2023漏洞威胁分析报告

深信服千里sangforDeepNsight深信服智安全深信服千里sangforDeepNsight深信服智安全2023漏洞威胁分析报告千里目千里目-深瞳漏洞实验室在国家级漏洞库披露的漏洞中，高危和超危漏洞占比超过50%，根据已知被利用漏洞（KEV）目本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深瞳漏洞实验室，目的仅为本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股国际安全漏洞治理动向我国在安全漏洞管理方面的发展现状概述漏洞公开披露情况漏洞利用情况AtlassianConfluence权限提升漏洞(CVE-2023-22515)070day在野利用周期攻防场景0day漏洞概况攻防场景漏洞攻击手法CNTENTS某帆报表反序列化漏洞某安防平台文件上传漏洞传统漏洞评估的现状先进合理的优先级技术美国始终将“协调”与“共享”作为其网络安全战略间的合作，确保了对关键基础设施的安全威胁能够及时被发现和有效控制。这些措施显著提高了漏洞资源的共享和共治能对国家安全至关重要的系统和资产的重要性，以及发现并管理关键信息基础设施的脆弱性。其首要任务是构建国家层面的0101我国陆续推出相关政策，旨在确保国家网络安全和网络产品及关键系统的稳定运行。依据《网络安全法》的规定，工业和报告、修补和发布流程，明确网络产品提供者、运营者及漏洞发现和发布相关方的责任与义务，并鼓励各方利用自身技术我国正从政策宣传、机制完善和平台建设等多个方面，全面推进《网络产品安全漏洞管理规定》的执行。首先，加强政策宣传和指导，为相关企业和机构提供政策咨询，引导漏洞收集平台依法运作。其次，完善相关工作机制，确立漏洞评估、发布和通报的标准流程，并明确漏洞收集平台的备案和报告要求。最后，加强网络安全威胁和漏洞信息共享平台的建设，并正在制定相关的信创漏洞国家标准，以推动漏洞管理工作向制度化、规范化和法治化方向发展，提升各责任主体的管理0202回漏洞公开披露情况00■漏洞影响对象情况比例持续上升，而应用程序漏洞的比例则稳步下降，如下图所示。同时，网络设备漏洞的比例略有增加，操作系统漏洞的Web应用漏洞的增加主要源于安全意识的不足0303要威胁是未经授权的信息泄露，如下图所示。此类泄露事件可能严重侵犯个人隐私，引发财务损失，损害商业信誉，甚至可能触发法律诉讼。此外，敏感信息如秘钥、令牌的泄露可能成为黑客攻击的跳板，使攻击者得以进一步利用这些信息访其次是管理员访问权限获取，一旦获得管理员权限，攻击者便能完全控制系统，访问敏感数据、更改系统设置、甚至进行0404特别值得注意的是，2021年后被勒索软件利用的漏洞数量也呈下降趋势，这与西方国家开展的打击勒索软件活动密切相027027通过对已知被利用漏洞（KEV）目录的统计和分析，我们得到各大厂商的漏洞分布及其增长情况，如下图所示。在已知被与2022年相比，各大厂商的已知被利用漏洞数量增长情况用黄色折线图表示。分析发现，Apache、Apple、GoOracle等厂商的漏洞增长速度较高。基于当前的增长趋势，预这一分析结果强调了对于这些领先厂商的产品和服务，持续的安全监测和及时的漏洞修补工作尤为重要。用户和组织应当密切关注这些厂商发布的安全更新和补丁，以确保其系统和网络环境的安全性。同时，厂商也应加大在产品安全设计和漏05050117.9%漏洞数量增长率一款全球广泛使用的操作系统，Windows的用户群体分布极为广泛。根据深信服千里目安全技术中心的数据显示，全球力和安全防护的重要性。因此，建议国内用户特别关注Wind存损坏问题。浏览器漏洞的潜在危害极大，攻击者可能通过这些织和黑灰产团伙，他们经常利用钓鱼链接触发浏览器漏洞来获取权限，这种攻击手法隐蔽性强，用户很难意识到自己正遭受攻击。攻击者还可能通过不断变化的攻击策略和手段来规避安全防护，这进一步增加了安全防护的难度。因此，用户需Office0606漏洞名称：AtlassianConfluence权限提升漏洞由于AtlassianConfluence的用户权限控制存在问题，攻击者可利用该漏洞在未授权的情况下，通过创建管理员账号执行AtlassianConfluence8.0.0-8.0.3AtlassianConfluence8.1.0AtlassianConfluence8.1.3-8.1.4AtlassianConfluence8.2.0-8.2.3AtlassianConfluence8.3.0-8.3.2AtlassianConfluence8.4.0-8.4.2AtlassianConfluence8.5.0-8.5.10707■漏洞分析AtlassianConfluence在安装新的服务器时，会通过/setup/下的URL路径来配置服务器。其中/setup/setupadminis-trator.action路由作用是创建第一个管理员账户。设置完成后，正常情况下将不再调用所分析struts.xml文件，该文件管理了Confluence的拦截器（Confluence本身基在SetupCheckInterceptor类方法来验证Confluence服务器是否已经完成了初始设置过程。跟进到isSetupComplete的实现，调用了this.0808由技术背景可知，XWorks2可以通过提供HTTP参数来调用对象上的setter方法。只需要找到一个能够调用到09091010111112121313try{}protectedThrowabletightUnmarsalThrowable(OpenWireFormatwireFormat,DataInputdataIn,BooleanStream}}1414BaseDataStreamMarshaller只是抽象类，需要找到它具体的实现类，从补丁的描述看，相关的子类为ExceptionRe-publicvoidtightUnmarshal(Ope}1515在Servlet库中，此方法可以将值为空的参数变为“”，不为null，也就不满足上述if的条件了。所以只能从16161717可以操纵文件上传参数以启用路径遍历，在某些情况下，这可能导致上传可用于执行远程代码执行的恶意文件，最终获取2.5.0≤ApacheStruts26.0.0≤ApacheStruts2≤fileName、file。181819192020的前两位字母进行判断若首字母为小写，第二个字母为大写直接返回，不然都会将第一个字符转换成大写，这样就造成了2121根据已知被利用漏洞（KEV）目录和谷歌跟22220day漏洞的在野利用案例正逐年增多，表明网络安全面临的挑战日益增加。谷歌团队对0day漏洞的利用情况进行了跟踪分析，结果显示在过去十年中，尤其是在最近三年，0day漏洞的在野利用事件变得更加常见。这种明显增长的趋势主要归因于黑客利用0day漏洞进行攻击时能够有效规避现有的安全防护措施，从而大幅提升攻击的成功率。0用出现在攻防演练场景中。随着攻防常态化，将会有越来越多的0day被利用在网络攻击中，对于0day漏洞的发现与防2323AtlassianConfluenceAtlassianConfluence2424在野利用的广度意味着攻击者攻击范围也很大。其中许多漏洞无需物理访问目标系统就可以远程利用，攻击门槛较低。获取机密数据的难度，给用户带来了很大的威胁。2023年，LockBit和Clop在勒索软件表现领域突出。LockBit使用先进的勒索软件即服务模型，针对一系列组织，包括漏洞，允许远程攻击者绕过身份验证并利用堆损坏。TA505（也称CLOP勒索软件团伙）也利用这些漏洞策划多起引人瞩目的网络攻击，特别是在金融、IT和医疗保健领域。Clop的活动包括利用CVE-2023-27350、CVE-2023-34362、但都可以造成危害，并被勒索软件组织利用。2023年，深信服千里目深瞳漏洞实验室持续跟踪Tellyouthepass勒索组织最新动向，猎捕并分析Tellyouthepass勒索利用某远OA文件上传漏洞对国内发动大规模利用某通任意文件上传0day漏洞多国内发动利用某友NC反序列化漏洞及某通高危漏洞对利用某通前台远程命令执行漏洞对国内实施大利用某综合安防管理平台任意文件上传漏洞对利用某综合安防管理平台任意文件上传漏洞对2023年5月，Tellyouthepass勒索家族利用某通文档安全管理系统0day漏洞进行勒索攻击，通过在受害者机器上部署WebShell下发并加载勒索模块，将勒索程序进程注入进Web应用服务的主程序。此类攻击方法的优点是能避开很多传2525较为相近。深信服千里目深瞳漏洞实验室的部分统计数据如下，平均0day漏洞在野利用周期为43天。近年，随着攻击效率的不断提高，75%的漏洞在披露后的19天内会被利用，其中部分0day漏洞在披露的当天就会被大规模利用。在野利用0day漏洞的平均修复时间约为30武器化的漏洞的平均修复时间为17.4天，有效序的两倍，所以无论是0day漏洞的发现还是修复，都有很大的提升空间，需要用户和组织对补丁管理和0day漏洞的发综合分析近几年的0day漏洞，其中部分0day漏洞的产生原因是对历史修复补丁的绕过或者修复不彻底造成的新漏洞变漏洞编号软件名称漏洞类型漏洞变体HylandAlfrescoCommunityEdition模板注入漏洞Cacti跨站脚本攻击QlikSenseEnterpriseforWindows权限提升漏洞GitLabCE/EE信息泄露漏洞拒绝服务漏洞IBMQRadarSIEM信息泄露漏洞DolphinPHP命令注入漏洞在日常的0day猎捕过程中发现，很多被利用的漏洞并不是0da“ESXiArgs”勒索软件组织攻击了运行VMwareESXi虚拟机管理程序的客户。据美国联邦调查局和美国计算机安全管理局调查数据显示，全球受到攻击影响的服务器数量超过了3800台。攻击者利用了一个已经存在两年之久的漏洞（编号为及时性、有效性、全面性，在0day漏洞治理方面发挥着至关重要的作用。2626回攻防场景0day漏洞概况2727、攻防场景漏洞攻击手法ConfluenceJBOSSJenkinsConfluence备和攻击手法研究会有更多的投入。从防御角度来看，事前需要进行更细致的资产排查、风险管理和补丁修复。面对攻防例如：防止利用身份认证绕过漏洞完成系统的初始访问；防止利用远程代码执行漏洞实现横向移动；防止利用权限提升漏一些例如身份认证绕过等具有极强隐蔽性的0day漏洞，用户或组织难以感知。随着2828实战攻实战攻防演练期间2929实战攻防演练期间，深信服千里目深瞳漏洞实验室通过对某帆报表高危接口channel进行监控，猎捕流量，其中发现了java.security.SignedObject关键类，这个类是造成黑名单绕过的关键，通过构造二次反序列化绕过某它的成员content中存储序列化的数据，在getObject方法中则会对content的内容进行反序列化，从而实现二次反序}a.close();}3030try{}}3131某安防平台组件由于对获取权限接口校验不足，攻击者可能利用该漏洞获取平台权限。某安防平台组件由于对获取权限接口校验不足，攻击者可能利用该漏洞获取平台权限。 某安防企业安全应急响应中心某安防平台历史版本由于对上传文件接口校验不足，攻击者可以将恶意文件某安防平台历史版本由于对上传文件接口校验不足，攻击者可以将恶意文件上传到平台，导致获取服务权限或服务异常。3232回某户OA远程代码执行漏洞333334343535通过对2023年攻防场景中的漏洞利用情况进行分析，发现高可利用0day3636开源软件风险与供应链安全密不可分。由于开源软件被广泛使用，供应链的安全风险也逐渐提高。Synopsys在2023年的报告中分析了1703个代码库，其中96%包含开源代码，76%项目全部02018201920203737在开源组件最易忽略漏洞所使用语言中，Java和JavaScript排名靠前。Java由于其遗留代码以及打包方式（.jar包）经常使得漏洞与依赖关系不明显，在容易被忽视漏洞占比最大，达到了42.5%；JavaScript由于其各种功能特性的包和1.7%、JaveJavaScriptGartner预测，到2025年全球45%的企业机构将遭遇软件供应链攻击。与此同时，开源生态系统正在通过缩短公修复漏洞的时间窗口，加强开源和供应链安全。3838开源软件通常比商业软件性能更强。但与此同时，开源组件是开放的，没有任何形式的保证，使用它的风险完全由下游用户承担。一旦企业决定依赖开放源代码，其安全性就成了企业的责任。开源软件的安全风险一方面会导致系统或数据的保密性、完整性和可用性受到损害；另一方面也会增加开发、维护的工作量和成本。以下列举了可能会给下游用户带被开发人员意外引入的漏洞，该类漏洞时效性较强，细节一般会在互联网上公开披露。利用该开源组件的开源软件可能不再积极更新，当历史漏洞被披露时人员完成，但由于缺乏相应的知识储备，会导致工作量的增加。在漏洞修复开发期间，系统依然受尽管开源软件一直在持续更新，但由于下游用户落后最新版本太多，当使用版本出现安全风险或漏洞时，由于开源软件依赖关系错综复杂，开源软件自身也会引用其他的开源软开源软件出现安全风险，例如log4j2，开发者无法彻底的排查出内部所有存在安全漏洞的开源软件，从3939该漏洞利用难度低且能造成RCE，攻击者可以通过默认的61616服务端口利用该漏洞执行恶意命令，导致服务器失陷。该漏洞已在公网上出现大规模的在野利用，黑产组织、APT组织也都开始将目光转移到这个影响力巨大的漏洞上。4040设计模式中，ApacheStruts2利用该漏洞可以在目标服务器上执行命令，获取服务器权限。业界极大的反响和关注。11日公布该漏洞，该4141虽然该漏洞利用条件较为苛刻，但也揭示了开源软件潜在的安全风险，为开发人员敲响了警钟。4242■HTTP/2协议拒绝服务漏洞(CVE-2023-44487)攻击者利用此漏洞可以针对HTTP/2服务器发起DDoS攻击，最终导致目标服务协议漏洞公开后，包括Tomcat在内的各大知名软件也纷纷发布漏洞公告，表示产品同样受到该漏洞影响。4343随着越来越多的开源软件被引入到业务功能的开发中，开源软件的安全性也会越来越被重视。由于开源软件的应用范围很广，即使出现一个漏洞，也会产生较为广泛的影响。因此攻击方会将开源软件的漏洞挖掘作为重要目标。针对开源软件漏大部分开发者会更加倾向于将更优秀更知名的开源软件部署到自己的项目中，造成聚合效应。但一旦开源软件出现漏洞，随着开源项目对安全性的认可度不断提升和开源软件安全检测技术（如SCA，CodeScanning，Secret4444通过海量的HTTP流量、日志、代码等数据的预训练而成的深信服大模型具备了HTTP流量理解能力、代码理解能力、攻防对抗理解图图该payload使用了插入了特殊字符,还原后的payload4545深信服安全GPT检测大模型定位于下一代流量检测响应（NDR）产品的核心引擎，可以通过流量、文件、行为等维度攻类似一个懂攻防、识代码的“虚拟专家”，致力于针对0day等高对抗攻击，深信服安全GPT检测大模型是业界第一个将大模型技术运用到安全检测场景中的应用。在对海量的安全垂直领域数据学习之后，检测大模型具备了对各个安全任务的检测能力，效果大幅超越传统检测引擎。深信服安全GPT检测大模型首创了三阶段式训练方法，并结合业界领先的Kubernetes容器编排+GPU池化技术， 月周是对大规模语料（安全+通用）做无监督预训练，这个阶段的目的是让大模型理解什么是安全。二阶段微调，我们采用使得模型具备更强的鲁棒性，大幅降低模型的幻觉问题。即使通过多阶段训练得到了一个检测效果表现非常好的大模型，但是要应用到检测领域当中还需要解决一个问题，也就是推理性能问题。在这个阶段，我们主要应用了四种不同的方法去提升推理性能，一是知识蒸馏，将大模型从海量数据中压缩好的知识传授给一个小参数量模型，模型小了，推理性能自然提升了。二是通过模型量化的手段，接受一定效果损失带来大幅度的性能提升。三是通过模型剪枝的手法，减少模大模型具备了类似安全专家一样的HTTP流量、日志、代码理解和分析能力。能通过自注意力机制关注到web流量代码中的异常，判断代码意图，理解代码是否具有恶意特性，进一步基于上下文进行准确关联和综合研判。大模型针对web流量具有良好检出效果，多个高绕过的web攻击数据集验证，相比传统正则规则和语法语义引擎，基于大模型的web流量检测方法检出率得到明显提升，误报率得到明显下降。4646通过对网络流量进行实时监控和分析，识别出潜在的攻击行为，并采取相应的措施进行防御，从而提高网络安全性。HIPS相比于传统实体漏洞补丁的修复方式，具有无需下载实体补丁、兼容多种操作系统、无需重启服务、可快速更新攻击特征1345没有补丁可用，防护空窗期补丁评估、试验，防护空窗期134522VV1416netfilter23231416netfilter23232）规则匹配：使用流量分析引擎来分析捕获到的数据包，分析引擎通过各种规则来定义特定的攻击模式或异常行为。当4747在当前风险环境中，各种规模的组织都面临着管理漏洞的数量和复杂性的挑战。在安全运营过程中，大部分组织仍然使用传统的漏洞管理方法，也就是通用漏洞评分系统（CVSS）来确定优先修复哪些漏洞。通用安全漏洞评分系统(CVSS)是目前使用最为广泛的漏洞严重程度评估标准。认为是高危或严重漏洞。也就是说，每出现10万个漏洞，CVSS规定安全团队必须修复5.1万个漏洞。因此，如果仅仅将CVSS作为修复漏洞