奇安信 2021年度漏洞态势观察报告

在数字的世界里，安全是一个永恒的话题。回顾刚刚过去的 2021年，安全事件频发，网络攻击愈演愈烈， 2021年第二季度网络攻击量达到 2018年初以来最高值。一方面，安全研究人员规模在不断扩大，不断挖掘和修复新的安全漏洞维护网络安全；另一方面，随着厂商安全性的提高，及时分发补丁策略，黑客组织不惜使用 0day漏洞发起攻击。网络空间的战场看不见硝烟，却和我们的生活越来越息息相关，开源应用安全、云安全、供应链安全 ……越来越多的受到大家关注。《奇安信 CERT——2021年度漏洞态势观察报告》围绕漏洞监测、漏洞分析与研判、漏洞情报获取、漏洞风险处置等方面描绘过去一年全网漏洞态势，并对 2021年度有现实威胁的漏洞进行重点分析和回顾。思考在漏洞造成实际危害前，对于个人、企业以及漏洞情报供应商而言，可以采取哪些措施来有效隔离风险。基于我们所收集到的事实，本报告的主要洞见如下： 1. 尽管存在对应 Exploit（漏洞利用代码或工具）的漏洞占到了总漏洞数的 22.06%，但其中的大部分并未监测到实际利用的发生，漏洞是否真的被利用，还取决于漏洞的可达性、利用条件和危害程度。从公开信息来看，实际存在野外利用的漏洞，仅占漏洞总量的 1 %~2 %左右。所以，基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。 2. 另一方面看漏洞的利用，已知存在野外利用的漏洞有 46%也就是一小半左右并没有公开的漏洞 Exploit，这个事实暗示了一大部分漏洞的威胁并没有显式的呈现，攻击面的削减管理也非常重要。 3. 2021年的攻防演习期间大量的 0day漏洞被使用，其中很大部分为国外漏洞库并不收录的国产软件漏洞，这些漏洞如果被国家级的对手利用将导致非常严重的后果。事实上我们看到的活跃国外 APT组织已经在这样做了，提示了国内挖掘自己特有软件漏洞并共享情报的高度必要性。 4. 明星漏洞存在很强的聚光灯效应，当某个软件出现重大漏洞时会引起超高关注度的产品极易在未来一段时间出现更多漏洞，如：Apache Log4j连续被曝4个远程代码执行漏洞、 Microsoft Exchange Server 在被曝出 ProxyLogon 漏洞之后又出现了 ProxyShell等漏洞。但是，由于明星漏洞衍生出来的新漏洞大概率未必有同等的威胁和影响面，需要漏洞情报分析运营团队进行深入的研判确认其利用真正的威胁，非常考验团队的响应能力。 5. 由于多种技术层面以外因素的影响，相同 CVSS评分的漏洞所能导致实际安全风险往往天差地别，结合情报的导致影响威胁升级的关键因素监测，确认漏洞对于风险的影响才具备了真正的动态性。 6. 有效的漏洞情报可以帮助用户快速、准确、全面的定位资产相关的漏洞风险，在详细多角度的处理方案的建议下实现相应威胁的消除和缓解。基于漏洞对不同类型用户的影响和处理要求，个人用户、企业用户以及安全监管单位在漏洞情报的选择上应遵循 “C端用户挑产品、 B端用户挑服务、监管机构挑供应商”的原则。 1 2021年度漏洞态势 ................................ ................. 1 1.1 年度漏洞处置情况 ................................ ............. 1 1.2 漏洞风险等级占比情况 ................................ ......... 3 1.3 漏洞威胁类型占比情况 ................................ ......... 4 1.4 漏洞影响厂商占比情况 ................................ ......... 5 1.5 关键漏洞占比情况 ................................ ............. 6 1.6 年度安全大事件 ................................ ............... 8 1.6.1 背景介绍 ................................ ................ 8 1.6.2 事件描述 ................................ ............... 10 1.6.3 事件影响 ................................ ............... 11 2 2021年度关键漏洞回顾 ................................ ............ 13 2.1 重点关注厂商 ................................ ................ 13 2.1.1 微软漏洞回顾 ................................ ........... 13 2.1.2 Apache 漏洞回顾 ................................ ......... 27 2.1.3 Linux 漏洞回顾 ................................ .......... 31 2.2 供应链安全 ................................ .................. 34 2.3 中间件 ................................ ...................... 37 2.4 云原生及虚拟化 ................................ .............. 40 2.5 网络设备及应用 ................................ .............. 45 2.6 企业级应用及办公软件 ................................ ........ 49 3 漏洞情报展望 ................................ ..................... 55 3.1 为什么我们需要漏洞情报？ ................................ .... 55 3.2 好的漏洞情报应该提供哪些价值？ .............................. 55 3.2.1 全面的多维漏洞信息整合及属性标定 ....................... 56 3.2.2 及时的与组织自身相关漏洞风险通知 ....................... 57 3.2.3 准确的漏洞所导致实际安全风险判定 ....................... 59 3.2.4 可靠的综合性漏洞处理的优先级排序 ....................... 60 3.2.5 可行的包含详细操作步骤的处置措施 ....................... 62 3.3 个人、企业、安全监管单位如何选择优质的漏洞情报？ ............ 62 附录1：历年在野利用漏洞列表 ................................ ....... 64 附录2：2021年度APT活动相关漏洞列表............................... 65 1 1 2021年度漏洞态势 1.1 年度漏洞处置情况 2021年NVD（美国国家漏洞库）每月新增漏洞信息条数如图 1-1所示：图1-1 2021年每月新增漏洞信息数量 2021年全年NVD共发布CVE漏洞信息 21,957条，其中有详细信息的漏洞有 20,791个,无详细信息的漏洞有 1,166个（占漏洞总条目的 5.31%），如图1-2所示： 2 图1-2 2021年CVE漏洞无详细信息占比情况 2021年奇安信 CERT的漏洞库新增漏洞信息121,664条2（其中20,206条有效漏洞信息在 NOX安全监测平台上显示），经NOX安全监测平台筛选后有14,544条敏感漏洞信息3触发人工研判，其中 2,124条漏洞信息达到奇安信 CERT的处置标准对其进行初步研判，并对初步研判后较为重要的 1,890条漏洞信息进行深入研判。相较于2020年，初步研判的漏洞环比增长 159.02%，深入研判的漏洞环比增长154.71%。2021年奇安信 CERT漏洞处置情况如图 1-3所示： 1 奇安信 CERT 将互联网上包含漏洞相关内容的信息统称为漏洞信息 2 漏洞信息来源包含 NVD、CNVD、CNNVD等开源漏洞库，以及各大互联网厂商和安全媒体披露的安全漏洞 3 敏感信息触发条件由漏洞影响的产品、漏洞热度、可能的影响范围等多个维度综合决定 3 图1-3 2021年奇安信 CERT漏洞处置情况