2022上半年漏洞威胁分析报告

admin 2022年9月14日15:39:52安全新闻评论12 views3773字阅读12分34秒阅读模式
2022上半年漏洞威胁分析报告

前言

回顾 2022 上半年,国际形势严峻,网络攻击事件频发。一方面,受 2021 年底的 Apache Log4j 重大漏洞影响, Log4j 系列漏洞在网络攻击中频繁被使用;另一方面,在国际形势的影响下,网络攻击较往年更为频繁。本报告从漏洞披露漏洞攻击两个角度来分析 2022 上半年的漏洞态势,得出如下结论:开源软件的安全性逐渐引起重视Nday漏洞利用形势严峻,侧面反映出人员的安全意识不足企业、政府、教育类行业更易遭受到攻击

信息安全漏洞基本情况

2022上半年漏洞威胁分析报告

漏洞总体情况

截止 2022 年 6 月底,NVD 漏洞库收录 2022 年的漏洞信息共 12347 条,相较于去年同期的 9432 条有了大幅提升。NVD 漏洞库历年数据统计如图1所示,可以看出漏洞数量整体呈增长趋势, 2017 年出现了爆发式增长,此后每年数量一直呈现上升趋势。


2022上半年漏洞威胁分析报告

图1  NVD漏洞库 2001 年-2022 上半年漏洞数量统计

2022上半年漏洞威胁分析报告

漏洞危害等级

根据 CVSS 2.0 评分标准,将漏洞危害等级划分为低危、中危、高危三种,其反映了漏洞利用的难易程度及影响程度。NVD 漏洞库历年漏洞危害等级占比情况如图 2 所示,可以看出高危漏洞的占比整体呈现下降趋势,中危漏洞占比呈现上升趋势,低危漏洞占比变化不大。

2022上半年漏洞威胁分析报告

图2  NVD漏洞库2001年-2022上半年漏洞危害等级占比情况

漏洞类型分布情况

根据威胁类型,将漏洞分为不同漏洞类型, NVD漏洞库历年漏洞类型占比如图 3 所示,可以看出,XSS 攻击和缓冲区错误两类漏洞一直都占有很高的比例,这表明他们通常比较容易发现和利用,在日常防护中要加强此类漏洞的防护。

2022上半年漏洞威胁分析报告

图3  NVD漏洞库2010年-2022上半年漏洞类型占比情况

2022上半年漏洞威胁分析报告

漏洞影响厂商

根据漏洞影响厂商进行分类, NVD 漏洞库中近三年的漏洞数据,影响厂商情况如图4所示,其中漏洞数量较高的厂商有:Microsoft、Google、Apple、Oracle、Adobe、Linux 等。Microsoft、Apple、Oracle 等因其会固定时间发布安全补丁,所以其漏洞的数量较多。此外,由于开源软件越来越多地被使用,其漏洞数量也在逐年增高,如Linux、IBM、Apache 等。

2022上半年漏洞威胁分析报告

图4  NVD漏洞库近三年漏洞影响厂商分布情况

漏洞攻击情况

2022上半年漏洞威胁分析报告

漏洞利用情况

根据 Palo Alto 的 Unit42 最新发布的《2022年事件响应报告》, 2022 年上半年被利用最多的漏洞是“ProxyShell” 利用链,占记录的漏洞利用事件总数的55%。ProxyShell是一种组合利用三个漏洞(CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207) 的攻击。Log4Shell 紧随其后,占 14%,如图5所示。这一数据与美国 CISA 发布的 2021 年最常被利用的漏洞高度重合,如表1所示。这说明陈旧漏洞一直在被重复利用,因为其利用的复杂度低、影响高,但根本原因是用户没有及时更新补丁,导致攻击者有机可乘。

2022上半年漏洞威胁分析报告

图5  2022上半年漏洞利用情况


厂商

CVE编号

漏洞类型

Apache

CVE-2021-44228

远程代码执行

Zoho

CVE-2021-40539

远程代码执行

Microsoft

CVE-2021-34523

权限提升

Microsoft

CVE-2021-34473

远程代码执行

Microsoft

CVE-2021-31207

安全功能绕过

Microsoft

CVE-2021-27065

远程代码执行

Microsoft

CVE-2021-26858

远程代码执行

Microsoft

CVE-2021-26857

远程代码执行

Microsoft

CVE-2021-26855

远程代码执行

Atlassian

CVE-2021-26084

任意代码执行

VMware

CVE-2021-21972

远程代码执行

Microsoft

CVE-2020-1472

权限提升

Microsoft

CVE-2020-0688

远程代码执行

Pulse

CVE-2019-11510

任意文件读取

Fortinet

CVE-2018-13379

目录遍历

表1  2021年最常被利用漏洞情况

2022上半年漏洞威胁分析报告

漏洞攻击行业分布

根据深信服云端监测的漏洞规则拦截数据,按照行业划分,其中常被漏洞攻击的行业是企业,占比48.85%,其次是政府、教育,分别占比 18.38% 和13.11% ,如图6所示。 

2022上半年漏洞威胁分析报告

图6  2022上半年漏洞攻击行业分布情况

2022上半年漏洞威胁分析报告

漏洞攻击省份分布

根据深信服云端监测的漏洞规则拦截数据,按照漏洞攻击省份划分,其中被攻击次数最多的省份是北京市,达到了两亿余次,其次是广东省、内蒙古自治区,数量都超过了一亿次,如下图所示。 

2022上半年漏洞威胁分析报告

图7  2022上半年漏洞攻击地域分布情况

漏洞态势总结

2022上半年漏洞威胁分析报告

开源软件安全引起重视

自去年的 Apache Log4j 漏洞后,开源软件安全引起行业内极高的重视。从近三年的 NVD 漏洞库中影响的厂商产品数量变化可以看出,开源软件的漏洞每年都在增长,如:Linux 从 2020 年的 242 个到 2021 年的 427 个再到今年上半年的 301 个,Apache 从 2020 年的 164 个到 2021 年的 199 个再到今年上半年的 127 个。因为开源软件的非商业性,开发人员的安全意识不高,也没有多余预算对其进行安全性测试,且攻击成功后的影响范围更广,导致黑客攻击的目标逐渐转移至开源软件,开源软件的安全也引起更多的重视。

2022上半年漏洞威胁分析报告

Nday漏洞利用形势严峻,安全意识亟需提高

对比 2021 年和 2022 上半年最常被利用的漏洞,发现其具有高度重合性。2022 上半年被利用的漏洞中,绝大部分是 2021 年披露的,有一部分甚至更早。这些漏洞仍然能被攻击者利用发起攻击,说明安全意识不足,没有及时修补漏洞,导致 Nday 漏洞依然是黑客手中的利器。一旦 Nday 漏洞没有及时被修复,那么将会成为大规模杀伤性武器。因此,提升人员的安全意识、及时修补漏洞变得尤为重要和紧迫。

2022上半年漏洞威胁分析报告

企业、政府、教育类行业更易遭受到攻击

今年上半年,在深信服云端监测到的漏洞攻击中,针对企业的攻击占 48.85%,针对政府的攻击占 18.38%,针对教育的攻击占 13.11%。勒索组织通常会向企业发起攻击,以获取更高的赎金,APT 组织会向政府、教育行业发起攻击,获取机密且有价值的信息,而这两类攻击在初始阶段通常会选择利用漏洞来打开缺口。也因此,企业、政府、教育类行业一直是网络攻击的重灾区,做好这方面的防护已经刻不容缓。


附录--2022上半年重大安全漏洞事件

1. Spring框架存在远程命令执行漏洞(CVE-2022-22963)


Spring Cloud Function 是美国 Pivotal 公司的 Spring 团队的一个子项目,该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件。


该漏洞是由于 Spring Cloud Function 未对 HTTP 请求头部数据进行有效的验证,攻击者可利用该漏洞构造恶意数据进行远程代码执行,最终控制目标服务器。


影响范围:3.0.0≤Spring Cloud Function≤3.2.2


2. F5 BIG-IP iControl REST身份验证绕过漏洞(CVE-2022-1388)


F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。


该漏洞是由于 iControl REST 的身份验证功能存在缺陷,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行身份验证绕过攻击,最终接管设备控制平台。


影响范围:16.1.0 ≤ F5 BIG-IP ≤ 16.1.2

15.1.0 ≤ F5 BIG-IP ≤ 15.1.5

14.1.0 ≤ F5 BIG-IP ≤ 14.1.4

13.1.0 ≤ F5 BIG-IP ≤ 13.1.4

12.1.0 ≤ F5 BIG-IP ≤ 12.1.6

11.6.1 ≤ F5 BIG-IP ≤ 11.6.5


近一周攻击活跃趋势:

2022上半年漏洞威胁分析报告

3. Atlassian Confluence Server and Data Center远程代码执行漏洞(CVE-2022-26134)


Atlassian Confluence Server and Data Center是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。该软件可实现团队成员之间的协作和知识共享。


该漏洞是由于数据处理不当,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 OGNL 表达式注入攻击,最终导致远程代码执行。


影响范围:Atlassian Confluence Server and Data Center < 7.4.17

7.5.0  ≤ Atlassian Confluence Server and Data Center < 7.13.7

7.14.0 ≤ Atlassian Confluence Server and Data Center < 7.14.3

7.15.0 ≤ Atlassian Confluence Server and Data Center < 7.15.2

7.16.0 ≤ Atlassian Confluence Server and Data Center < 7.16.4

7.17.0 ≤ Atlassian Confluence Server and Data Center < 7.17.4

7.18.0 ≤ Atlassian Confluence Server and Data Center < 7.18.1


2022上半年漏洞威胁分析报告
2022上半年漏洞威胁分析报告

点击“阅读原文”下载完整版报告

原文始发于微信公众号(深信服千里目安全实验室):2022上半年漏洞威胁分析报告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月14日15:39:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  2022上半年漏洞威胁分析报告 http://cn-sec.com/archives/1295409.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: