞的數量仍呈現整體上升趨勢,0day、Nday高可利用漏洞平分秋色,在現實網絡攻擊中被普遍使用。需要引起注意的是,一些影響范圍廣、危害程度高的“骨灰級”歷史漏洞仍然受到追捧,甚至在APT攻擊事件中頻繁現身。隨著攻防對抗加劇,導致整體對漏洞修復提出了更高的要求。雖然網絡安全建設水平不斷提升,防護能力也在不斷加強,但在阻止漏洞被成功利用方面,仍然體現出一定的不足,報告援引對方數據顯示,廠商實際漏洞修復質量不高,很大比例漏洞均是由于廠商沒有完全修補造成,漏洞修復從亡羊補牢變成牽蘿補屋,導致很大比例已修復漏洞再被利用。
結合上述內容,報告也對漏洞防范和相關安全建設提出了建議和分享,主要有以下幾個方面:
01 國家級網絡安全漏洞綜合運籌能力,加強漏洞管控統籌協調,提升漏洞資源共享共治水平。進一步強化制度要求、加強統籌協調,并通過平臺建設、機制建設及資源匯聚共享,加大漏洞檢測、防護、消控等工具研發,實現服務國家網絡安全保障的現實需求。
02 建設國家級漏洞感知與預警機制,提升漏洞發現與處置能力。在漏洞發現、漏洞情報采集以及漏洞追蹤監測以及漏洞快速處置及應用方面都要全面提升,
03 積極推進 ICT 供應鏈安全治理,完善符合我國情的開源生態。 在法律法規及標準規范的制定方面,要與我國的整體現狀相結合,并配套制定行程體系化的ICT供應鏈安全標準;在法風險管控方面,監管部門應盡快指導建立關鍵基礎設施的 ICT 供應鏈 臺賬,理清家底,查擺問題,預判風險;在技術層面,要積極利用技術手段開展 ICT 供應鏈安全檢測,對軟件成分、來源及安全漏洞進行準備分析和定位,一方面提前預判風險,另一方面在威脅來臨時能夠快速處置。
更多信息可以來這里獲取==>>電子技術應用-AET<<
