2021年度【漏洞态势观察报告】

第第页2021年度漏洞态势观察报告2022年3月202120180day关注。CERT——2021对于个人、企业以及漏洞情报供应商而言，可以采取哪些措施来有效隔离风险。基于我们所收集到的事实，本报告的主要洞见如下：尽管存在对应Exploit（漏洞利用代码或工具）的漏洞占到了总漏洞数的实际存在1%~2所以，基于威逼情报的漏洞处理优先级排序对于威逼的消退将起到事半功倍的效果。46%式的呈现，攻击面的削减管理也非常重要20210dayAPT国内挖掘自己特有软件漏洞并共享情报的高度必要性注度的产品极易在将来一段时间消失更多漏洞，如：ApacheLog4j曝4个远程代码执行漏洞、MicrosoftExchangeServer在被曝出ProxyLogonProxyShell由于明星漏洞衍CVSS漏洞对于风险的影响才具备了真正的动态性有效的漏洞情报可以帮忙用户快速准确全面的定位资产相关的漏洞风险在具体多角度的处理方案的建议下实现相应威逼的消退和缓解基于漏洞对不同类型用户的影响和处理要求个人用户企业用户以及平安监管单位在漏洞情报的选择上应遵循“C端用户挑产品、B端用户挑服务、监管机构挑供应商”的原则。 12021年度漏洞态势 1年度漏洞处置情况 1漏洞风险等级占比情况 3漏洞威逼类型占比情况 4漏洞影响厂商占比情况 5关键漏洞占比情况 6年度平安大事件 8背景介绍 81.6.2事件描述 101.6.3事件影响 1122021年度关键漏洞回顾 13重点关注厂商 13微软漏洞回顾 13Apache漏洞回顾 27Linux漏洞回顾 31供应链平安 342.3中间件 37云原生及虚拟化 40网络设备及应用 45企业级应用及办公软件 493漏洞情报展望 55为什么我们需要漏洞情报？ 55好的漏洞情报应当供应哪些价值？ 55全面的多维漏洞信息整合及属性标定 56准时的与组织自身相关漏洞风险通知 57准确的漏洞所导致实际平安风险判定 59牢靠的综合性漏洞处理的优先级排序 60可行的包含具体操作步骤的处置措施 62个人、企业、平安监管单位如何选择优质的漏洞情报？ 62附录1：历年在野利用漏洞列表 64附录2：2021年度APT活动相关漏洞列表 651112021年度漏洞态势12021年度漏洞态势2021年NVD（美国国家漏洞库）每月新增漏洞信息条数如图1-1所示：图1-12021年每月新增漏洞信息数量2021NVDCVE21,95720,7911,166（5.31%1-2示：图1-22021年CVE漏洞无具体信息占比情况2021CERT121,664220,206条有效NOXNOX14,544条敏感漏洞信息32,124CERT1,890条漏洞信息进行深化研2020159.02%154.71%。2021CERT1-31奇安信CERT将互联网上包含漏洞相关内容的信息统称为漏洞信息2NVD、CNVD、CNNVD23敏感信息触发条件由漏洞影响的产品、漏洞热度、可能的影响范围等多个维度综合决定233图1-32021年奇安信CERT漏洞处置情况CERTCVSS2021CERT2,1241-444图1-4漏洞风险等级占比31.60%，此类漏洞产生的影响介于高危漏洞与低危漏洞之间，可能需要一些简单的配置或对漏洞胜利利用的要求较高；高危漏洞占比50.35%，此类漏洞极大可能造成较严峻的影响或攻击成本较低；完整性和可用性的影响极高。20212,1241-5权限提升、拒绝服务、内存损坏。55图1-5漏洞类型占比2021CommonWeaknessEnumeration(CWE)Top25MostDangerousSoftwareWeaknesses（2021CWE25列表420212,1241-6：Microsoft、ApacheOracle、Apple、VMware。4/top25/archive/2021/2021_cwe_top25.html图1-62021漏洞影响厂商占比MicrosoftApacheAppleOracle地位，以获得了平安研究员更为重点的关注。2021CERT21,664Exploit4,779（22.06%3370day23APT88（2：2021APTCERTExploit/PoC、有在野利用、0day相关，且漏洞相关软件影响面较大的漏洞定义为关键漏洞，2021年共标记此类5,227个。60dayNVDCVE2021677337182ExploitExploit组织或者个人使用。图1-7在野利用漏洞Exploit状态1-8Exploit高优先级的原则。图1-8关键漏洞的威逼度分布背景介绍ApacheLog4jApacheJavalog4j2Log4j文件或把握台打印代码的调试信息，Log4j2021129Log4j（CVE-2021-44228）Log4j4漏洞编号威逼类型CVSS评分是否默认配置受影响漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-44228代码执行10.0是已公开已公开已公开已发觉CVE-2021-45046代码执行9.0否已公开已公开未知已发觉CVE-2021-4104代码执行8.1否已公开已公开未知已发觉CVE-2021-45105拒绝服务7.5否已公开已公开未知已发觉CVE-2021-44832代码执行6.6否已公开已公开未知未知8国外给ApacheLog4j远程代码执行漏洞（CVE-2021-44228）起了个颇能反8“Log4Shell”CERT“Poisoned日志）20211、无利用门槛的远程代码执行HeartBleed门槛极低，默认配置下无需用户验证也没有其他限制条件。2、利用稳定的设计错误类漏洞log4j3、log4j是大量基础产品中的基础组件依据奇安信代码平安试验室对开源组件库的分析显示：直接使用log4j-core70000务器级别至少千万级。4、多源的不可控触发途径log4jWeb最终触发漏洞。5、伴随Java的跨平台特性Java语言的特性之一就是跨平台，意味着相关的漏洞会同时影响Windows和Linux类平台。991010事件描述2021129CERTApacheLog4j远程代码执行漏洞（CVE-2021-44228，ApacheStruts2、ApaheSolr、ApacheDruid、ApachFlinkCERT12912101211-9图1-9ApacheLog4j漏洞进展时间线20211216MavenCentral35863Log4j2MavenCentral（此数字不包括全部Java接分发的二进制文件。就生态系统影响而言，8%是相当巨大的数字，因为对MavenCentral2%，0.1%一段时间内将陆续确认受影响的各类应用软件和系统。Tenable10%Log4ShellWebIoTDragosLog4j数据泄露、金融紊乱、电网崩溃、交通瘫痪、通信中断。事件影响Java2017恶意代码已经将其纳入攻击传播的手段之一。11微软已监测到来自多个国家的黑客组织利用此漏洞进行攻击，如威逼组织11Phosphoru（CharmingKittenAPT35基础设施平安局(CISA)命令全部联邦民事机构“必需在圣诞节前修补好受Log4j漏洞影响的相关系统”。新加坡网络平安局(CSA)也与关键信息基础设施(CII)Log4jLog4Shell漏洞已经被用于Khonsari勒索软件攻击，估计将来Windows和Linux服务器上的勒索软件攻击将激增。某平安研究员发觉一种正在开发中的自我传播蠕虫，来自SaltSecurity的YanivBalmasLog4j蠕程度甚至可能比蠕虫还要高。Log4Shell2017512“WannaCry”勒索蠕虫事件比作一次互联网核爆攻击，那么，由于Log4j在基础设施和应用129Log4Shell（以十年计12 12131322021年度关键漏洞回顾22021年度关键漏洞回顾微软漏洞回顾微软（Microsoft）作为全球最大的电脑软件供应商、世界PC（PersonalComputer，个人计算机WindowsOffice2021774.79%，远高于其他操作系统。20218000dayEXPProxyLogonPrintNightmarePetitPotamCERT产品漏洞编号威逼类型攻击向量攻击途径身份认证用户交互MicrosoftExchangeServerCVE-2021-26855身份认证绕过网络无需无需CVE-2021-27065任意文件写入网络低无需CVE-2021-26857代码执行网络低无需CVE-2021-26858任意文件写入网络低无需CVE-2021-28480身份认证绕过网络无需无需CVE-2021-28481身份认证绕过网络无需无需CVE-2021-28482代码执行网络低无需CVE-2021-28483代码执行网络低无需CVE-2021-34473身份认证绕过网络无需无需CVE-2021-34523权限提升本地低无需CVE-2021-31207任意文件写入网络高无需CVE-2021-33766信息泄露网络无需无需CVE-2021-42321代码执行网络低无需ActiveDirectoryDomainServicesCVE-2021-42287权限提升网络低无需CVE-2021-42278权限提升网络低无需MicrosoftSharePointCVE-2021-31181代码执行网络低无需CVE-2021-28474代码执行网络低无需ServerWindowsPrintSpoolerCVE-2021-1675代码执行网络低无需CVE-2021-34527代码执行网络低无需CVE-2021-34481代码执行网络低无需CVE-2021-36936代码执行网络低无需CVE-2021-36958代码执行网络低无需WindowsDNSServerCVE-2021-24078代码执行网络无需无需CVE-2021-26877代码执行网络无需无需CVE-2021-26897代码执行网络无需无需HTTP协议栈CVE-2021-31166代码执行网络无需无需InternetExplorerCVE-2021-26411代码执行网络无需需要CVE-2021-27085代码执行网络无需需要WindowsMSHTMLplatformCVE-2021-33742代码执行网络无需需要CVE-2021-40444代码执行网络无需需要MicrosoftOfficeCVE-2021-27059代码执行网络无需需要MicrosoftExcelCVE-2021-42292平安特性绕过网络无需需要WindowsAppXInstallerCVE-2021-43890欺骗网络无需需要MicrosoftDefenderCVE-2021-1647代码执行网络无需需要WindowsWin32kCVE-2021-1732权限提升本地低无需CVE-2021-28310权限提升本地低无需CVE-2021-40449权限提升本地低无需MicrosoftDWMCoreLibraryCVE-2021-33739权限提升本地低无需WindowsKernelCVE-2021-31955信息泄露本地低无需CVE-2021-33771权限提升本地低无需CVE-2021-31979权限提升本地低无需WindowsNTFSCVE-2021-31956权限提升本地低无需MicrosoftEnhancedCryptographicProviderCVE-2021-31199权限提升本地低无需CVE-2021-31201权限提升本地低无需WindowsCVE-2021-36934权限提升本地低无需WindowsInstallerCVE-2021-43883权限提升本地低无需WindowsUpdateMedicServiceCVE-2021-36948权限提升本地低无需WindowsMobileDeviceManagementCVE-2021-43880权限提升本地低无需14依据产品特征以及攻击向量等因素可以将漏洞归为服务端漏洞、客户端漏洞14和提权类漏洞三类。依据上表中的标记，很简洁区分这三类漏洞：为这种漏洞的利用条件相当宽松，只需要向受漏洞影响的服务端发送特大杀器。（用户交互IEOffice提权类漏洞：一般认为攻击者在利用这类漏洞发起攻击前需要进行身份更高级别的权限。服务端漏洞域服务、MicrosoftExchangeServer、MicrosoftSharePointServer、MicrosoftDNSServerMicrosoftExchangeServerWindowsPrintSpoolerMicrosoftExchangeServer的几个未授权远程代码执行漏洞利用链已发觉被多个黑客组织利用；PrintNightmare漏洞自被披露以来热度始终都很高，随着更多的平安研究人员加入研究，WindowsPrintSpooler很简洁被黑客利用起来发起大规模无差别攻击。MicrosoftExchangeServer15MicrosoftExchangeServerWindowsServerActiveDirectory来ExchangeServer15和用户带来重大损失。ExchangeExchangeExchangeProxyLogonProxyShellExchange443ActiveDirectory移动等。下表为本年度MicrosoftExchangeServer的关键漏洞情况：漏洞编号威逼类型CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-26855身份认证绕过9.1已公开已公开已公开已发觉CVE-2021-27065任意文件写入7.8已公开已公开已公开已发觉CVE-2021-26857远程代码执行7.8已公开已公开已公开已发觉CVE-2021-26858任意文件写入7.8已公开已公开已公开已发觉CVE-2021-28480身份认证绕过9.8已公开未知未知已发觉CVE-2021-28481身份认证绕过9.8未公开未知未知未知CVE-2021-28482远程代码执行8.8已公开已公开已公开未知CVE-2021-28483远程代码执行9.0未公开未知未知未知CVE-2021-34473身份认证绕过9.1已公开已公开已公开已发觉CVE-2021-34523权限提升9.0已公开已公开已公开已发觉CVE-2021-31207任意文件写入6.6已公开已公开已公开已发觉CVE-2021-33766信息泄露7.3已公开已公开已公开未知CVE-2021-42321远程代码执行8.8已公开已公开已公开已发觉ProxyLogon16CVE-2021-26855（SSRF“ProxyLogonExchangeServerCVE-2021-27065CVE-2021-26858CVE-2021-26857Exchange161717SYSTEM权限执行任意代码。图2-1ProxyLogon漏洞利用链VolexityProxyLogon20211周（2021年3月3日）公开了这些漏洞并发布告警。ProxyShellProxyLogon，ProxyShellExchange括CVE-2021-34473MicrosoftExchangeACL绕过漏洞、CVE-2021-34523MicrosoftExchangeCVE-2021-31207MicrosoftExchangePoCLockFileProxyToken“ProxyToken”是存在于Exchange中的一个信息泄露漏洞（CVE-2021-3376620217135/microsoft-exchange-server-attack-timeline/户。ExchangeExchangeInternet害者收到的全部邮件。PoC/EXPCERTCVE-2021-42321CVE-2021-42321MicrosoftExchangeServer远程代码执行漏洞，平安研究人员曾在2021年演示胜利利用此漏洞攻破Exchange11修复这类漏洞。ActiveDirectoryDomainServicesActiveDirectory(ADDS)是ActiveDirectoryDirectory漏洞编号威逼类型CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-42287权限提升7.5已公开已公开已公开未知CVE-2021-42278权限提升7.5已公开已公开已公开未知18ActiveDirectory（CVE-2021-42278CVE-2021-42287）ADsAMAccountName2021111218CERTPoC/EXPSYSTEMMicrosoftSharePointServerMicrosoftSharePointServer企业内网功能的软件。超过200,000个组织和1.9亿人将SharePoint用于Intranet、团队网站和内容管理。漏洞编号威逼类型CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-31181代码执行8.8已公开已公开已公开未知CVE-2021-28474代码执行8.8已公开已公开已公开未知作为内网中常用的服务端，MicrosoftSharePointServerSharePointServerSharePoint些漏洞，胜利利用漏洞可在目标系统上执行任意代码。但由于CVE-2021-31181CVE-2021-28474PoCCERT持警惕。WindowsPrintSpoolerWindowsPrintSpoolerSpooler(Spoolsv.exe)SYSTEMSYSTEM的黑客可采用多种方式获得身份认证信息。19PrintNightmareSpoolerWindowsPrintSpoolerRpcAddPrinterDriverExSpoolerSYSTEM72PrintSpooler19被曝出许多漏洞。以下为本年度WindowsPrintSpooler的关键漏洞情况：漏洞编号威逼类型CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-1675代码执行8.8已公开已公开已公开已发觉CVE-2021-34527代码执行8.8已公开已公开已公开已发觉CVE-2021-34481代码执行8.8已公开已公开已公开未知CVE-2021-36936代码执行8.8已公开未知未知未知CVE-2021-36958代码执行8.8已公开已公开已公开已发觉CVE-2021-1675Spooler20216628629PrintNightmareCVE-2021-1675WindowsPrintSpooler，72WindowsPrintSpooler（CVE-2021-34527）PrintNightmareCVE-2021-34527，CVE-2021-1675PrintNightmareCVE-2021-1675CVE-2021-34481（代码执行漏洞CVE-2021-36958（CVE-2021-34481的补丁绕过）通告。MicrosoftWindowsWindowsWindowsSYSTEMMicrosoftDNSServer20WindowsDNSServer是微软供应的可运行在WindowsServer上的DNS服务202121DNSDNS通知。在ActiveDirectory域中通常需要搭建WindowsDNSServer，当用户执行身份验证、更新或搜索时，计算机会使用DNS服务器来定位ActiveDirectoryDNSDNSSYSTEMDNSSYSTEM漏洞编号威逼类型CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-24078代码执行9.8未知未知未知未知CVE-2021-26877代码执行9.8已公开已公开未知未知CVE-2021-26897代码执行9.8已公开已公开未知未知SigRed，CVE-2021-24078WindowsDNSServerDNSDNSWindowsDNSSigRedCERTEXPSYSTEMSHELL。在将来，黑客可能开发出更加稳定的漏洞利用程序。因而，用户还需警惕这一类漏洞。CVE-2021-26877CVE-2021-26897WindowsDNSServerDNSPoCCVSSv39.8CERT（DNSDNSHTTPHTTPInternetInformationServices(IIS20215，此漏洞无需身份交互以及用户交互，且被微软官方6该漏洞由奇安信代码平安试验室研究员罗权发觉并提交2222WormableExploitationMoreLikely，HTTP(http.sys)Accept-Encoding的恶意请求包来攻击目标服务器。此漏洞影响2020年以后发布的并且启用了IIS服务器的Windows或WindowsServer客户端漏洞IEOffice1ZINCCVE-2021-26411InternetExplorerTwitterVisualStudio识较低的平安研究人员敲响了警钟。以下为本年度Windows客户端相关的关键漏洞情况：漏洞编号威逼类型CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-26411代码执行8.8已公开已公开已公开已发觉CVE-2021-27085代码执行8.8未公开未知未知已发觉CVE-2021-33742代码执行7.5已公开已公开已公开已发觉CVE-2021-40444代码执行8.8已公开已公开已公开已发觉CVE-2021-27059代码执行7.6未公开未知未知已发觉CVE-2021-42292代码执行7.8已公开未知未知已发觉CVE-2021-43890平安特性绕过7.1已公开未知未知已发觉CVE-2021-1647代码执行7.8已公开已公开已公开已发觉MSHTML（Trident）InternetExplorerMHTMLInternetExplorerExcel或PowerPointOfficeWeb4，GoogleTAG了一个InternetExplorer0day漏洞，漏洞编号为CVE-2021-33742。恶意OfficeInternetExplorerWeb内容。恶意文档会对设备进InternetExplorer20219MicrosoftMSHTMLCVE-2021-40444，同时奇安信红雨滴团队已捕获多个鱼叉邮件样本。攻击者通过制作带有ActiveXMicrosoftOfficeMicrosoftOfficeWindows用的漏洞较多，其相关组件早已成为黑客攻击的焦点。CVE-2021-42292MicrosoftExcelExcel11ExcelExcelAPPXWindowsWindowsms-appinstallerMicrosoftWebCVE-2021-43890WindowsAppXCVE-2021-43890播EmotetTrickbotBazaloader等恶意软件。微软最终选择禁用ms-appinstaller23MicrosoftDefenderAntivirusWin10、Win11WindowsServerWindows232424可能造成威逼的文件或程序。Defender的主动扫描为攻击者供应一个很好的攻Defender自动检测就可以进行漏洞利用，如2021年1月份公开的CVE-2021-1647MicrosoftDefenderIMU那么漏洞的实际威逼就会大大降低。提权类漏洞较低权限之后可以利用此类漏洞提升权限进行下一步攻击。另一方面，由于InternetExplorer、MicrosoftEdge、MicrosoftOfficeGoogleChrome目标系统上执行任意代码。2021SYSTEMCERT0dayWindowsInstaller权限提升漏洞（CVE-2020-16902）CVE-2021-36934Windows权限提升漏洞（HiveNightmare）CVE-2021-43883WindowsInstaller（CVE-2021-41379漏洞修复补丁的绕过InstallerFileTakeOverCVE-2021-43880WindowsMobileDeviceManagement以下为本年度的关键提权类漏洞的情况：漏洞编号威逼类型CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-1732权限提升7.8已公开已公开已公开已发觉CVE-2021-28310权限提升7.8未公开未知未知已发觉CVE-2021-33739权限提升8.4已公开已公开已公开已发觉CVE-2021-31955信息泄露5.5未公开未知未知已发觉CVE-2021-31956权限提升7.8已公开未知未知已发觉CVE-2021-31199权限提升5.2未公开未知未知已发觉CVE-2021-31201权限提升5.2未公开未知未知已发觉CVE-2021-33771权限提升7.8未公开未知未知已发觉CVE-2021-31979权限提升7.8未公开未知未知已发觉CVE-2021-36934权限提升7.8已公开已公开已公开未知CVE-2021-36948权限提升7.8未公开未知未知已发觉CVE-2021-40449权限提升7.8已公开已公开已公开已发觉CVE-2021-43880权限提升5.5已公开已公开已公开未知CVE-2021-43883权限提升7.8已公开已公开已公开已发觉Win32kWindowsNT4.0（User）（GDIWin32kWin32kWin32kWin32kwin32kfull.sysCVE-2021-1732CVE-2021-40449。CVE-2021-28310Win32kDirectCompositionAPIWindows8效果和动画的高性能位图合成，DirectCompositionAPIwin32kbase.sys2021，CVE-2021-1732WindowsWin32k7CVE-2021-28310WindowsWin32k8DBAPPSecurityMysterySnailCVE-2021-40449WindowsWin32k9。MicrosoftEnhancedCryptographicProvider（又称为EnhancedProvider）7/blog/articles/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack-cn/8/zero-day-vulnerability-in-desktop-window-manager-cve-2021-28310-used-in-the-wild/101898/259/mysterysnail-attacks-with-windows-zero-day/104509/252626（CSP签名、验证和数据摘要等密码操作。EnhancedProvider的算法支持更强的平安性。20216MicrosoftEnhancedCryptographicProvider权限提升漏洞（CVE-2021-31199、CVE-2021-31201。这两个漏洞允许本地用户MicrosoftEnhancedCryptographicProvider修改其他受限制的信息。黑客组织将这两个漏洞与CVE-2021-28550AdobeReaderPDF（通常附在网络钓鱼电子邮件中）从而在目标系统上执行任意代码。CVE-2021-31955Windows（允许攻击者从系统中泄露信息）CVE-2021-31956WindowsNTFS（ntfs.sys20216PuzzleMakerGroup10GoogleChromeV8JavaScriptWindows10SYSTEM420217(MSTIC)与微软平安响应中心(MSRC)SOURGUMSOURGUMWindowsURL（WhatsApp）（WindowsNT(NTOS)CVE-2021-3197933771）逃脱扫瞄器沙箱并获得内核代码执行权11。2021800（ProxyLogon10/puzzlemaker-chrome-zero-day-exploit-chain/102771/11https://www.micros/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/出以下结论和观点：WindowsSYSTEM攻击者利用这种漏洞直接获得目标机器的SYSTEM2021辑类漏洞方向上的研究仍将会是将来的一大趋势对该漏洞的研究和分析过程中极有可能导致该产品的其它相关漏洞被发觉。因此，消失重大漏洞的产品极易在将来一段时间会消失更多漏洞，如MicrosoftExchangeServer在曝出ProxyLogon漏洞之后又消失了ProxyShellMicrosoftExchangeServer黑客会更加青睐利用门槛低且可以稳定利用的漏洞，并且在漏洞的细节及PoC/EXP0day0day0day要用户和平安厂商的共同努力。Apache27ApacheSoftwareFoundation（ASF）是特地为支持开源软件项目而办的一27个非营利性组织，在Apache软件基金会主导下，已有350多个顶级开源项目ApacheHTTPGartner99%Log4ShellApacheLog4jJavaTomcatDubboSolrHadoop漏洞编号威逼类型CVSS评分产品漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-25646代码执行8.8ApacheDruid已公开已公开已公开已发觉CVE-2021-26919代码执行8.8已公开已公开未公开已发觉CVE-2021-36749任意文件读取6.5已公开已公开未公开已发觉CVE-2021-25641代码执行8.8ApacheDubbo已公开已公开已公开未知CVE-2021-30179代码执行8.8已公开已公开已公开未知CVE-2021-30180代码执行6.8已公开已公开未知未知CVE-2021-30181代码执行6.8已公开已公开未知未知CVE-2021-36162代码执行8.8已公开已公开已公开未知CVE-2021-36163代码执行6.8已公开已公开已公开未知CVE-2021-26295代码执行9.8ApacheOFBiz已公开已公开已公开未知CVE-2021-29200代码执行9.8已公开已公开已公开未知CVE-2021-30128代码执行9.8已公开已公开已公开未知CVE-2021-37608任意文件上传9.8未公开未知未知未知CVE-2021-27905服务端请求伪造9.8ApacheSolr已公开已公开已公开已发觉Druid28ApacheDruid询分析("OLAP"的漏洞大部分为中高危，威逼类型有任意文件读取、代码执行等。28ApacheDruidDruidApacheDruid（CVE-2021-25646，此漏洞细节及EXPURLHTTPInputSourceApacheDruid（CVE-2021-36749ApacheDruidDubboApacheDubboJavaRPCRPCDubbo2.7RPCFastjsonKryoFSTJDKProtostuff/ProtobufAvroGson，供应高机敏性的同时也伴随着很大的平安性风险。2021531DubboDubbo.10202164，CVE-2021-25641化漏洞细节及PoC在互联网上公开，攻击者可在Dubbo协议中替换SerializationKryoFSTHessian220216CVE-2021-30179Genericfilter处理泛型调用不当导致反序列化漏洞。2021830DubboPoCCVE-2021-36162SnakeYAMLYAMLCVE-2021-36163Hessian29DubboRPC并提前设置相应的平安措施。29OFBizApacheOFBizWEBOFBizJavaweb序的组件和工具。2021321，ApacheOFBiz17.12.06RMI2021428OFBizCVE-2021-29200、CVE-2021-30128，2021429CVE-2021-26295ApacheOFBiz17.12.06（RMI触发服务端反序列化，从而执行任意代码。SolrSolr是一个高性能，采用Java5开发，基于LuceneLucene2021413CERTApacheSolrApacheSolr（CVE-2021-27905PocOFBizSolr202158CERTApacheSolr除漏洞，Solr默认安装后无需任何其它配置即可删除系统任意文件。在默认安装的情况下，未经身份验证的攻击者可以删除系统任意文件。30Solr今年虽然未消失风险极大的命令执行漏洞，但是服务端请求伪造(SSRF)SSRF30高的。LinuxLinuxLinuxTrendMicroLinux用户，约为61%，Windows39%。Linux2021eBPFNetfilterTIPCEXP升至ROOTSudo（CVE-2021-3156）洞。2021年值得关注的Linux漏洞如下：漏洞编号威逼类型CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-3156权限提升7.8已公开已公开已公开未知CVE-2021-31440权限提升7.0已公开已公开已公开未知CVE-2021-3490权限提升7.8已公开已公开已公开未知CVE-2021-34866权限提升7.8已公开已公开已公开未知CVE-2021-22555权限提升7.8已公开已公开已公开未知CVE-2021-33909权限提升7.8已公开已公开已公开未知CVE-2021-3493权限提升7.8已公开已公开已公开未知CVE-2021-26708权限提升7.0已公开已公开未知未知CVE-2021-43267远程代码执行9.8已公开已公开已公开未知sudo本地权限提升漏洞（CVE-2021-3156）31Sudo的全称是LinuxROOT户身份运行命令。2021126，QualysSudo31溢出漏洞”BaronSamedit”)ROOT20117Sudo23证该EXPLinuxKerneleBPF本地权限提升漏洞eBPFLinux3eBPF2021527，ZDICVE-2021-31440Ubuntu20.10KuberneteseBPF6432202169ExPCERTExP2021年7月20日，国外平安研究员chompie1337在互联网上公开了CVE-2021-3490EXPUbuntu20.04，Ubuntu20.10，Ubuntu21.04Ubuntu21.04是由于按位操作（AND，ORXOR）eBPFALU3232CERTEXP2021128，flatt_securityCVE-2021-34866ExP4PWN2OWN2021ExprootLinuxKernelNetfilter本地权限提升漏洞（CVE-2021-22555）322021716theflow15NetfilterLinux2.4.xhook(NAT)32kCTFkubernetespodExPCERTExPLinuxKernelSequoia本地权限提升漏洞（CVE-2021-33909）2021720，QualysLinuxKernelSequoiaLinuxKernelrootExPlinuxKernel版本受到影响。LinuxKerneloverlayfs本地权限提升漏洞（CVE-2021-3493）2021419LinuxKerneloverlayfsExPUbuntuOverlayfs，OverlayFSLinuxrootExPLinuxKernelVSOCK（CVE-2021-26708）202129LinuxKernelVSOCK本地权限提升漏洞的漏洞利用技术细节。VMVMSocketsAPI，可促进之间的LinuxKernelVSOCKrootPoCLinuxKernelTIPC远程代码执行漏洞（CVE-2021-42367）332021114LinuxKernelTIPC远程代码执行漏洞（CVE-2021-42367）的漏洞细节。TIPC作为内核模块实现，存在于LinuxUDP33消息传递是挨次保证、无丢失和流把握的。延迟时间比任何其他已知协议都短，而最大吞吐量可与TCP相媲美。主要应用在集群上。经过身份验证的本地攻击者可以利用该漏洞实现本地权限提升和远程代码执行。值得留意的是，该漏洞的利用技术细节和ExP已公开。奇安信已验证该ExP有效。2021817目光关注至供应链攻击。威逼日益严峻。漏洞编号威逼类型CVSS评分厂商漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-35211代码执行9.8Solarwinds已公开已公开未知已发觉CVE-2021-35392内存损坏8.1Realtek已公开已公开已公开已发觉CVE-2021-35393内存损坏8.1已公开已公开已公开已发觉CVE-2021-35394命令执行9.8已公开已公开已公开已发觉CVE-2021-35395代码执行9.8已公开已公开已公开已发觉CVE-2021-29505代码执行7.5Xstream已公开已公开已公开已发觉CVE-2021-21347代码执行6.1已公开已公开已公开已发觉CVE-2021-39144代码执行8.5已公开已公开已公开已发觉CVE-2021-39149代码执行8.5已公开已公开已公开已发觉Solarwinds34SolarwindsServ-U是目前众多的FTP服务器软件之一.通过使用Serv-U,34PCFTPFTPPCFTP服务器连接,进行文件或目录的复制,移动,创建,和删除等。202179CERTSolarwinds其中修复了Serv-UCVE-2021-35211SolarwindsIOC。漏洞时间线如图2-2所示：图2-2SolarwindsServ-U漏洞时间线SolarWinds12SolarWindsOrion（FBI联合发布声明，SolarWinds3报告了去年供应链攻击的费用为350万美元7CVE-2021-35211180001/3SolarWinds，可见供应链攻击的危害之大。Realteksdk352021年8月17日，奇安信CERT监测到iot-inspector发布了关于Realtek35SDKRealtekSDK(CVE-2021-35395)65响，漏洞危害极大，并已发觉在野利用。漏洞时间线如图2-3所示：图2-3RealtekSDK漏洞时间线RealtekSDKRealtekSDKXstreamXStreamOXMappingJavaXMLjavaBeanXMLXMLCVE202128SSRF36XMLXstream363737XStream1.4.18开源或商用系统，影响力不可忽视。2021，Oracle191HTTPServerCVE-2021-41773CVE-2021-42013ApacheTomcat72021值得关注的漏洞如下：漏洞编号威逼类型产品CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-2109代码执行OracleWebLogicServer7.2已公开已公开已公开未知CVE-2020-14756代码执行9.8已公开已公开已公开未知CVE-2021-2136代码执行9.8未公开未知未知未知CVE-2021-2135代码执行9.8已公开已公开已公开未知CVE-2021-2382代码执行9.8未公开未知未知未知CVE-2021-2397代码执行9.8未公开未知未知未知CVE-2021-2394代码执行9.8已公开已公开已公开未知CVE-2021-35617代码执行9.8未公开未知未知未知CVE-2021-41773信息泄露ApacheHTTPServer7.5已公开已公开已公开已发觉CVE-2021-42013信息泄露9.8已公开已公开已公开已发觉CVE-2021-40438服务端请求伪造9.0已公开已公开已公开已发觉CVE-2021-42340拒绝服务ApacheTomcat7.5已公开已公开已公开已发觉WeblogicWebLogicOracleJAVAEEWebJavaJavaEnterpriseWebLogicJavaEEWebLogicT3、IIOP、HTTPWebLogicT3CORBAIIOPWebLogicJavaRMIWebLogic2021118CVE-2020-14756coherenceJDK2021419CVE-2021-2135CVE-2020-14756T3IIOP协议序列化数据传输到服务端即可执行任意代码，在这次的补丁中除了增T32021719CVE-2021-2394IIOPIIOP同时在这次修复中除了增加黑名单列表外，也将处理IIOP协议的输入流IIOPInputStreamOracleWebLogicWebLogic38ApacheHTTPServer38ApacheHTTPServer（HTTPd）UnixWindowsWebWeb2021104ApacheApacheHTTPServer2.4.502.4.49（CVE-2021-41773112,0002.4.49验证代码在互联网上传播。7ApacheHTTPServer2.4.51ApacheHTTPd2.4.50ApacheCVE-2021-42013ApacheHTTPServer2.4.492.4.50利用双编码形式绕过了CVE-2021-41773的补丁即2.4.50版本，同时表明若ApacheHTTPdcgiPoCEXPApacheTomcat39TomcatApacheJakartaWebJavaApacheTomcat（CVE-2021-42340202110ApacheTomcat拒绝服务漏洞（CVE-2021-42340）史bug63362的修复，一旦WebSocket连接关闭，用于收集HTTP升级连接的对象就不会针对WebSocketPoCEXPTomcat服务崩溃。Tomcat从初版发布到现在已有二十多年历史，在世界范围内被广泛SpringBootTomcat394040万个Tomcat服务器正在运行使用，这也意味着漏洞波及范围远不止于此。云原生技术和虚拟化技术，云原生的代表技术包括容器、服务网格（ServiceMesh（MicroserviceAPIIT组织能够在单个服务器上/容器攻2021年消失许多云原生和虚拟化漏洞，今年值得关注的漏洞如下：漏洞编号威逼类型影响产品CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用QVD-2021-35915身份认证绕过HadoopYarn9.8已公开未知已发觉CVE-2021-2310权限提升VirtualBox7.5已公开未知未知未知CVE-2021-2145权限提升7.5已公开未知未知未知CVE-2021-2442拒绝服务6.0已公开未知未知未知CVE-2021-28476代码执行MicrosoftHyper-V9.9已公开已公开未知未知CVE-2020-8562权限提升Kubernetes2.2已公开已公开未知未知CVE-2021-25735权限提升6.5已公开已公开已公开未知CVE-2021-25737信息泄露4.8未公开未知未知未知CVE-2021-25741容器逃逸9.9已公开未知未知未知CVE-2021-20291拒绝服务CRI-OandPodman6.5已公开未知未知未知CVE-2021-30465容器逃逸runc8.5已公开已公开已公开未知CVE-2021-21287SSRFMinIO7.7已公开已公开已公开未知CVE-2021-38112代码执行AWSWorkSpaces8.8已公开已公开已公开未知CVE-2021-21972代码执行VMware9.8已公开已公开已公开未知CVE-2021-21973SSRF5.3未公开未知未知未知CVE-2021-21974代码执行8.8已公开已公开未知未知CVE-2021-21975SSRF8.6已公开已公开已公开已发觉CVE-2021-21985代码执行9.8已公开已公开已公开已发觉CVE-2021-21998身份认证绕过9.4未公开未知未知未知CVE-2021-22048权限提升7.1未公开未知未知未知CVE-2021-22005代码执行9.8已公开已公开已公开已发觉CVE-2021-22017权限提升7.3已公开已公开已公开未知CVE-2021-21998身份认证绕过9.8未公开未知未知未知CVE-2021-34824信息泄露Istio8.8未公开未公开未发觉QVD-2021-20125代码执行Yapi8.7已公开已公开已公开已发觉ApacheHadoopYarnRPCApacheHadoopYarnRPC，ApacheHadoopYarnRPC接口在默认情况下对外开放服务且不需要身份认证，未授权的攻击者可以编写YarnClientApacheHadoopYarnRPCServeApplication，即可在目标HadoopApacheHadoopApacheHadoopYarnPoC20211115YarnRPCVirtualBox20211123OracleVirtualBoxNAT（CVE-2021-2310、OracleVirtualBoxNAT权限提升漏洞（CVE-2021-2145）OracleVirtualBoxNAT（CVE-2021-2442）技术细节，OracleVirtualBox是一款功能强大的x86和AMD64/Intel64拟化产品，适用于企业和家庭使用。经过身份验证的攻击者可以利用OracleVirtualBoxNATrootOracleVirtualBoxNATMicrosoftHyper-V412021511MicrosoftHyper-V远程代码执行漏洞平安41202161MicrosoftHyper-VPoC。Hyper-VMicrosoft用于在Windows系统和AzurehosthostPoCKubernetes4Kubernetes20214，Kuberneteskube-apiserver代理绕过漏洞（CVE-2020-8562，攻击者可以利用该漏洞访问Kubernetesapiserver。20215，Kubernetes披露KubernetesAdmissionWebhook认证绕过漏洞（CVE-2021-25735）和EndpointSlice（CVE-2021-25737，通过利用KubernetesAdmissionWebhook认证绕过漏洞，攻击者可以绕过验证准入WebhookKubernetesEndpointSlice认证信息泄Kubernetes已经阻挡在本地主机或本地链路范围内创建端点攻击者也可以重定向pod能导致敏感数据泄漏，攻击者也能窃取凭证，利用该凭证在内网中横向移动。20219，KubernetsKubernets（CVE-2021-25741CRI-OandPodman（CVE-2021-20291，攻击者可能会将恶意映像拉到多个不同的节点，使全部节点崩溃并破坏集群。runC422021530runCPoC，runC是对于OCICLIdockerrunC42攻击者可以利用该漏洞实现容器逃逸，猎取到docker、k8s主机的访问权限。MinIO2021一月30，MinIOSSRF供应高性能、S3兼容的对象存储。MinIO原生于Kubernetes，是KubernetesAWSWorkSpacesAWSWorkSpaces存在远程代码执行漏洞，AmazonWorkSpaces部署在AmazonVirtualPrivateCloud(VPC)内，本地设备上不存储任何用户数据。WorkSpacesURI，攻击者就能够在受害者的操作系统上执行代码。VMware2021年2月23日，VMware官方发布平安通告披露VMwarevCenterServer远程代码执行漏洞（CVE-2021-21972443vCenterServerWebShell，最终造成远程任意代码执行。通过资产测绘工具搜集到公网上易受影响的VMwarevCenterServer6700224GitHub，与此同时BadPackets2021525，VMwareCVE-2021-21985VMwarevCenterServer443526，Rapid7Labs6000vCenterServer202162CVE-2021-2198563BadPackets发觉在野利用。432021年9月21日，VMware官方发布平安通告修复vCenterServer中的1943CVE-2021-22005VMwarevCenterServervCenterServer443端口的访问权限的攻击者可以向vCenterServer（PoC（CEIP924PoCCVE-2021-22017rhttpproxyanalyticsJSP，VMwareIstioIstioAPIIstio集成到任何日志记录平台、遥测或策略系统中。在设计上，Istio可以在多种环境中运行：企业本地、云托管、Kubernetes或虚拟机上运行的服务等。2021624CERTIstioIstioCVE-2021-34824GatewaysDestinationRulescredentialNameIstio(CVE-2021-34824)TLSCAIstio在Yapi44Yapi是一款使用起来非常便利的接口管理平台，许多大型企业也在使用该平台作为接口管理工具，202178CERTYApi0day攻击者可以通过注册接口猎取权限。4445450dayYapiYapiCERTYapiYapiPro项目前，开发者应当评估该项目的平安性，并准时关注官方的平安通告。2021年是疫情发生的第二年，由于疫情，越来越多的企业和公司开始尝试2021202220222021年值得关注的网络设备及应用漏洞如下：漏洞编号威逼类型产品CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用QVD-2021-7834命令执行JumpServer高危已公开已公开已公开已发觉CVE-2021-22986远程代码执行F5Networks9.8已公开已发觉未知已发觉CVE-2021-22987命令执行9.9已公开已发觉未知未知CVE-2021-22988命令执行8.8未公开未知未知未知CVE-2021-22989命令执行9.1未公开未知未知未知CVE-2021-22990命令执行7.2未公开未知未知未知CVE-2021-22991缓冲区溢出9.8未公开未知未知未知CVE-2021-22992缓冲区溢出9.8已公开未知未知未知CVE-2021-22893远程代码执行PulseConnectSecureSSLVPN10已公开已发觉未知已发觉QVD-2021-35927文件上传FatPipeMPVPN8.8未公开未知未知已发觉CVE-2021-3064远程代码执行PaloAltoNetworksGlobalProtectPortalVPN9.8未公开未知未知未知JumpServerJumpServer是全球首款开源的向企业级用户交付多云环境下的堡垒机，使用Python/DjangosshWebTerminal20211JumpServer发布更新，修复一处未授权访问漏JumpServertokenwebsocketPoCEXP因此在发觉后的很长一段时间内热度依旧很高。F5NetworksF5NetworksNetworksF5Networks的解决方案，F5Networks的BIG-IP/BIG-IQF5NetworksAPT4620213APTBIG-IPBIG-IPIPBIG-IP46iControlRESTBIG-IPAPTPoCBIG-IPBIG-IPIPManagementUserInterfaceCVE-2021-22987CVE-2021-22988，经过身份BIG-IPIPBIG-IPAdvancedWAFASMBIG-IPIPTMUICVE-2021-22989CVE-2021-22989BIG-IPAdvancedWAFBIG-IPASMBIG-IPIPTMUI，CVE-2021-22990CVE-2021-HTTPBIG-IPDoSCVE-2021-22991URLBIG-IPBIG-IP/IQBIG-IPVPN47虚拟专用网络(VPN)VPNAPT47VPN2021VPN0dayVPNVPNCVE-2021-22893PulseConnectSecureSSLVPNPulseConnectSecureSSLVPNSSLVPNweb20214APTCVE-2021-22893PulseConnectSecureSSLVPNAPT，APTHTTPPulseConnectSecureFatPipeMPVPN文件上传漏洞FatPipeMPVPNVPNVPN，FatPipeMPVPN202111FatPipeVPN到FatPipeVPNrootwebshell。202111FBIAPT20215VPNCVE-2021-3064PaloAltoNetworksGlobalProtectPortalVPN48PaloAltoNetworksGlobalProtectPortalVPNVPN，202110Randori的平安研究人员VPN0dayCVE-2021-3064，484949root化（AddressSpaceLayoutRandomizationASLRVPNVPN2021webPC，APTChromeChromeChromeOA系列协同办公系统广泛应用于中小企业日常办公，网络空间搜索引擎探CNVD202165Atlassian2021年虽然披露的漏洞不多，但高危漏洞热度居高不下。GitLab154Exim202122Exim2222CVE21Exim2021年企业级应用及办公软件值得关注的漏洞如下：漏洞编号威逼类型产品CVSS评分漏洞威逼状态技术细节PoC状态EXP状态在野利用CVE-2021-21148代码执行Chrome8.8未公开未知未知已发觉CVE-2021-21220代码执行8.8已公开已公开已公开已发觉CVE-2021-21224代码执行8.8已公开已公开未知已发觉CVE-2021-37975代码执行8.8已公开未知未知已发觉CVE-2021-37976信息泄露6.5未公开未知未知已发觉CVE-2021-30632代码执行8.8已公开已公开未知已发觉CVE-2021-30633释放后重用9.6未公开未知未知已发觉CVE-2021-26084代码执行AtlassianConfluence9.8已公开已公开已公开已发觉CVE-2020-36239代码执行AtlassianJira9.8未公开未知未知未知CVE-2021-26086文件读取5.3未公开已公开未知未知CVE-2021-22205代码执行GitLab10已公开已公开已公开已发觉CVE-2020-28007本地权限提升Exim7.8已公开已发觉未知未知CVE-2020-28008本地权限提升7.8已公开