2023年網(wǎng)絡(luò)安全漏洞態(tài)勢(shì)報(bào)告

2023年網(wǎng)絡(luò)安全漏洞態(tài)勢(shì)報(bào)告目錄CONTENTS1概述32Web應(yīng)用漏洞2.1新增漏洞趨勢(shì)2.2漏洞分類3操作系統(tǒng)漏洞134網(wǎng)絡(luò)設(shè)備漏洞175數(shù)據(jù)庫(kù)漏洞226工控系統(tǒng)漏洞7云計(jì)算平臺(tái)漏洞308總結(jié)與建議339結(jié)語(yǔ)38主動(dòng)安全主動(dòng)安全3勢(shì)，正文從Web應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、1概述1.1漏洞增長(zhǎng)趨勢(shì)主動(dòng)安全主動(dòng)安全400總數(shù)●主動(dòng)安全主動(dòng)安全51.2攻擊總體態(tài)勢(shì)主動(dòng)安全主動(dòng)安全6主動(dòng)安全主動(dòng)安全74.數(shù)據(jù)泄露與濫用風(fēng)險(xiǎn)涌現(xiàn)，數(shù)據(jù)泄漏事件創(chuàng)下5.勒索團(tuán)伙加速高危漏洞武器化利用，主動(dòng)安全主動(dòng)安全8網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的領(lǐng)域，隨著技術(shù)的進(jìn)步，各種等新型設(shè)備，鑒于內(nèi)容的潛在不可靠性，VR/AR等增入用戶的VR/AR設(shè)備后，改變用戶通過(guò)設(shè)備看2Web應(yīng)用漏洞2.1新增漏洞趨勢(shì)主動(dòng)安全主動(dòng)安全902.2漏洞分類主動(dòng)安全主動(dòng)安全2.3重點(diǎn)漏洞回顧C(jī)VSSv3評(píng)分主動(dòng)安全主動(dòng)安全經(jīng)典漏洞盤(pán)點(diǎn)：還提供了自己的持續(xù)集成(CI)系統(tǒng)來(lái)管理項(xiàng)目，并提供用戶界面以國(guó)、美國(guó)、德國(guó)、印度、荷蘭、俄羅斯、法國(guó)和韓國(guó)等國(guó)家成為了攻擊者主要目標(biāo)。主動(dòng)安全主動(dòng)安全DataCenter&Server中的/setup端點(diǎn)的訪問(wèn)控制不當(dāng)造成。通過(guò)利用此漏洞，攻擊者可以獲得的多路復(fù)用流，然后立即發(fā)送取消流(RST_STREAM)，導(dǎo)致服務(wù)器不斷分配資源處理流的創(chuàng)建和取消請(qǐng)2.4攻擊態(tài)勢(shì)分析主動(dòng)安全主動(dòng)安全3操作系統(tǒng)漏洞3.1新增漏洞趨勢(shì)03.2漏洞分類操作系統(tǒng)是應(yīng)用軟件和服務(wù)運(yùn)行的公共平臺(tái)，其安全漏洞是網(wǎng)絡(luò)安全的主要隱患和風(fēng)險(xiǎn)。對(duì)于操作系統(tǒng)，主動(dòng)安全主動(dòng)安全3.3重點(diǎn)漏洞回顧C(jī)VSSv3評(píng)分主動(dòng)安全主動(dòng)安全經(jīng)典漏洞盤(pán)點(diǎn)：過(guò)分析發(fā)現(xiàn)，該漏洞是由于NFS協(xié)議在處理服務(wù)器內(nèi)存不足時(shí)的方式不當(dāng)所致，當(dāng)申請(qǐng)內(nèi)存失敗時(shí)，程執(zhí)行任意代碼；任意代碼執(zhí)行；該漏洞能夠修改敏感的內(nèi)核狀態(tài)，從而可能控制設(shè)備；主動(dòng)安全主動(dòng)安全洞利用鏈“初始入口點(diǎn)”。3.4攻擊態(tài)勢(shì)分析主動(dòng)安全主動(dòng)安全44.1新增漏洞趨勢(shì)路由器、防火墻、交換機(jī)等設(shè)備作為關(guān)鍵信息基礎(chǔ)設(shè)施，其自身安全性已成為世界各國(guó)密主動(dòng)安全主動(dòng)安全04.2漏洞分類主動(dòng)安全主動(dòng)安全4.3重點(diǎn)漏洞回顧C(jī)VSSv3評(píng)分經(jīng)典漏洞盤(pán)點(diǎn)：主動(dòng)安全主動(dòng)安全話接管繞過(guò)了密碼和多重身份驗(yàn)證。威脅攻擊者使用特制的HTTPGET請(qǐng)求，迫使目標(biāo)設(shè)備返回身份驗(yàn)臺(tái)運(yùn)行易受攻擊的IOSXE軟件的思科設(shè)備已被利用這兩個(gè)安全漏洞的威脅者所破壞。F5BIG-IP是美國(guó)F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理碼和多重身份驗(yàn)證。威脅攻擊者使用特制的HTTPGE主動(dòng)安全主動(dòng)安全4.4攻擊態(tài)勢(shì)分析年前兩個(gè)月每個(gè)組織的平均每周攻擊次數(shù)增加了41%。平均每周，54%的主動(dòng)安全主動(dòng)安全5數(shù)據(jù)庫(kù)漏洞5.1新增漏洞趨勢(shì)主動(dòng)安全主動(dòng)安全05.2漏洞分類 主動(dòng)安全主動(dòng)安全5.3重點(diǎn)漏洞回顧C(jī)VSSv3評(píng)分經(jīng)典漏洞盤(pán)點(diǎn)：主動(dòng)安全主動(dòng)安全JDBCURL，執(zhí)行任意Java代碼，造成服務(wù)器被入侵或數(shù)據(jù)被泄露等危害。算機(jī)系開(kāi)發(fā)。該系統(tǒng)支持大部分SQL標(biāo)準(zhǔn)并且提供了許多其他特性，例如外鍵、觸發(fā)器、視圖等。5.4攻擊態(tài)勢(shì)分析因?yàn)榈谌浇M件可能存在漏洞或與數(shù)據(jù)庫(kù)系統(tǒng)的集成方式存在安全問(wèn)題等。例如：2023年7月美國(guó)客可以利用這些漏洞來(lái)繞過(guò)訪問(wèn)控制、執(zhí)行未授權(quán)操作或竊取主動(dòng)安全主動(dòng)安全近年來(lái)，隨著APT組織的興起，數(shù)據(jù)庫(kù)成為了其漏洞利用的主要目標(biāo)之一。A6工控系統(tǒng)漏洞6.1新增漏洞趨勢(shì)主動(dòng)安全主動(dòng)安全06.2漏洞分類主動(dòng)安全主動(dòng)安全6.3重點(diǎn)漏洞回顧C(jī)VSSv3評(píng)分經(jīng)典漏洞盤(pán)點(diǎn)：主動(dòng)安全主動(dòng)安全全漏洞，該漏洞源于/api/runscript端點(diǎn)中存在遠(yuǎn)程命令執(zhí)行(RCE)漏洞。攻擊者可利用POST請(qǐng)求執(zhí)行任意命令。6.4攻擊態(tài)勢(shì)分析類基礎(chǔ)設(shè)施，且針對(duì)工業(yè)系統(tǒng)的攻擊會(huì)破壞工業(yè)系統(tǒng)的正常運(yùn)行，極易造成停產(chǎn)、停電等大規(guī)模的破壞，所以針對(duì)工控系統(tǒng)也成為了一些具有政治動(dòng)機(jī)的黑客組織的首要攻擊目標(biāo)。2023年1月，黑客組織GhostSec聲稱對(duì)白俄羅斯的工業(yè)遠(yuǎn)程終端單元進(jìn)行了攻擊，造成了當(dāng)?shù)毓S停產(chǎn)停工。該組織是主動(dòng)安全主動(dòng)安全7云計(jì)算平臺(tái)漏洞7.1新增漏洞趨勢(shì)04893657217.2漏洞分類主動(dòng)安全主動(dòng)安全7.3重點(diǎn)漏洞回顧C(jī)VSSv3評(píng)分經(jīng)典漏洞盤(pán)點(diǎn)：主動(dòng)安全主動(dòng)安全用該漏洞在遠(yuǎn)程服務(wù)器上執(zhí)行任意代碼，從而獲取到遠(yuǎn)程服務(wù)在命令注入漏洞，影響該軟件6.2至6.10版本。服務(wù)器配置權(quán)訪問(wèn)。此外，還有個(gè)API函數(shù)使用管理員權(quán)限接受用戶輸入而不對(duì)其進(jìn)行處理。將這兩個(gè)漏洞結(jié)合起以允許某人通過(guò)提供任意用戶名來(lái)執(zhí)行命令。惡意用戶可能能夠訪問(wèn)權(quán)限檢查功能，該功能最終將根據(jù)7.4攻擊態(tài)勢(shì)分析主動(dòng)安全主動(dòng)安全隨著VMwareESXi成為最流行的虛擬化平勒索軟件對(duì)于高價(jià)目標(biāo)的針對(duì)性不斷提升，這也讓高價(jià)值目標(biāo)必須解決自身的老舊漏洞問(wèn)題。8總結(jié)與建議漏洞被利用，造成云服務(wù)器癱瘓、勒索事件主動(dòng)安全主動(dòng)安全8.2安全建議與服務(wù)暴露原則等。具體細(xì)分領(lǐng)域的建議如域或URL重寫(xiě)等不安全的方式存儲(chǔ)和維護(hù)。不使用客戶端提交的未經(jīng)審核的信息來(lái)給會(huì)話信息賦值，防止會(huì)話信息被