摘 要 2022 年上半年，网络安全漏洞形势依旧严峻，高危漏洞 数量不断增长，漏洞利用渐趋隐蔽，融合叠加风险攀升，在 野漏洞利用成为重大网络安全热点事件的风险点以及国家 级 APT 活动的新手段。美欧国家从漏洞发现收集、 修复消控、 协同披露、出口管制等层面加大管控力度。 《2022 上半年网络安全漏洞态势观察》报告围绕漏洞数 量变化趋势、漏洞危害、漏洞利用、漏洞管控等内容，把握 总体形势，分析关键漏洞现实威胁，并在漏洞管控与综合治 理、感知与预警、供应链安全与开源治理等方面提出对策建 议。报告主要观点如下： 1、在漏洞数量方面，漏洞增长创新高，网络安全威胁持 续加剧。漏洞总量环比增长达到 12%；危害程度较大漏洞仍 然是热点，超高危漏洞占比超过 50%；微软、谷歌等美企大 厂产品漏洞多发，持续成为安全研究焦点；开源软件漏洞频 发，软件供应链安全风险凸显。 2、在漏洞利用方面，漏洞在野利用形势严峻，漏洞实战 化趋势明显。漏洞 POC/Exploit 公开广泛传播，为漏洞实战 化提供便利；在野漏洞利用不断增多，APT 组织漏洞利用异 常活跃；在野利用漏洞私有化、漏洞工具囤积严重。 3、在漏洞现实威胁方面，高价值漏洞“寄生”于多类目 标，现实危害严重，影响持久。边界设备、操作系统、服务 器软件、开源组件、协同办公软件、云原生、移动终端等目 标对象漏洞在攻击活动中频繁现身；攻击者通过漏洞攻破网 络“大门” 、横向移动传播、获取控制权、破坏或窃取数据形 成完整网络攻击组合拳；漏洞修复不完善引发“次生灾害” ， 历史漏洞重复利用或修复后再被突破，对漏洞治理提出更高 要求。 4、在管控政策方面，漏洞披露与保留博弈深化。美欧根 据形势不断制定或修订政策法规，加强漏洞资源管控；漏洞 披露、共享在国家、企业间的“圈子化”趋势明显，漏洞战 略地位凸显。 5、在对策建议方面，多措并举加强漏洞安全防范与保障 成为当务之急。一是进一步强化国家级网络安全漏洞综合治 理能力，加强漏洞管控统筹协调，提升漏洞资源共享共治水 平。二是建设国家级漏洞感知与预警机制，提升漏洞发现与 处置能力。三是积极推进 ICT 供应链安全治理，完善符合我 国情的开源生态。 致 谢 感谢以下人员为本报告编制付出的辛勤劳动。 指导专家（按姓氏笔画排序，排名不分先后） 朱钱杭（启明星辰 Adlab） 张 超（清华大学） 张云海（绿盟科技天机实验室） 汪列军（奇安信威胁情报中心） 郑文彬（北京赛博昆仑科技有限公司） 龚 广（360 漏洞研究院） 隋 刚（知道创宇 404 实验室） 参编单位 中国信息产业商会信息安全产业分会 奇安信 威胁情报中心 360 漏洞研究院 北京知道创宇信息技术股份有限公司 ■版权声明 本报告版权属于中国信息安全测评中心、中国信息产业商会信息安全产业分会， 并受法律保护。转载、摘编或利用其它方式使用本报告中的文字、图片或观点的， 应注明来源，违者将被追究法律责任。 目 录 一、聚米为山——从统计数据看漏洞态势 .............................. 1 （一）超高危漏洞数量持续攀升，利用难度低危害大的漏洞仍是热点 ..... 1 （二）美企大厂产品漏洞多发，持续成为安全研究焦点 ................. 2 （三）供应链安全风险凸显，开源软件漏洞“风头正劲” ............... 3 （四）漏洞 POC/Exploit 信息增加，漏洞利用实战化态势明显 ........... 5 （五）在野漏洞利用不断增多，APT 组织囤积漏洞工具蓄势待发 ......... 5 二、见微知著——从“明星”漏洞看现实威胁 .......................... 9 （一）操作系统及服务端漏洞助攻击者获得较高控制权限 ............... 9 （二）开源组件及软件漏洞波及范围广 .............................. 11 （三）协同办公软件漏洞危及企业运行 .............................. 12 （四）云原生及虚拟化漏洞影响云基础设施安全 ...................... 14 （五）边界设备漏洞使网络“大门失守” ............................ 16 （六）移动终端漏洞威胁个人隐私及数据安全 ........................ 17 三、落叶知秋——从漏洞态势看威胁变革 ............................. 19 （一）漏洞作为战略资源的地位愈发凸显 ............................ 19 （二）各类目标高价值漏洞层出不穷 ................................ 21 （三）漏洞利用实战化需高度警惕 .................................. 23 （四）攻防对抗加剧对漏洞修复提出更高要求 ........................ 25 四、漏洞防范及安全保障对策建议 ................................... 27 （一）打造国家级网络安全漏洞综合运筹能力，加强漏洞管控统筹协调，提升 漏洞资源共享共治水平 ............................................ 27 （二）建设国家级漏洞感知与预警机制，提升漏洞发现与处置能力 ...... 27 （三）积极推进 ICT 供应链安全治理，完善符合我国情的开源生态 ...... 28 附件 2022 年上半年明星漏洞回顾 .................................... 29 1 操作系统及服务器关键漏洞回顾 .................................. 31 2 开源组件关键漏洞回顾 .......................................... 34 3 协同办公软件关键漏洞回顾 ...................................... 35 4 云原生及虚拟化关键漏洞回顾 .................................... 37 5 网络设备及应用关键漏洞回顾 .................................... 39 6 移动平台关键漏洞回顾 .......................................... 40 I 一、聚米为山——从统计数据看漏洞态势 （一）超高危漏洞数量持续攀升，利用难度低危害大的漏洞仍是热点 2022 年上半年，无论从新增通用型漏洞总体数量来看，还是从危害较大的 超危、高危漏洞分布情况来看，漏洞仍然是网络空间安全威胁的最大来源，漏洞 数量持续增长，危害程度较大漏洞占比维持高位，一些容易被发现、利用难度不 高但危害较大的漏洞类型成为热点。 据国家信息安全漏洞库（CNNVD）的统计数据1，2022 年上半年新增通用型漏 洞信息共计 12466 条，按照超危、高危、中危、低危四种漏洞危害等级划分，其 中：超危漏洞 1927 个，占比 16%；高危漏洞 4639 个，占比 37%；中危漏洞 5478 个，占比 44%；低危漏洞 422 个，占比 3%。漏洞危害等级分布如图 1 所示，从漏 洞风险等级的分布来看，超高危漏洞占比较大，超过 2022 年上半年公开披露漏 洞数量的 50%。 422, 低危, 3% 1927, 超危, 16% 5478, 中危, 44% 4639, 高危, 37% 超危 高危 中危 低危 图 1 2022 年上半年新增漏洞风险等级分布 从漏洞类型来看，2022 年上半年新增漏洞中跨站脚本、缓冲区错误、SQL 注 入、输入验证错误、代码问题等五种类型的漏洞数量最多，这也与美国 MITRE 发 布的 2022 年 CWE 最危险的前 25 名软件漏洞类型（2022 Common Weakness 1 https://www.cnnvd.org.cn 1 Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses）2列表具有 一致性。这些类型的漏洞通常很容易被发现、利用，并且可以让攻击者完全接管 系统、窃取数据或阻止应用程序运行，危险性较大，是安全从业人员的重点关注 对象。漏洞类型分布如图 2 所示。 权限许可和访问控制问题 253 授权问题 262 跨站请求伪造 305 信息泄露 338 资源管理错误 558 代码问题 744 输入验证错误 885 SQL注入 927 缓冲区错误 1240 跨站脚本 1524 0 200 400 600 800 1000 1200 1400 1600 1800 图 2 2022 年上半年新增漏洞威胁类型分布 （二）美企大厂产品漏洞多发，持续成为安全研究焦点 美国作为全球信息产业的领先国家，无论是在头部企业数量、技术创新水平 方面，还是在其信息技术产品在全球应用、部署和使用量方面，均占据绝对优势。 谷歌、微软、甲骨文、Adobe、思科等厂商的产品众多，应用广泛，成为 2022 年 上半年受漏洞影响最为严重的厂商。这是因为美企大厂重视自身产品的安全问题， 一方面利用自身力量不断挖掘发现产品安全漏洞，及时修复3；另一方面通过各种 激励措施吸引外部安全研究人员参与漏洞分析，以提高产品的安全性4。此外，美 企大厂均有较为规律的漏洞发布机制，定期发布安全公告和补丁信息，使其相关 产品的漏洞受到重点关注。 基于 CNNVD 的漏洞收录数据，将 2022 上半年的 12466 条漏洞信息根据影响 2 3 4 HTTP://cwe.mitre.ort/top25/archive/2022/2022_cwe_top25.html https://google.github.io/oss-fuzz https://microsoft.com/en-us/msrc/bounty?rtc=1 2 厂商进行分类统计，如表 1 所示。漏洞数量排名前 10 家厂商中，8 家为美国企 业，相关产品涉及操作系统、应用软件、数据库软件、网络设备以及开源软件等。 表 1 2022 年上半年新增漏洞影响厂商 TOP10 序号 厂商名称 漏洞数量 所占比例 1. WordPress（美） 904 7.25% 2. 谷歌（美） 622 4.99% 3. 微软（美） 487 3.91% 4. 甲骨文（美） 259