新華三攻防實驗室持續(xù)關注國內外網(wǎng)絡的安全漏洞和態(tài)勢，協(xié)同高級威脅分析、漏洞分析、威脅情報分析等領域專家一同發(fā)布《2021年網(wǎng)絡的安全漏洞態(tài)勢報告》。報告開篇概述了2021年漏洞和攻擊的總體趨勢，正文從Web應用、操作系統(tǒng)、網(wǎng)絡設備、數(shù)據(jù)庫、工控系統(tǒng)、云計算平臺多個角度分析了漏洞分布和攻擊態(tài)勢。本報告試圖以觀察者的視角剖析2021年網(wǎng)絡的安全領域新增漏洞情況以及演變趨勢，希望為各行業(yè)及相關企事業(yè)單位的網(wǎng)絡的安全建設提供參考和幫助。

漏洞增長趨勢

2021年新華三收錄的漏洞總數(shù)為20203條，其中超危漏洞2591條，高危漏洞8451條。

其中，超危與高危漏洞占比50%以上，高危以上漏洞比2020年增長14.3%。2016年至2021年漏洞總體呈逐年增長趨勢，其中高危以上漏洞逐年增長比例超過10%。

攻擊總體態(tài)勢

新華三攻防實驗室在2021年根據(jù)跟蹤的熱門及嚴重漏洞，新增2021年漏洞的防御規(guī)則710多條，其中超危漏洞占比17.1%，高危漏洞占比53.2%，兩者占比高達70.3%，含有CVE的漏洞為428條，占比60%，非CVE漏洞占比增加。

按照攻擊對象統(tǒng)計：

將新增漏洞規(guī)則按照攻擊對象進行統(tǒng)計，Web應用類漏洞占比較高，達到48.1%，Web應用類包括OA系統(tǒng)、CMS系統(tǒng)，2021年其漏洞仍然呈高發(fā)態(tài)勢;網(wǎng)絡設備類漏洞占比高達12.2%，近兩年利用網(wǎng)絡設備、安全設備漏洞進行內網(wǎng)攻擊的事件屢見不鮮，網(wǎng)絡設備自身安全不容忽視。

按照攻擊分類進行統(tǒng)計：

將新增漏洞規(guī)則按照攻擊分類進行統(tǒng)計，遠程代碼執(zhí)行類占比較高，達到32.7%，命令注入、SQL注入占比也較高，分別為10.8%和8.0%。遠程代碼執(zhí)行、命令注入為高風險漏洞，如果攻擊成功可以直接執(zhí)行攻擊者注入的代碼或命令。

WEB應用漏洞

Web應用由于其自身的公開屬性，涉及的攻擊面廣且遠程利用方式相對簡單，一直都是網(wǎng)絡攻擊的重災區(qū)。2021年新華三共收錄Web應用漏洞9103條，較2020年(6145條)增長48.1%，漏洞數(shù)量大幅增長。對比2020年和2021年每月Web應用漏洞變化趨勢如圖所示：

Web應用由于其自身的公開屬性，涉及的攻擊面廣且遠程利用方式相對簡單，一直都是遭受網(wǎng)絡攻擊的重災區(qū)，可以看出Web應用漏洞主要集中在跨站腳本、注入、失效的身份驗證、敏感數(shù)據(jù)泄露四種類型，占據(jù)全部漏洞類型的73.6%。

漏洞攻擊態(tài)勢分析：

1、組件漏洞波及范圍廣，從補丁通告到被繞過、再次修補愈發(fā)頻繁;

2、為了對抗安全設備，黑客工具趨向加密。

操作系統(tǒng)漏洞

操作系統(tǒng)作為傳統(tǒng)的攻擊目標，其漏洞占據(jù)著重要位置。2021新華三收錄的操作系統(tǒng)漏洞總數(shù)為2439條，較2020年總數(shù)(2343條)稍有增長，對比2020年和2021年每月操作系統(tǒng)漏洞變化趨勢如圖所示。

緩沖區(qū)溢出是一種非常普遍、非常危險的漏洞，在各種操作系統(tǒng)中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導致程序運行失敗、系統(tǒng)宕機、重新啟動等后果。更為嚴重的是，它可被利用來執(zhí)行非授權指令，甚至可以取得系統(tǒng)特權，進而進行各種非法操作。2021年緩沖區(qū)溢出漏洞占比20.8%，排名靠前，同時權限提升、信息泄露、拒絕服務等安全漏洞問題也是操作系統(tǒng)最為突出的問題。

漏洞攻擊態(tài)勢分析：

1、系統(tǒng)漏洞潛伏久，甚至可被蠕蟲化利用，影響面擴大;

2、移動設備攻擊面急劇擴大;

3、Linux成為針對Windows設備的潛在新攻擊向量。

網(wǎng)絡設備漏洞

路由器、防火墻、交換機等網(wǎng)絡設備是整個互聯(lián)網(wǎng)世界的聯(lián)系紐帶，占據(jù)著非常重要的地位，一旦控制網(wǎng)絡設備，其連接的各種終端設備都將暴露在攻擊者的面前，導致重要數(shù)據(jù)和資料泄漏，造成嚴重的網(wǎng)絡的安全事件。2021年新華三共收錄網(wǎng)絡設備類漏洞2665條，較2020年同期(1912條)增長39.4%。

網(wǎng)絡設備漏洞類型主要集中在弱口令、命令注入、緩沖區(qū)溢出、拒絕服務、授權問題等類型，如圖11所示。大多數(shù)網(wǎng)絡管理人員主要精力一般都集中于內部服務器、客戶端、數(shù)據(jù)庫的異常攻擊行為，而對網(wǎng)絡設備自身的安全性關注度并不足。而考慮到網(wǎng)絡設備的性能，很多低端設備缺乏安全措施，出現(xiàn)漏洞后，可被直接利用。

漏洞攻擊態(tài)勢分析：

1、安全意識不足，弱口令成為網(wǎng)絡設備最大的安全隱患;

2、僵尸網(wǎng)絡攻擊目標逐漸轉向網(wǎng)絡設備，以快速擴大傳播范圍。

數(shù)據(jù)庫漏洞

隨著大數(shù)據(jù)的高速發(fā)展，各行業(yè)的數(shù)據(jù)量急速增長，數(shù)據(jù)庫系統(tǒng)不可或缺，其存儲了各類價值數(shù)據(jù)，已成為企業(yè)和組織重要的無形資產(chǎn)。與此同時，數(shù)據(jù)庫也成為攻擊者主要目標之一，一旦獲得數(shù)據(jù)庫權限，即可獲得豐厚的利益。2021年新華三收錄數(shù)據(jù)庫漏洞總數(shù)285條，相比2020年(266條)大體持平。

MySQL數(shù)據(jù)庫由于代碼開源、版本眾多，加之使用量大，因此被發(fā)現(xiàn)的漏洞較多。2021年被確認的285個數(shù)據(jù)庫漏洞中，MySQL漏洞150余個，占據(jù)總漏洞個數(shù)55.1。

從漏洞類型分布上來看，主要集中在輸入驗證錯誤、拒絕服務、訪問控制錯誤三種類型，占據(jù)全部漏洞類型的75.7%，

漏洞攻擊態(tài)勢分析：

1、云、AI、大數(shù)據(jù)背景下導致非關系型數(shù)據(jù)庫漏洞利用方式顯現(xiàn);

2、由于輸入驗證錯誤、訪問控制錯誤導致的漏洞增多。

工控系統(tǒng)漏洞

隨著越來越多的工控系統(tǒng)暴露在互聯(lián)網(wǎng)上，工控系統(tǒng)日益成為“眾矢之的”，黑客有目的地探測并鎖定攻擊目標變得更加容易。加上針對工控系統(tǒng)的漏洞挖掘和發(fā)布與日俱增，大量工控系統(tǒng)安全漏洞、攻擊方法可以通過互聯(lián)網(wǎng)等多種公開或半公開渠道擴散，極易被黑客等不法分子獲取利用。2021年新華三收錄的工控漏洞總數(shù)為732條，總數(shù)比2020年(645條)增加13.5%。

工控安全漏洞類型呈現(xiàn)出多樣化特征，對于業(yè)務連續(xù)性、實時性要求高的工控系統(tǒng)，無論是利用這些漏洞造成業(yè)務中斷、獲得控制權限還是竊取敏感生產(chǎn)數(shù)據(jù)，都將對工控系統(tǒng)造成極大的安全威脅。工業(yè)企業(yè)最擔心的嚴重后果是造成生產(chǎn)設備損壞、業(yè)務停滯，而拒絕服務漏洞排名一直靠前，如果被黑客利用，容易給企業(yè)造成較大影響。同時工控設備自身操作系統(tǒng)漏洞、應用軟件漏洞及工業(yè)協(xié)議的安全性缺陷等問題也不容忽視，根據(jù)統(tǒng)計，2021年緩沖區(qū)錯誤、代碼執(zhí)行、SQL注入等也是工控系統(tǒng)最為突出的問題。

漏洞攻擊態(tài)勢分析：

1、工控攻擊事件破壞性加劇，勒索為主要攻擊手段;

2、隨著工控領域引入云平臺，其安全風險類型更加復雜。

云計算平臺漏洞

云計算以其強大的彈性和高可拓展性，實現(xiàn)IT資源的規(guī)模效應較大化，云計算是數(shù)字時代的基礎設施和智能引擎，云計算產(chǎn)業(yè)維持較高水平增長，與云計算相關的漏洞也逐年增長。2021年新增云計算平臺漏洞1495條，比2020年(總數(shù)1316條)增長13.6%。

伴隨產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展，中國云計算行業(yè)整體迎來發(fā)展加速期，市場規(guī)模屢創(chuàng)新高，行業(yè)應用不斷落地。伴隨著云計算逐步成為數(shù)字經(jīng)濟的技術底座、企業(yè)數(shù)字化轉型的關鍵基礎設施，云計算所面對的潛在風險也顯著提升。云計算能幫助企業(yè)提升業(yè)務敏捷性并降低成本，但同時也增加了攻擊面。根據(jù)統(tǒng)計，其漏洞類型主要分布在權限許可和訪問控制問題、信息泄露、輸入驗證錯誤等。

漏洞攻擊態(tài)勢分析：

1、云原生安全逐步成為云基礎安全重點;

2、安全基線風險日益凸顯，云上業(yè)務存在高危風險。

總結與建議

2021年對比2020年，網(wǎng)絡的安全漏洞數(shù)量和網(wǎng)絡攻擊數(shù)量都有增長，網(wǎng)絡威脅與攻擊始終在不斷變化，其攻擊目的更直接地盯上客戶的業(yè)務相關的數(shù)據(jù)等，一旦成功，不僅是對客戶業(yè)務本身造成影響，這些泄露的數(shù)據(jù)也會成為獲利的手段，被拿下的服務器可能會成為挖礦或者攻擊其他目標的資源，對企業(yè)造成更長久的損害。

Web類針對高危漏洞的入侵依然以組件漏洞為主，應用組件漏洞比操作系統(tǒng)漏洞具備更容易獲得的執(zhí)行環(huán)境，比業(yè)務漏洞具有更強的通用性，通常黑產(chǎn)團隊會選擇用戶數(shù)量較多、漏洞利用條件簡單且穩(wěn)定的漏洞來開發(fā)自動化工具，以較低的成本實現(xiàn)對目標的控制、自動化挖礦等牟利行為;操作系統(tǒng)類漏洞以緩沖區(qū)溢出與權限提升為主，操作系統(tǒng)類漏洞影響面大，利用成功容易爆發(fā)蠕蟲病毒傳播事件與勒索事件;網(wǎng)絡設備類漏洞大幅增加，網(wǎng)絡設備由于漏洞被攻擊的事件越發(fā)頻繁，弱口令占比高居不下，用戶安全意識仍需提高;工業(yè)互聯(lián)網(wǎng)作為關鍵技術設施，遭遇勒索攻擊贖金動輒高達數(shù)千萬美金，使企業(yè)遭受了嚴重的經(jīng)濟損失，同時往往伴隨著大范圍的民生問題;在云計算生態(tài)環(huán)境下，云原生所依賴的容器、微服務等技術在提升業(yè)務的敏捷性的同時，也引入了新的安全風險，比如容器逃逸風險、鏡像安全風險等，同樣可直接損害業(yè)務運行、造成業(yè)務數(shù)據(jù)失竊。面對日益增長的網(wǎng)絡信息安全威脅，企業(yè)在提供線上服務時需要認真考慮綜合性安全防護方案，形成縱深防御，阻止攻擊者觸及核心業(yè)務應用和數(shù)據(jù)，造成損失。