官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
一、引言
新华三安全攻防实验室持续关注国内外网络安全漏洞和态势,协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布《2023年网络安全漏洞态势报告》。报告开篇概述了2023年漏洞和攻击的总体趋势,正文从Web应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析2023年网络安全领域新增漏洞情况以及演变趋势,希望为各行业网络安全建设者提供参考和帮助。
二、概述
漏洞增长趋势
2023年新华三安全攻防实验室漏洞知识库收录的漏洞总数为29039条,比2022年(24892条)增长16.6%,为历史之最。其中超危漏洞4298条,高危漏洞10741条。
超危与高危漏洞占比51.8%,如图所示,高危以上漏洞比2022年增长7.1%。自2017年以来,公开漏洞数量一直在稳步增加,每年增加数量超过10%。
总体攻击态势
安全漏洞数量持续增长成为了各行各业不可忽视的挑战,尤其是在工业、金融、交通、国防、医疗和信息技术等领域,安全漏洞的爆发和利用对社会、企业和个人造成了巨大的安全风险。同时,生成式人工智能等一批新技术在带来巨大机遇的同时,也意味着其在安全性上会产生更多挑战。2023年,针对各个领域网络资产的攻击进一步加剧。
按照影响对象进行统计:
将2023年漏洞按照影响对象进行统计,Web应用类漏洞占比仍然为第一位,占比40.3%,其次是应用软件、操作系统漏洞,分别占比29.3%、9.1%。应用软件漏洞数量比去年增长60.8%,增幅较大;智能终端(IoT设备)漏洞数量比去年增长64.4%,操作系统、网络设备、云计算、数据库漏洞相比去年漏洞数量有所回落。漏洞数量是危险的一方面,在已披露的漏洞中,有超过7000个漏洞具有“概念验证利用代码”,超过100个漏洞已经被黑客“广泛利用”。
按照攻击分类进行统计:
排名前三的漏洞为跨站脚本、权限许可和访问控制、缓冲区错误,分别占比17.0%,13.4%和11.2%。权限许可和访问控制占比较2022年有大幅提升,权限许可和访问控制漏洞是由于权限限制不正确,或者访问控制设置错误,导致远程攻击者可以绕过身份验证因素或者访问控制设置,达到获取敏感信息,读写任意文件或者权限提升的目的。注入类漏洞,如代码注入、SQL注入、命令注入共占比18.7%,仍然是最突出的漏洞类型。
三、Web应用漏洞
针对Web应用的攻击依然是互联网的主要威胁来源之一,更多的流量入口和更易调用的方式在提高应用开发效率的同时,也带来了更复杂的安全问题。2023年新华三漏洞知识库收录Web应用漏洞11739条,较2022年(10488条)增长11.9%。
黑客普遍会利用Web应用漏洞对网络进行渗透,以达到控制服务器、进入内网、获取大量有价值信息的目的。可以看出2023年Web应用漏洞主要集中在跨站脚本、注入、跨站请求伪造三种类型,占据全部漏洞类型的69%。跨站脚本与注入是Web应用最常见的漏洞,利用跨站脚本漏洞,黑客可以对受害用户进行Cookie窃取、会话劫持、钓鱼欺骗等各种攻击;利用注入漏洞,黑客可能窃取、更改、删除用户数据,或者执行系统命令等,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。跨站请求伪造相比2023年增幅较大,跨站请求伪造是一种通过挟制当前用户已登录的Web应用程序从而实现非用户本意的操作的攻击方法,比如发邮件、发消息、改密码、购买商品、银行转账等,相对于跨站脚本攻击来说跨站请求伪造危害更严重。
攻击态势分析:
1、高危漏洞传播和利用间隔缩短
2、办公管理类系统仍是核心风险区域
四、操作系统漏洞
操作系统是构成网络信息系统的核心关键组件,其安全可靠程度决定了计算机系统的安全性和可靠性。操作系统作为传统的攻击目标,其漏洞占据着重要位置。2023年新华三漏洞知识库收录的操作系统漏洞总数为2511条,较2022年总数(2607条)稍有下降。
操作系统是应用软件和服务运行的公共平台,其安全漏洞是网络安全的主要隐患和风险。对于操作系统,黑客最关注的是获得较高控制权限,进而为实施更深层次的网络渗透提供更大的便利和可能。2023年操作系统权限许可和访问控制问题突出,占比22.2%,是排名第一的漏洞,同时缓冲区溢出、代码注入、敏感信息泄露等漏洞也是操作系统较为突出的问题。
攻击态势分析:
1、移动终端操作系统漏洞零日漏洞比例持续上升;
2、权限提升类漏洞数量持续占据操作系统漏洞高位。
五、网络设备漏洞
路由器、防火墙、交换机等设备作为关键信息基础设施,其自身安全性已成为世界各国密切关注的重点。网络设备存在软硬件漏洞可能导致设备被攻击入侵,进而导致设备数据和用户信息泄露、设备被控、感染僵尸木马程序、被用作跳板攻击内网主机和其他信息基础设施等安全风险和问题。2023年新华三漏洞知识库共收录网络设备类漏洞2299条,较2022年(2650条)下降13.2%,网络设备新增漏洞有所减缓,但问题仍然突出。
随着各类新兴技术的发展,企业IT系统之间的相互连接使用了更多的网络设备,这为网络物理系统的安全带来了更多风险,使得企业暴露在攻击者眼中的攻击面大幅增加。据统计,2023年注入类漏洞占比最高,达到32.5%,较去年有显著增长。其次是缓冲区溢出、权限许可和访问控制问题,占比分别为28.4%和13.7%。
攻击态势分析:
1、勒索组织利用网络设备漏洞开展大量勒索行动;
2、物联网设备遭受的攻击急剧增加。
六、数据库漏洞
随着云技术、数字化转型的蓬勃发展,数据库被企事业单位广泛使用到私有云、公有云、行业云等开放、半开放场景中。本地的数据库也逐渐跟随业务从幕后走向前台,从内网走向外网,从实体走向虚拟(云)。正因如此,数据库处于新的环境之中,给黑客带来了更多可以入侵的机会。2023年新华三漏洞知识库收录数据库漏洞总数298条,相比2022年(337条)下降11.5%。
MySQL数据库作为传统的关系型数据库,由于代码开源、版本众多,2023年漏洞数量仍然位居第一,占据总漏洞的32.4%,但相比去年减少。IBM DB2 2023年暴露漏洞较多,占比14.3%,排名第二。
从漏洞类型分布上来看,主要集中在权限许可和访问控制问题、代码注入、拒绝服务三种类型,占据全部漏洞类型的67.7%,如图15所示。权限许可和访问控制问题漏洞相比2023年增幅较大,对于数据库,其最主要风险为权限控制与配置问题。当黑客入侵数据库或内部员工滥用权限时,敏感数据可能会被窃取或泄露。这可能导致个人隐私泄露、财务损失以及声誉受损。
攻击态势分析:
1、主流数据库依然是漏洞攻击的高发区;
2、数据库攻击态势呈现出更高的复杂性和针对性。
七、工控系统漏洞
在数字中国、中国制造2025等战略的不断推进,和物联网、云计算、大数据、5G等新一代信息技术的融合发展下,工业生产网络逐渐与办公网、互联网以及第三方网络进行互联互通,使得原本封闭可信的工业生产环境被打破,面临病毒、木马、黑客、敌对势力等威胁。针对工业控制系统的各种网络攻击事件逐步升级,尤其在电力、燃气、化工、石油、铁路、新能源等相关领域的关键网络一直都是全球攻击者的重要目标。2023年新华三漏洞知识库收录的工控漏洞总数为699条,总数比2022年(663条)上升5.4%。
工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。工业设备的高危漏洞、后门、病毒、高级持续性威胁以及无线技术应用带来的风险,给工业控制系统的安全防护带来巨大挑战。根据统计,2023年缓冲区溢出、权限许可和访问控制问题、注入等是工控系统最为突出的问题。
漏洞攻击态势:
1、政治因素仍为工控安全攻击主要原因;
2、工控网络风险因为暴露面增加持续上升。
八、云计算平台漏洞
在当今快速发展的数字化时代,云计算技术已成为企业现代化IT架构的关键组成部分。然而,随着其普及和应用,安全问题也愈发引人关注。2023年,云计算安全领域取得了重大突破,通过一系列安全管控手段,有效降低了高危漏洞和数据泄露的风险。2023年新华三漏洞知识库收录云计算平台漏洞888条,比2022年(总数1353条)下降34.3%。
在云计算环境中,安全风险主要来自于以下几个方面:数据泄露、系统崩溃、服务中断、未经授权的访问等。数据泄露可能发生在数据的传输、存储和处理过程中,若被恶意利用,将导致严重的法律和财务风险。系统崩溃和服务中断则会影响云计算服务的可用性,对用户体验和业务连续性造成严重影响。根据2023年数据统计,云计算漏洞类型主要分布在权限许可和访问控制问题、注入、敏感信息泄露、拒绝服务,这几种类型总共占比65.9%
攻击态势分析:
1、云服务遭受攻击导致的瘫痪事件增多;
2、云计算N-Day漏洞被勒索组织大肆利用。
九、总结与建议
2023年,网络空间对抗趋势更加突出,新技术的发展为犯罪分子提供新的攻击载体,网络攻击成本不断降低,攻击方式更加多样,各犯罪领域之间呈现出相互融合、相互支撑的发展态势。网络攻击事件持续影响网络空间安全、社会安全,甚至国家安全。在此形势下,各国对网络空间安全越来越重视,关基保护、数据安全、平台治理以及相关技术规范逐步实行。
面对日益增长的网络空间安全威胁,新华三始终秉承“主动安全”理念,持续引入新兴技术研究成果,加强威胁漏洞情报积累,形成更加及时、精准有效、覆盖全面的网络空间安全态势感知体系,提升网络安全防护水平。
完整报告下载链接:
- 0 文章数
- 0 关注者