近日，綠盟科技發(fā)布了《2022年度安全事件觀察報(bào)告》（以下簡稱《報(bào)告》），深入整理與分析了2022年處理的安全事件，并結(jié)合國內(nèi)外重要安全事件，從安全事件的角度分析2022年的安全態(tài)勢(shì)。本篇為《報(bào)告》解讀系列的第一篇，將從探究2022年漏洞威脅的現(xiàn)狀及發(fā)展趨勢(shì)，為廣大企事業(yè)客戶、安全運(yùn)維人員等應(yīng)對(duì)漏洞威脅提供指導(dǎo)。

　　2022年新增漏洞26431個(gè)，同比2021年增加25.87%

　　根據(jù)NVD數(shù)據(jù)庫已收錄的公開發(fā)布漏洞數(shù)目進(jìn)行觀察，截至2022年底，2022年新增加的漏洞數(shù)量為26431個(gè)[1]，相比2021年增加了25.87%[2]。
　　根據(jù)告警監(jiān)測(cè)數(shù)據(jù)，盤點(diǎn)了與漏洞利用相關(guān)的攻擊事件，并篩選出了告警數(shù)量最高的10個(gè)漏洞，如表1.1所示。


　　從表中數(shù)據(jù)可以發(fā)現(xiàn)，具有10年以上的高齡漏洞仍然活躍，告警次數(shù)高達(dá)三十多萬。這說明企業(yè)內(nèi)部依然存在大量長期未更新的軟件和系統(tǒng)，如在隔離網(wǎng)絡(luò)中的操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫等。由于漏洞披露時(shí)間較長，對(duì)應(yīng)的漏洞利用也更為成熟，攻擊者一旦進(jìn)入內(nèi)網(wǎng)就可以利用這類漏洞發(fā)起有效攻擊。

　　Web服務(wù)器依舊是漏洞重災(zāi)區(qū)

　　綠盟科技威脅情報(bào)中心根據(jù)監(jiān)測(cè)數(shù)據(jù)統(tǒng)計(jì)了各類服務(wù)器在漏洞利用中的占比，如圖1.2所示。其中，Web服務(wù)器受到的攻擊最多，占比達(dá)70.81%。


　　漏洞挖掘者瞄準(zhǔn)Chrome瀏覽器

　　如圖1.3所示，2022年度GoogleChrome瀏覽器漏洞披露最多，共計(jì)303個(gè)，其累計(jì)漏洞總數(shù)達(dá)到3159個(gè)，例如CVE-2022-3318、CVE-2022-3314、CVE-2022-3311、CVE-2022-3309和CVE-2022-3307，這些漏洞均可導(dǎo)致內(nèi)存損壞。MozillaFirefox瀏覽器漏洞居第二，共出現(xiàn)117個(gè)漏洞；其次是MicrosoftEdge，共有漏洞103個(gè)，相比2021年全年新增了61%。綜上所述，Chrome瀏覽器成為了漏洞挖掘者主要目標(biāo)之一。


　　開源框架組件面臨重重危機(jī)

　　開源軟件中的安全漏洞為攻擊者提供了新的攻擊思路，拓展了攻擊面，并降低了攻擊難度。攻擊者通過開源軟件漏洞可引發(fā)軟件供應(yīng)鏈全過程的“鏈?zhǔn)椒磻?yīng)”，直接或間接關(guān)聯(lián)的系統(tǒng)均會(huì)受到影響，甚至可能會(huì)出現(xiàn)“網(wǎng)狀蔓延”態(tài)勢(shì)，攻擊影響可成倍甚至呈爆炸式增長。


　　OA系統(tǒng)漏洞管理機(jī)制亟待加強(qiáng)

　　OA系統(tǒng)融合了企業(yè)運(yùn)作及生產(chǎn)經(jīng)營，更甚至承載企業(yè)大量敏感信息，使得OA系統(tǒng)逐漸成為攻擊者重點(diǎn)關(guān)注對(duì)象。2022年披露的OA系統(tǒng)漏洞數(shù)量較2021年呈明顯上升趨勢(shì)，國內(nèi)多款OA系統(tǒng)被爆出高危漏洞，主要涉及遠(yuǎn)程代碼執(zhí)行、文件上傳及反序列化漏洞等。

　　目前國內(nèi)很多OA系統(tǒng)廠商還沒有健全的漏洞管理機(jī)制，缺乏正式的漏洞收錄渠道與征集獎(jiǎng)勵(lì)計(jì)劃，當(dāng)開發(fā)的產(chǎn)品被爆出安全漏洞時(shí)，往往無法及時(shí)進(jìn)行修復(fù)并對(duì)外發(fā)布安全風(fēng)險(xiǎn)通告，導(dǎo)致相關(guān)用戶很難有效檢測(cè)和防護(hù)。

　　同時(shí)，OA系統(tǒng)的使用方也因?yàn)樵谛枨笤O(shè)計(jì)和開發(fā)測(cè)試階段未引入安全開發(fā)生命周期（SDL），導(dǎo)致企業(yè)漏洞預(yù)防、檢測(cè)和修補(bǔ)的成本日漸增加。

　　AD和Exchange漏洞倍受攻擊者青睞

　　2022年1月，微軟Exchange驚現(xiàn)2022“新年蟲”，官方發(fā)布了緊急修復(fù)程序，該漏洞會(huì)破壞本地Exchange服務(wù)器上的電子郵件傳遞。2022年2月，勒索軟件Cub利用Exchange漏洞進(jìn)入企業(yè)網(wǎng)絡(luò)并對(duì)設(shè)備進(jìn)行加密。而在2022年5月更新中，微軟修復(fù)了AD的一個(gè)重要漏洞，即ActiveDirectory域服務(wù)權(quán)限提升漏洞（CVE-2022-26923），攻擊者可利用該漏洞在內(nèi)網(wǎng)進(jìn)行橫向移動(dòng)。

　　遠(yuǎn)程辦公類軟件漏洞關(guān)注度劇增

　　受疫情影響，人們對(duì)遠(yuǎn)程辦公、會(huì)議類軟件需求劇增，大量攻擊者將此類軟件作為攻擊跳板，通過軟件漏洞，攻擊者可繞過企業(yè)相關(guān)防護(hù)體系，直接進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。針對(duì)2022年重點(diǎn)漏洞如表1.3。

　　表1.32022年遠(yuǎn)程辦公及會(huì)議軟件重點(diǎn)漏洞

　　邊界設(shè)備成為網(wǎng)絡(luò)攻防“雙刃劍”

　　近幾年，隨著各行業(yè)對(duì)安全的日益重視，企業(yè)逐步增加了網(wǎng)邊界安全設(shè)備的規(guī)劃與部署，以進(jìn)一步提高安全防護(hù)能力。盡管安全設(shè)備可以抵御內(nèi)外部威脅，但其自身也是由代碼開發(fā)而成，不可避免的會(huì)產(chǎn)生漏洞，若邊界設(shè)備被攻擊者控制，可能為攻擊者打開通向內(nèi)網(wǎng)的大門，實(shí)現(xiàn)更深層次的滲透攻擊。