奇安信 2020年漏洞态势观察报告

 奇安信 CERT监测到互联网中的网络安全漏洞信息整体呈爆发增长趋势，其中微软、 Oracle、 Google等软件巨头的安全漏洞在全年的占比依然较大。在APT方向攻击者选用的漏洞目标逐渐从 Windows 下的原生浏览器，向 Chrome、Firefox等用户量更大的浏览器转移。  奇安信 CERT致力于向客户提供监测全面、响应迅速、认定客观、建议可行的漏洞情报。  受地缘政治局势影响，网络设备相关漏洞增幅较大，攻击组织更喜欢使用利用门槛低、危害大的网络设备漏洞作为攻击突破口。  漏洞细节一旦在网络上公开，漏洞将极大可能由理论威胁上升为实际威胁，如 Citrix ADC 和Citrix Gateway 远程代码执行漏洞，从漏洞公告发出到成熟完整的具有实际威胁的 EXP 出现仅用了 5天时间，甚至快于官方补丁修补的时间。 F5 BIG -IP TMUI 远程代码执行漏洞更是直接监测到了漏洞利用代码。对重要漏洞进行长期的持续监测是规避安全风险的有效方法。奇安信 CERT 已经建立起有效的漏洞持续监测与响应机制，可及时全面的响应全网重要高危漏洞。  面向资产、配置、漏洞、补丁的系统安全工作可提高企业漏洞修复的确定性，实现及时、准确、可持续的系统安全保护。  随着互联网的发展和 5G 网络的建设，当前进入了海量数据处理时代。漏洞的处理从人工转向自动化成为必然趋势。传统 “条文式”漏洞修补和防护的管理模式，已经无法适应数字化转型深入的要求，安全能力体系及安全运行体系的升级，需要更加先进的漏洞情报体系进行支撑。奇安信 CERT将漏洞处理流程化、系统化，通过大数据处理和人工智能的方式将海量信息进行过滤、去重、匹配、筛选，达到人工可处理的数量级。大大提升了漏洞处理的效率和准确性。  在5G通讯技术、相关安全研究技术及逆向工程工具（ Ghidra、IDA Pro等）快速发展以及缺乏常见的安全防护等因素的共同作用下， IoT漏洞数量持续上升。 2020，注定是不平常的一年，受国内外疫情影响，很长一段时间内工厂停工、停产，学校停课、停学，企业办公也受到了不同程度的影响。平静的湖面下暗潮汹涌， 2020年以漏洞挖掘和漏洞利用为核心的网络攻击，在无数的地方不断发生着。纵观全年，业界共提交了 CVE漏洞 1万3千余个，较 2019年17304个增长趋势有所放缓。国家信息安全漏洞共享平台 CNVD收录的漏洞仍在不断突破新的记录， 2020年 CNVD收录的漏洞总数较 2019年同比增长 24.23%。面对如此庞大的漏洞数量，奇安信监测与响应中心（奇安信 CERT）建立了适合自己的漏洞情报方法论，从漏洞监测、漏洞评价、漏洞处置以及漏洞情报输出四方面进行全方位的整理，以客户优先的原则向客户输出优质的漏洞情报。在2020年度，奇安信 CERT作为安全研究团队向 WebLogic 、Jackson等安全厂商共提交了十余个研究发现漏洞，并对全年度的热点漏洞进行了深入研究，以创新优先的原则向公众输出我们的研究成果。道阻且长，行则将至。对于安全而言，没有一劳永逸的解决方案，攻防交替的博弈中，率先掌握漏洞情报的一方，往往更加容易占据优势地位。由此，奇安信安全监测与响应中心（奇安信 CERT）、奇安信红雨滴高级威胁研究团队（天眼实验室）、奇安信技术研究院联合发布《 2020年度漏洞态势观察报告》，从漏洞视角出发，梳理全年漏洞数据、分享漏洞研究成果、总结漏洞监测与响应方法论，并以此展望安全漏洞发展趋势。旨在为各企事业单位持续提供精准漏洞情报、为各行业安全能力建设提供参考。奇安信安全监测与响应中心奇安信应急响应部（奇安信 CERT）成立于 2016年，隶属于奇安信旗下的安全监测与响应中心，旨在第一时间为客户提供漏洞或网络安全事件安全风险通告、响应处置建议、相关技术和奇安信相关产品的解决方案。早在 Oracle 2020 年第二季度关键补丁更新公告中，就被评为了“在线状态安全性贡献者 ”。并且多次率先提供 WebLogic 、Jackson等重大安全问题的风险通告及可行的处置措施并获得官方致谢。同时奇安信 CERT在Web漏洞研究、二进制漏洞研究、前瞻性攻防工具预研等方面均积累了丰富的经验。欢迎大家关注公众号【奇安信 CERT】了解更多有趣信息。奇安信威胁情报中心奇安信旗下的高级威胁研究团队红雨滴（天眼实验室） ,成立于 2015年，持续运营奇安信威胁情报中心至今，专注于 APT攻击类高级威胁的研究，是国内首个发布并命名 “海莲花”（APT- C-00，OceanLotus ）APT攻击团伙的安全研究团队，也是当前奇安信威胁情报中心的主力威胁分析技术支持团队。目前，红雨滴团队拥有数十人的专业分析师和相应的数据运营和平台开发人员，覆盖威胁情报运营的各个环节：公开情报收集、自有数据处理、恶意代码分析、网络流量解析、线索发现挖掘拓展、追踪溯源，实现安全事件分析的全流程运营。奇安信技术研究院奇安信技术研究院是专注于网络空间安全相关技术的研究机构，聚焦网络空间安全领域基础性或前沿性的研究课题，结合国家和社会的实际需求，开展创新性和实践性的技术研究。研究院在互联网基础设施领域，软件基础分析方法和漏洞挖掘技术有多年的研究基础，并建立了互联网基础数据安全平台、威胁分析系统、软件行为分析系统、软件空间安全测绘系统和物联网安全分析平台。年度漏洞处置情况 2020年奇安信 CERT共监测到漏洞信息183692条2，经过 NOX安全监测平台筛选后，其中 750条漏洞信息达到奇安信 CERT的处置标准并进行初步研判，并对较为重要的 661条漏洞信息进行深入研判。相比于 2019年，2020年新增了 30252条漏洞信息，研判后的漏洞环比增长 153.4%，深入研判的漏洞环比增长 123.3%。每月的漏洞信息数量增长曲线如图 1-1所示，微软和 Oracle同时发布补丁通告的月份（一月、四月、七月、十月）漏洞数量会明显增多，软件巨头的补丁发布仍然主导着漏洞趋势。 2020年上半年由于受新冠疫情的影响整体漏洞量较少，下半年疫情逐步平稳后漏洞数量逐步增加。图 1-1 每月漏洞新增奇安信 CERT结合 CVSS评价标准以及漏洞产生的实际影响将漏洞定级分为高、中、低危三种等级，用来评价漏洞不同的影响程度。 2020年奇安信 CERT初步研判的 750条漏洞信息 1 奇安信 CERT将互联网上包含漏洞相关内容的信息统称为漏洞信息。 2 报告中的数据为奇安信 CERT监测数据，时间截止到 2020年12月24日。中，各个等级按数量分布如图 1-2所示。图1-2 漏洞危害占比其中低危漏洞占比 24%，此类漏洞利用较为复杂或对可用性、机密性、完整性造成的影响较低；中危漏洞占比 31%，此类漏洞产生的影响介于高危漏洞与低危漏洞之间，可能需要一些复杂的配置或对漏洞成功利用的要求较高；高危漏洞占比 45%，此类漏洞极大可能造成较严重的影响或攻击成本较低。对于进行初步研判的 750条漏洞信息的漏洞类型奇安信 CERT对其进行了分类总结，如图 1-3所示，其中占比最高的五种类型分别为：代码执行漏洞、拒绝服务漏洞、权限提升漏洞、信息泄露漏洞、安全特性绕过漏洞。图 1-3 漏洞类型占比年度热门漏洞奇安信 CERT持续关注每个漏洞的全网讨论情况，对于讨论次数较多的漏洞我们会特别关注并给予热度值。 2020年度总舆论热度值排行榜 TOP20漏洞如表 1-1所示，表1-1 总舆论热度值排行榜漏洞编号热度漏洞名称影响组件 CVSS CVE -2019 -19781 1084 Citrix ADC 和 Citrix Gateway 远程代码执行漏洞 Citrix ADC 和Citrix Gateway 9.8 CVE -2020 -0796 985 Microsoft SMBv3 远程代码执行漏洞 SMBv3 10.0 CVE -2020 -0601 952 Microsoft Windows CryptoAPI 欺骗漏洞 Windows CryptoAPI 8.1 CVE -2020 -1472 664 Microsoft NetLogon 特权提升漏洞 NetLogon 10.0 CVE -2020 -5902 595 F5 BIG -IP 远程 F5 BIG -IP 9.8 16771010111112131418262737577886310 020406080100120140160180200220240260280300320340其他中间人攻击内存泄漏服务端请求伪造SQl注入内存损坏XML外部实体注入文件上传目录遍历跨站脚本漏洞身份认证绕过命令执行错误的访问控制安全特性绕过信息泄漏权限提升拒绝服务代码执行漏洞类型占比代码执行漏洞 CVE -2020 -116