2023年網(wǎng)絡(luò)安全漏洞態(tài)勢報(bào)告

2023年網(wǎng)絡(luò)安全漏洞態(tài)勢報(bào)告目錄CONTENTS1概述32Web應(yīng)用漏洞2.1新增漏洞趨勢2.2漏洞分類3操作系統(tǒng)漏洞134網(wǎng)絡(luò)設(shè)備漏洞175數(shù)據(jù)庫漏洞226工控系統(tǒng)漏洞7云計(jì)算平臺漏洞308總結(jié)與建議339結(jié)語38主動安全主動安全3勢，正文從Web應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、1概述1.1漏洞增長趨勢主動安全主動安全400總數(shù)●主動安全主動安全51.2攻擊總體態(tài)勢主動安全主動安全6主動安全主動安全74.數(shù)據(jù)泄露與濫用風(fēng)險(xiǎn)涌現(xiàn)，數(shù)據(jù)泄漏事件創(chuàng)下5.勒索團(tuán)伙加速高危漏洞武器化利用，主動安全主動安全8網(wǎng)絡(luò)安全是一個動態(tài)的領(lǐng)域，隨著技術(shù)的進(jìn)步，各種等新型設(shè)備，鑒于內(nèi)容的潛在不可靠性，VR/AR等增入用戶的VR/AR設(shè)備后，改變用戶通過設(shè)備看2Web應(yīng)用漏洞2.1新增漏洞趨勢主動安全主動安全902.2漏洞分類主動安全主動安全2.3重點(diǎn)漏洞回顧C(jī)VSSv3評分主動安全主動安全經(jīng)典漏洞盤點(diǎn)：還提供了自己的持續(xù)集成(CI)系統(tǒng)來管理項(xiàng)目，并提供用戶界面以國、美國、德國、印度、荷蘭、俄羅斯、法國和韓國等國家成為了攻擊者主要目標(biāo)。主動安全主動安全DataCenter&Server中的/setup端點(diǎn)的訪問控制不當(dāng)造成。通過利用此漏洞，攻擊者可以獲得的多路復(fù)用流，然后立即發(fā)送取消流(RST_STREAM)，導(dǎo)致服務(wù)器不斷分配資源處理流的創(chuàng)建和取消請2.4攻擊態(tài)勢分析主動安全主動安全3操作系統(tǒng)漏洞3.1新增漏洞趨勢03.2漏洞分類操作系統(tǒng)是應(yīng)用軟件和服務(wù)運(yùn)行的公共平臺，其安全漏洞是網(wǎng)絡(luò)安全的主要隱患和風(fēng)險(xiǎn)。對于操作系統(tǒng)，主動安全主動安全3.3重點(diǎn)漏洞回顧C(jī)VSSv3評分主動安全主動安全經(jīng)典漏洞盤點(diǎn)：過分析發(fā)現(xiàn)，該漏洞是由于NFS協(xié)議在處理服務(wù)器內(nèi)存不足時的方式不當(dāng)所致，當(dāng)申請內(nèi)存失敗時，程執(zhí)行任意代碼；任意代碼執(zhí)行；該漏洞能夠修改敏感的內(nèi)核狀態(tài)，從而可能控制設(shè)備；主動安全主動安全洞利用鏈“初始入口點(diǎn)”。3.4攻擊態(tài)勢分析主動安全主動安全44.1新增漏洞趨勢路由器、防火墻、交換機(jī)等設(shè)備作為關(guān)鍵信息基礎(chǔ)設(shè)施，其自身安全性已成為世界各國密主動安全主動安全04.2漏洞分類主動安全主動安全4.3重點(diǎn)漏洞回顧C(jī)VSSv3評分經(jīng)典漏洞盤點(diǎn)：主動安全主動安全話接管繞過了密碼和多重身份驗(yàn)證。威脅攻擊者使用特制的HTTPGET請求，迫使目標(biāo)設(shè)備返回身份驗(yàn)臺運(yùn)行易受攻擊的IOSXE軟件的思科設(shè)備已被利用這兩個安全漏洞的威脅者所破壞。F5BIG-IP是美國F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理碼和多重身份驗(yàn)證。威脅攻擊者使用特制的HTTPGE主動安全主動安全4.4攻擊態(tài)勢分析年前兩個月每個組織的平均每周攻擊次數(shù)增加了41%。平均每周，54%的主動安全主動安全5數(shù)據(jù)庫漏洞5.1新增漏洞趨勢主動安全主動安全05.2漏洞分類 主動安全主動安全5.3重點(diǎn)漏洞回顧C(jī)VSSv3評分經(jīng)典漏洞盤點(diǎn)：主動安全主動安全JDBCURL，執(zhí)行任意Java代碼，造成服務(wù)器被入侵或數(shù)據(jù)被泄露等危害。算機(jī)系開發(fā)。該系統(tǒng)支持大部分SQL標(biāo)準(zhǔn)并且提供了許多其他特性，例如外鍵、觸發(fā)器、視圖等。5.4攻擊態(tài)勢分析因?yàn)榈谌浇M件可能存在漏洞或與數(shù)據(jù)庫系統(tǒng)的集成方式存在安全問題等。例如：2023年7月美國客可以利用這些漏洞來繞過訪問控制、執(zhí)行未授權(quán)操作或竊取主動安全主動安全近年來，隨著APT組織的興起，數(shù)據(jù)庫成為了其漏洞利用的主要目標(biāo)之一。A6工控系統(tǒng)漏洞6.1新增漏洞趨勢主動安全主動安全06.2漏洞分類主動安全主動安全6.3重點(diǎn)漏洞回顧C(jī)VSSv3評分經(jīng)典漏洞盤點(diǎn)：主動安全主動安全全漏洞，該漏洞源于/api/runscript端點(diǎn)中存在遠(yuǎn)程命令執(zhí)行(RCE)漏洞。攻擊者可利用POST請求執(zhí)行任意命令。6.4攻擊態(tài)勢分析類基礎(chǔ)設(shè)施，且針對工業(yè)系統(tǒng)的攻擊會破壞工業(yè)系統(tǒng)的正常運(yùn)行，極易造成停產(chǎn)、停電等大規(guī)模的破壞，所以針對工控系統(tǒng)也成為了一些具有政治動機(jī)的黑客組織的首要攻擊目標(biāo)。2023年1月，黑客組織GhostSec聲稱對白俄羅斯的工業(yè)遠(yuǎn)程終端單元進(jìn)行了攻擊，造成了當(dāng)?shù)毓S停產(chǎn)停工。該組織是主動安全主動安全7云計(jì)算平臺漏洞7.1新增漏洞趨勢04893657217.2漏洞分類主動安全主動安全7.3重點(diǎn)漏洞回顧C(jī)VSSv3評分經(jīng)典漏洞盤點(diǎn)：主動安全主動安全用該漏洞在遠(yuǎn)程服務(wù)器上執(zhí)行任意代碼，從而獲取到遠(yuǎn)程服務(wù)在命令注入漏洞，影響該軟件6.2至6.10版本。服務(wù)器配置權(quán)訪問。此外，還有個API函數(shù)使用管理員權(quán)限接受用戶輸入而不對其進(jìn)行處理。將這兩個漏洞結(jié)合起以允許某人通過提供任意用戶名來執(zhí)行命令。惡意用戶可能能夠訪問權(quán)限檢查功能，該功能最終將根據(jù)7.4攻擊態(tài)勢分析主動安全主動安全隨著VMwareESXi成為最流行的虛擬化平勒索軟件對于高價(jià)目標(biāo)的針對性不斷提升，這也讓高價(jià)值目標(biāo)必須解決自身的老舊漏洞問題。8總結(jié)與建議漏洞被利用，造成云服務(wù)器癱瘓、勒索事件主動安全主動安全8.2安全建議與服務(wù)暴露原則等。具體細(xì)分領(lǐng)域的建議如域或URL重寫等不安全的方式存儲和維護(hù)。不使用客戶端提交的未經(jīng)審核的信息來給會話信息賦值，防止會話信息被