2023年全球漏洞趋势观察 再创新高利用加快

 

 

安全419此前留意到保险科技初创企业Corvus Insurance发布的一份报告，该报告就指出漏洞利用已经成为头号威胁行为者勒索软件攻击头号初始访问路径：“勒索软件攻击受害者现在越来越多地利用漏洞进行攻击，而不是使用网络钓鱼电子邮件。”我们也能够看到，当MOVEit单个漏洞就能在2023年对近数千家企业造成影响，可见漏洞问题仍然是安全的最大威胁。

 

 

 

思科威胁检测与响应首席工程师Jerry Gamblin前不久披露指出，2023年共发布了28902个CVE，比2022年发布的25081个CVE增长了15%以上。换算下来，平均每天发布79.18个CVE。自2017年以来，已发布的CVE数量一直在稳步增加，Jerry Gamblin还通过一套模型（Kalman Filter）对2024年可能的CVE数量进行了预测，尽管32600个CVE预测数量肯定不会是任何人想要看到的最终结果。

 

根据安全公司Qualys发布的“2023 年网络威胁安全回顾”报告显示，2023年全球共披露了26447个计算机漏洞，为“历年之最”，相比去年的25050个漏洞，多了5.2%。漏洞数量是危险的一方面，在已披露的漏洞中，有超过7000个漏洞具有“概念验证利用代码”，206个漏洞具有可用的武器化利用代码，其中有115个漏洞已经被黑客“广泛利用”。

 

国内网安上市公司天融信发布的《2023年网络空间安全漏洞态势分析研究报告》数据显示，2023年，天融信阿尔法实验室通过漏洞监测系统共监测发现各类漏洞信息35762条，经过漏洞监测系统自动智能筛选后留存高危漏洞信息361条。报告指出，从漏洞发展的趋势来看，未来零日漏洞的利用将继续增长。其中新兴技术领域成为重点攻击对象：云计算、物联网、车联网、人工智能等新兴技术将继续成为安全漏洞的重点领域。

 

Tenable Research团队统计了2023年微软星期二补丁数据指出，2023年，微软共修补了909个漏洞，比2022年的917个漏洞略微下降0.87%。该团队评价指出：“回顾2023年的补丁星期二，我们看到补丁的CVE数量与2022年的数字一致，与2020年的峰值相差甚远。尽管总体数字如此，但由于各种微软产品中存在几个零日漏洞和一些关键漏洞，2023年的补丁星期二仍然是多事之秋。”

 

国内网安厂商微步在线最近发布的《2023年漏洞情报年报》显示，2023年共捕获了29000+条漏洞情报，比2022年增长4000多个漏洞。根据微步在线自有安全产品以及其掌握的黑客攻击大数据来看，漏洞在野攻击方面全网漏洞利用行为累计超过41亿次，其捕获的攻击IP数量超过130万个。另外，黑客主要利用已知的1300+个漏洞进行攻击，其中2023年新增的主要漏洞利用有255个，这些漏洞当中超过90%都是远程漏洞。

 

从以上网络安全机构所披露出来的数据来看，尽管没有权威机构能够精准报告过去一年以来的漏洞数量，但总体上漏洞数量连年增长已成事实。此外安全厂商还额外指出，从已知的漏洞利用数据上看，漏洞涉及广泛的操作系统和应用程序，这表明几乎没有程序是攻击者触及不到的，攻击者为了达到目的，会利用任何软件的漏洞对业务系统进行攻击。

 

 

CheckPoint发布的《2023年H1网络安全报告》指出，2023年新发现的漏洞几乎立即就会被攻击者利用和实施。有一组数据也对应了这种趋势的增长，其中2023年上半年有28%的攻击利用了新的漏洞，而2022年上半年这一数据为20%，2021年上半年为17%。这表明攻击者正在加速将新的漏洞整合到经常使用的漏洞攻击库当中。

 

Qualys发布的“2023 年网络威胁安全回顾”也在攻击者漏洞利用速度上做过总结，其指出2023年高危漏洞“平均被黑客利用的时间”约为44天，其中25%漏洞在公布当天就能够被黑客利用，75%的漏洞在发布后19天内被利用。

 

微步在线也几乎给出了同样的数据，据《2023年漏洞情报年报》显示，25.5%的高风险漏洞在发布当天就被利用，75%的高风险漏洞在发布后22天内被利用。其给出的结论是攻击者漏洞利用的效率在不断提升，也因此企业一侧的漏洞响应时间窗口正在不断缩小。

 

在零日漏洞利用方面，谷歌威胁分析小组去年7月给出了近年来的趋势分析指出，2021年野外利用零日漏洞数量（69个）创下历史新高，2022年有所下滑，但2023年随着重大零日漏洞利用事件的大幅增长，零日漏洞攻击重新升温，从商业间谍到勒索软件攻击，零日漏洞被广泛使用。

 

微步在线《2023年漏洞情报年报》总结2023年攻防实战案例和重大威胁事件指出，零日漏洞已经成为攻击者的常规储备，其漏洞利用的频率和规模都在不断上升。对于企业来说，缩短和攻击者掌握零日漏洞的时间差迫在眉睫，企业应尽可能提前掌握零日漏洞情报，提前加固并收敛暴露面。

 

 

IBM发布的2023年版本《数据泄露成本报告》数据显示，2023年全球数据泄露的平均成本达到445万美元，创该报告有史以来最高纪录。这份报告还关注到了另外一个点，其额外指出时期内检测安全漏洞和漏洞恶化带来的安全成本上升了42%，占安全漏洞总成本的比值也来到史上最高。这也表明，企业应对漏洞的调查和处理正在变得更加复杂。

 

该报告还进一步指出，自主发现漏洞的组织所承受的漏洞损失，比由攻击者披露所承受的损失低了近100万美元（前者430万美元，而后者达523万美元 ）。“早期检测和快速响应可以显著降低安全漏洞的影响”则是IBM安全团队给出结论。换言之，安全团队必须重视对手的发现和利用漏洞这一杀手锏，并集中力量阻止对方攻击。

 

此前，赛博昆仑创始人兼CEO郑文彬在接受安全419专访谈及近年来漏洞利用趋势就指出，为什么国内乃至全球的勒索软件攻击不断发生，就是因为始终解决不好勒索组织利用漏洞作为源头的初始攻击问题，其中漏洞利用的有效性始终排名首位，修不好防不住一直存在，企业还是需要重视起来，引入有效地创新的安全解决方案。

 

大型网络安全厂商也向安全419表示，之所以企业和组织总是会被已经爆出的漏洞所攻击（突破），主要是仍然有大量的企业没有建立起有效的应对方法论，包括应急预案、安全防护产品和工具。如果仅以自身的力量来对抗黑客攻击，相关运维人员恐怕要付出200%的精力也难以平衡自身安全。

 

在漏洞的具体防范方面，Qualys的建议是利用漏洞优先级技术，即优先解决存在野外利用的高风险漏洞，以实现有效的风险管理。另外，漏洞频发带来的高风险也警醒着企业必须做好软件安全监测和评估工作，一个靠谱的第三方测试机构是一个必须认真思考的问题。

 

天融信《2023年网络空间安全漏洞态势分析研究报告》给出的具体安全防护建议是应实施严格的供应商审查机制，以防范供应链攻击；另外也需要建立系统的漏洞管理体系，以应对安全漏洞威胁。在供应链安全方面，需要解决的不仅是自身系统的漏洞问题，此前世界经济论坛发布的最新网络安全展望报告也重点强调了供应链安全问题，这方面对外需要强化供应商的安全能力评估，另外开源软件也需要进行对应的代码审查。

 

微步在线给到企业的建议则是企业应将有限的资源倾斜到那些高风险漏洞之上，应结合威胁情报（例如PoC是否公开、是否被黑客工具武器化、是否已经发现了攻击行为）、资产的重要程度、漏洞的技术程度、漏洞的技术特性（如利用的难易程度、利用成功的危害），得出漏洞的实际风险，并根据漏洞实际风险确定漏洞处置优先级。其他方面，企业建立基础的漏洞防御能力，必须要做的是对公网资产进行收敛，这方面主要是多数被攻击者利用的漏洞均为远程漏洞。

 

 

 

MOVEit是Progress Software Corporation开发的文件传输平台。该平台被世界各地成千上万的政府、金融机构和其他公共和私营部门机构用来发送和接收信息。5月31日，Progress Software发布了一个MOVEit评级为9.8分的严重漏洞（CVE-2023-34362）补丁，此后该漏洞迅速被勒索组织所利用。此后短期内Progress Software还陆续发布了第二个漏洞（CVE-2023-35036）和第三个漏洞（CVE-2023-35708）。

 

根据安全厂商EMSISOFT的统计数据显示，2023年5月份爆发的MOVEit（CVE-2023-34362）漏洞利用事件已导致全球2738家（最新数据）企业受到影响，全面的攻击事件影响人数超过9000万人，企业因攻击事件遭受的损失预计高达百亿美元以上。EMSISOFT威胁分析师认为，这“可能是迄今为止最重大的网络安全事件之一”。

 

有分析表明，黑客可能早在2021年就知道MOVEit存在漏洞，并且存在早期测试，直到此次大规模事件爆发，这说明黑客掌握了一定的自动化方式从而批量利用。Clop则是本次漏洞利用的主要勒索软件组织，根据Coveware发布的追踪报告显示，该勒索组织特意提高受攻击企业的赎金，预计单一漏洞攻击事件能为Clop带来至少7500万美元赎金收入。

 

 

GoAnywhere今年爆出的CVE-2023-0669漏洞同样被黑客大规模利用，该漏洞早期就被安全研究人员发现并表示可能存在被积极利用的可能性。当时，有超过1000台GoAnywhere实例在暴露在互联网上。最早利用该漏洞进行大规模攻击的仍然是Clop勒索软件组织，在最初的一波攻击中就有130家企业受到了影响。

 

由于GoAnywhere是在漏洞被披露可能存在利用的第5天才推出修复程序（此前只提供了相关的安全建议），这留给了黑客充裕的利用时间，政府、能源、金融、医疗行业多家知名企业成为攻击受害者，也充分展现了“零日漏洞+供应链攻击”的可怕之处。

 

最近，GoAnywhere也再次被爆出新的漏洞CVE-2024-0204（CVSS 评分 9.8），该漏洞是一个身份认证绕过漏洞。未经身份验证的远程攻击者可利用该漏洞，绕过身份认证，通过管理门户创建管理员用户。此次，官方也是积极发出预警，以避免再次成为大量安全事情的罪魁祸首。

 

 

受其江湖地位影响，VMware的漏洞影响力总是更为惊人，如同2023年一季度，黑客就利用了VMware早在两年前就修复了的VMware ESXi（CVE-2021-21974）漏洞成功开展了一波大范围攻击，这一次攻击也正次验证了几大事实，比如Nday漏洞仍然具有广泛的可利用性。

 

根据后续报道，有消息源指出多个恶意软件团伙利用了2021年9月Babuk勒索软件泄露的源代码，构建了多达9个针对VMware ESXi系统的不同勒索软件家族，其变体从2022年下半年至2023年上半年开始出现，这凸显了勒索软件对于高价目标的针对性不断提升，这也让高价值目标必须解决自身的老旧漏洞问题。

 

对于CVE-2021-21974漏洞本身，赛博昆仑创始人兼CEO郑文彬此前评论称，此前美国燃油管道公司Colonial Pipeline受勒索软件攻击事件利用的就是VMware相关漏洞，这一漏洞也是MJ团队早先就关注到可能被攻击利用的漏洞之一，在漏洞修复之后的Nday阶段，其影响力仍然十分广泛。“CVE-2021-21974漏洞实际上就是源于此前VMware修复过的‘漏洞遗留’。”

 

 

漏洞利用的有效性导致攻击者不会放过任何一个微小的安全漏洞，面对数十万历史漏洞，以及随时可能被发现并利用的零日漏洞，有效的漏洞管理仍然是企业最关键的网络防御手段。另外漏洞也是一个大的生态问题，对标、协同，生态当中不同的角色均要肩负自身责任，引入不同角色下的具有针对性的安全解决方案，才能阶段性提升并弱化漏洞问题带来的长远影响。