奇安信CERT監測到互聯網中的網絡安全漏洞信息整體呈爆發增長趨勢，其中微軟、Oracle、Google等軟件巨頭的安全漏洞在全年的占比依然較大。在APT方向攻擊者選用的漏洞目標逐漸從Windows下的原生瀏覽器，向Chrome、Firefox等用戶量更大的瀏覽器轉移。奇安信CERT致力于向客戶提供監測全面、響應迅速、認定客觀、建議可行的漏洞情報。受地緣政治局勢影響，網絡設備相關漏洞增幅較大，攻擊組織更喜歡使用利用門檻低、危害大的網絡設備漏洞作為攻擊突破口。漏洞細節一旦在網絡上公開，漏洞將極大可能由理論威脅上升為實際威脅，如CitrixADC和CitrixGateway遠程代碼執行漏洞，從漏洞公告發出到成熟完整的具有實際威脅的EXP出現僅用了5天時間，甚至快于官方補丁修補的時間。F5BIG-IPTMUI遠程代碼執行漏洞更是直接監測到了漏洞利用代碼。對重要漏洞進行長期的持續監測是規避安全風險的有效方法。奇安信CERT已經建立起有效的漏洞持續監測與響應機制，可及時全面的響應全網重要高危漏洞。面向資產、配置、漏洞、補丁的系統安全工作可提高企業漏洞修復的確定性，實現及時、準確、可持續的系統安全保護。隨著互聯網的發展和5G網絡的建設，當前進入了海量數據處理時代。漏洞的處理從人工轉向自動化成為必然趨勢。傳統“條文式”漏洞修補和防護的管理模式，已經無法適應數字化轉型深入的要求，安全能力體系及安全運行體系的升級，需要更加先進的漏洞情報體系進行支撐。奇安信CERT將漏洞處理流程化、系統化，通過大數據處理和人工智能的方式將海量信息進行過濾、去重、匹配、篩選，達到人工可處理的數量級。大大提升了漏洞處理的效率和準確性。在5G通訊技術、相關安全研究技術及逆向工程工具（Ghidra、IDAPro等）快速發展以及缺乏常見的安全防護等因素的共同作用下，IoT漏洞數量持續上升。

2020，注定是不平常的一年，受國內外疫情影響，很長一段時間內工廠停工、停產，學校停課、停學，企業辦公也受到了不同程度的影響。平靜的湖面下暗潮洶涌，2020年以漏洞挖掘和漏洞利用為核心的網絡攻擊，在無數的地方不斷發生著。縱觀全年，業界共提交了CVE漏洞1萬3千余個，較2019年17304個增長趨勢有所放緩。國家信息安全漏洞共享平臺CNVD收錄的漏洞仍在不斷突破新的記錄，2020年CNVD收錄的漏洞總數較2019年同比增長24.23%。面對如此龐大的漏洞數量，奇安信監測與響應中心（奇安信CERT）建立了適合自己的漏洞情報方法論，從漏洞監測、漏洞評價、漏洞處置以及漏洞情報輸出四方面進行全方位的整理，以客戶優先的原則向客戶輸出優質的漏洞情報。在2020年度，奇安信CERT作為安全研究團隊向WebLogic、Jackson等安全廠商共提交了十余個研究發現漏洞，并對全年度的熱點漏洞進行了深入研究，以創新優先的原則向公眾輸出我們的研究成果。道阻且長，行則將至。對于安全而言，沒有一勞永逸的解決方案，攻防交替的博弈中，率先掌握漏洞情報的一方，往往更加容易占據優勢地位。由此，奇安信安全監測與響應中心（奇安信CERT）、奇安信紅雨滴高級威脅研究團隊（天眼實驗室）、奇安信技術研究院聯合發布《2020年度漏洞態勢觀察報告》，從漏洞視角出發，梳理全年漏洞數據、分享漏洞研究成果、總結漏洞監測與響應方法論，并以此展望安全漏洞發展趨勢。旨在為各企事業單位持續提供精準漏洞情報、為各行業安全能力建設提供參考。

奇安信安全監測與響應中心奇安信應急響應部（奇安信CERT）成立于2016年，隸屬于奇安信旗下的安全監測與響應中心，旨在第一時間為客戶提供漏洞或網絡安全事件安全風險通告、響應處置建議、相關技術和奇安信相關產品的解決方案。早在Oracle2020年第二季度關鍵補丁更新公告中，就被評為了“在線狀態安全性貢獻者”。并且多次率先提供WebLogic、Jackson等重大安全問題的風險通告及可行的處置措施并獲得官方致謝。同時奇安信CERT在Web漏洞研究、二進制漏洞研究、前瞻性攻防工具預研等方面均積累了豐富的經驗。歡迎大家關注公眾號【奇安信CERT】了解更多有趣信息。奇安信威脅情報中心奇安信旗下的高級威脅研究團隊紅雨滴（天眼實驗室）,成立于2015年，持續運營奇安信威脅情報中心至今，專注于APT攻擊類高級威脅的研究，是國內首個發布并命名“海蓮花”（APT-C-00，OceanLotus）APT攻擊團伙的安全研究團隊，也是當前奇安信威脅情報中心的主力威脅分析技術支持團隊。目前，紅雨滴團隊擁有數十人的專業分析師和相應的數據運營和平臺開發人員，覆蓋威脅情報運營的各個環節：公開情報收集、自有數據處理、惡意代碼分析、網絡流量解析、線索發現挖掘拓展、追蹤溯源，實現安全事件分析的全流程運營。奇安信技術研究院奇安信技術研究院是專注于網絡空間安全相關技術的研究機構，聚焦網絡空間安全領域基礎性或前沿性的研究課題，結合國家和社會的實際需求，開展創新性和實踐性的技術研究。研究院在互聯網基礎設施領域，軟件基礎分析方法和漏洞挖掘技術有多年的研究基礎，并建立了互聯網基礎數據安全平臺、威脅分析系統、軟件行為分析系統、軟件空間安全測繪系統和物聯網安全分析平臺。

年度漏洞處置情況2020年奇安信CERT共監測到漏洞信息奇安信CERT將互聯網上包含漏洞相關內容的信息統稱為漏洞信息。83692條報告中的數據為奇安信CERT監測數據，時間截止到2020年奇安信CERT將互聯網上包含漏洞相關內容的信息統稱為漏洞信息。報告中的數據為奇安信CERT監測數據，時間截止到2020年12月24日。相比于2019年，2020年新增了30252條漏洞信息，研判后的漏洞環比增長153.4%，深入研判的漏洞環比增長123.3%。每月的漏洞信息數量增長曲線如圖1-1所示，微軟和Oracle同時發布補丁通告的月份（一月、四月、七月、十月）漏洞數量會明顯增多，軟件巨頭的補丁發布仍然主導著漏洞趨勢。2020年上半年由于受新冠疫情的影響整體漏洞量較少，下半年疫情逐步平穩后漏洞數量逐步增加。圖1-1每月漏洞新增奇安信CERT結合CVSS評價標準以及漏洞產生的實際影響將漏洞定級分為高、中、低危三種等級，用來評價漏洞不同的影響程度。2020年奇安信CERT初步研判的750條漏洞信息中，各個等級按數量分布如圖1-2所示。圖1-2漏洞危害占比其中低危漏洞占比24%，此類漏洞利用較為復雜或對可用性、機密性、完整性造成的影響較低；中危漏洞占比31%，此類漏洞產生的影響介于高危漏洞與低危漏洞之間，可能需要一些復雜的配置或對漏洞成功利用的要求較高；高危漏洞占比45%，此類漏洞極大可能造成較嚴重的影響或攻擊成本較低。對于進行初步研判的750條漏洞信息的漏洞類型奇安信CERT對其進行了分類總結，如圖1-3所示，其中占比最高的五種類型分別為：代碼執行漏洞、拒絕服務漏洞、權限提升漏洞、信息泄露漏洞、安全特性繞過漏洞。圖1-3漏洞類型占比年度熱門漏洞奇安信CERT持續關注每個漏洞的全網討論情況，對于討論次數較多的漏洞我們會特別關注并給予熱度值。2020年度總輿論熱度值排行榜TOP20漏洞如表1-1所示，表1-1總輿論熱度值排行榜漏洞編號熱度漏洞名稱影響組件CVSSCVE-2019-197811084CitrixADC和CitrixGateway遠程代碼執行漏洞CitrixADC和CitrixGateway9.8CVE-2020-0796985MicrosoftSMBv3遠程代碼執行漏洞SMBv310.0CVE-2020-0601952MicrosoftWindowsCryptoAPI欺騙漏洞WindowsCryptoAPI8.1CVE-2020-1472664MicrosoftNetLogon特權提升漏洞NetLogon10.0CVE-2020-5902595F5BIG-IP遠程代碼執行漏洞F5BIG-IP9.8CVE-2020-11651412SaltStack身份驗證繞過漏洞SaltStack9.8CVE-2020-1350381MicrosoftWindowsDNSServer遠程代碼執行漏洞WindowsDNSServer10.0CVE-2020-0688378MicrosoftExchange遠程代碼執行漏洞ExchangeECP8.8CVE-2020-0674326MicrosoftInternetExplorerJScript遠程代碼執行漏洞InternetExplorerJScript7.5CVE-2020-11652305SaltStack目錄遍歷漏洞SaltStack6.5CVE-2020-2883246OracleCoherence遠程代碼執行漏洞Coherence9.8CVE-2020-0022236Android藍牙模塊遠程代碼執行漏洞Android藍牙模塊8.8CVE-2020-16898203MicrosoftWindowsTCP/IP遠程代碼執行漏洞WindowsTCP/IP8.8CVE-2019-11510194PulseSecureSSLVPN多個版本任意文件讀取漏洞HTML5Access10.0CVE-2020-1938192ApacheTomcat服務器文件包含漏洞Tomcat9.8CVE-2020-0609178MicrosoftWindows遠程桌面網關(RDGateway)遠程代碼執行漏洞Windows遠程桌面網關9.8CVE-2019-17026178Firefox遠程代碼執行漏洞MozillaFirefox8.8CVE-2020-0610168MicrosoftWindows遠程桌面網關(RDGateway)遠程代碼執行漏洞Windows遠程桌面網關9.8CVE-2020-0932159MicrosoftSharePoint遠程代碼執行漏洞SharePoint8.8CVE-2020-0687158MicrosoftGraphics遠程代碼執行漏洞Windows字體庫8.8奇安信CERT對各廠商漏洞處置情況奇安信CERT持續監測國內外各廠商的漏洞披露情況，2019年和2020年各廠商漏洞處置數量如圖1-4和圖1-5所示：圖1-42019年各廠商漏洞處置數量圖1-52020年各廠商漏洞處置數量從以上兩張圖的對比可以看出，微軟、蘋果、Oracle、IBM這類商業軟件漏洞多發，且因為其基本有節奏的發布安全補丁，為漏洞處置的關注重點。開源軟件在企業中越來越多的使用，關注度逐漸攀升。部署在網絡邊界的網絡設備在攻防行動中占據了重要地位。年度漏洞挖掘情況奇安信CERT除了漏洞的持續監測工作還向諸多廠商提交了漏洞，多次獲得官方致謝。奇安信CERT2020年度漏洞挖掘情況如表1-2所示：表1-2奇安信CERT2020年度漏洞挖掘情況廠商CVE編號漏洞名稱CVSSOracleCVE-2020-2798WebLogic遠程代碼執行漏洞7.2CVE-2020-2963OracleWebLogicServer遠程代碼執行漏洞4.9CVE-2020-14645OracleFusionMiddlewareWebLogicServerCore組件安全漏洞9.8CVE-2020-14841OracleWebLogicServer遠程代碼執行漏洞9.8CVE-2020-14750OracleWebLogicServer遠程代碼執行漏洞9.8CVE-2020-2829OracleWebLogicServer遠程信息泄露漏洞4.9CVE-2020-14636OracleFusionMiddlewareWebLogicServer信息泄露漏洞6.1CVE-2020-14637OracleFusionMiddlewareWebLogicServer安全漏洞6.1CVE-2020-14638OracleFusionMiddlewareWebLogicServer安全漏洞6.1CVE-2020-14639OracleFusionMiddlewareWebLogicServer信息泄露漏洞7.5CVE-2020-14640OracleFusionMiddlewareWebLogicServer安全漏洞6.1CVE-2020-14652OracleFusionMiddlewareWebCenterSites安全漏洞6.5FasterXMLCVE-2020-11620Jackson-databind遠程代碼執行漏洞8.1MicrosoftCVE-2020-17144MicrosoftExchange遠程代碼執行漏洞8.4年度熱門漏洞有如下幾個特點：1、漏洞利用門檻極低，危害巨大，且相關產品用量較大。漏洞利用腳本編寫難度低，很快被攻擊組織利用來進行大規模武器化攻擊。2、軟件巨頭的高危漏洞通常受到極大的關注，話題性強，研究價值高因此，軟件巨頭的高危漏洞和眾多利用門檻相對較低的漏洞應該是漏洞應急響應的重中之重。年度APT組織漏洞利用情況2020年，隨著全球地緣政治局勢動蕩，APT（高級持續性威脅）組織的攻擊活動也愈發兇猛。在利用漏洞攻擊方面，不同的APT組織采取的策略也不大一致，奇安信CERT根據奇安信威脅情報中心持續監測到的數據對2020年HYPERLINK攻擊組織經常使用的漏洞進行分類總結，從中窺探未來的APT組織漏洞利用趨勢。從奇安信威脅情報中心得到的數據上看，攻擊組織在面對高價值目標時，必要情況下會使用0day漏洞，而值得注意的是，一旦攻擊組織使用0day漏洞作為攻擊入口，那么其后續使用的提權漏洞同為0day漏洞的概率極高。據奇安信威脅情報中心監測到的在野攻擊事件中，2020年攻擊組織主要使用的0day漏洞大體可分為：瀏覽器漏洞、個人操作系統漏洞、企業級網絡設備漏洞、移動端漏洞。其中攻擊組織重點使用的漏洞如表1-3所示：表1-3攻擊組織重點使用的漏洞漏洞分類CVE編號漏洞名稱CVSS漏洞定級瀏覽器漏洞CVE-2019-17026Firefox遠程代碼執行漏洞8.8高危CVE-2020-0674MicrosoftInternetExplorerJScript遠程代碼執行漏洞7.5高危CVE-2020-1380IE腳本引擎內存損壞漏洞7.5高危CVE-2020-6418GoogleChrome遠程代碼執行漏洞6.5低危CVE-2020-15999ChromeFreetype中的堆緩沖區溢出漏洞6.5高危CVE-2020-16013GoogleV8引擎遠程代碼執行暫無中危CVE-2020-6819Firefox內存泄露漏洞8.1高危CVE-2020-6820Firefox拒絕服務漏洞8.8高危個人操作系統漏洞CVE-2020-27930macOS內存損壞漏洞7.8高危CVE-2020-27950macOS內存泄漏漏洞5.5中危CVE-2020-27932macOS特權代碼執行漏洞7.8高危CVE-2020-0938AdobeFontManagerLibrary遠程代碼執行漏洞7.8高危CVE-2020-1020AdobeFontManagerLibrary遠程代碼執行漏洞7.8高危CVE-2020-17087Microsoftcng.sys權限提升漏洞7.8高危CVE-2020-0688MicrosoftExchange遠程代碼執行漏洞8.8高危CVE-2020-0986MicrosoftWindowssplwow64權限提升漏洞7.8中危企業級網絡設備漏洞CVE-2020-8467ApexOne和OfficeScan遠程代碼執行漏洞8.8高危CVE-2020-8468ApexOne和OfficeScan安全驗證繞過漏洞8.8高危CVE-2020-12271SophosXGFirewall/SophosFirewallSQL注入漏洞9.8高危移動端漏洞CVE-2020-9818iOS和iPadOS數組越界漏洞8.8中危CVE-2020-0096AndroidFramework權限提升漏洞7.8低危同時，根據奇安信威脅情報中心數據觀察顯示，通過使用Nday漏洞組合的攻擊仍為主流，攻擊組織今年使用的漏洞出現時間橫跨2017年到2020年。這也從側面反映出無論漏洞新舊，都應給予足夠的關注度。奇安信威脅情報中心結合內部與外部數據，綜合國內外漏洞攻擊受害情況發現，南亞、東北亞、北亞、中東等國家級組織持續使用諸如Office遠程代碼執行、AdobeFlash遠程代碼執行等老牌漏洞。同時美國CISA指出來自某國家的攻擊組織和美國大選期間的攻擊者使用了眾多網絡設備的遠程代碼執行漏洞進行攻擊，如：NetLogon特權提升漏洞（CVE-2020-1472）JuniperNetworksJunosOS路徑遍歷漏洞（CVE-2020-1631）CitrixADC和CitrixGateway遠程代碼執行漏洞（CVE-2019-19781）MobileIronCore＆Connector遠程代碼執行漏洞（CVE-2020-15505）PulseSecureSSLVPN多個版本任意文件讀取漏洞（CVE-2019-11510）SAML身份驗證機制繞過漏洞（CVE-2020-2021）F5BIG-IP遠程代碼執行漏洞（CVE-2020-5902）FortinetFortiOS路徑遍歷漏洞(CVE-2018-13379)值得注意的是這些漏洞之間會組合使用。通過以上觀察數據可以看出：1、瀏覽器漏洞和個人操作系統漏洞一直為攻擊組織的首要儲備漏洞，通常以郵件或即時聊天工具為傳播媒介利用此類漏洞，特點是可以對目標組織的相關個人進行定制化的針對性攻擊。2、由于移動互聯網的發展和5G網絡的建設，人們越來越多的使用移動端工作和娛樂，但大部分人缺乏對移動端設備的相關安全防護意識，導致移動端和移動APP的攻擊活動逐年上升。3、2020年由于全球疫情曝發，居家遠程辦公開始流行，各大廠商的VPN使用頻率增加，攻擊者利用VPN漏洞的攻擊頻率也呈上升趨勢。4、攻擊者通常使用存在于網絡邊界設備中的漏洞對大型組織進行滲透，一旦滲透成功，可能會成為整個攻擊行動中的重大突破。奇安信威脅情報中心對這些在2020年使用Nday漏洞的APT組織情況進行匯總，同時我們也可以認為，由于存在利用這些漏洞進行成功攻擊的案例，因此這些Nday漏洞在未來很長一段時間都會被持續利用。Exim遠程代碼執行漏洞（CVE-2019-10149）：遠程代碼執行漏洞，方程式組織稱該漏洞已經被某國家政府資助的黑客利用至今。Android本地提權漏洞（CVE-2019-2215）：該漏洞為安卓系統提權漏洞，南亞響尾蛇組織被發現利用該漏洞針對安卓終端目標用戶實施移動APT攻擊。MicrosoftInternetExplorerJScript遠程代碼執行漏洞（CVE-2020-0674）：南亞響尾蛇組織通過投放惡意文檔，運用模板注入的方式，結合CVE-2017-0199漏洞下載hta腳本，而該腳本還裝載有CVE-2020-0674的漏洞利用代碼，基于此進行了漏洞利用攻擊。Microsoft腳本引擎內存破壞漏洞（CVE-2020-0968）：多米諾行動中，俄語攻擊組織通過RTF文檔進行攻擊，打開文檔會自動進行遠程網頁加載，而加載回來的網頁則內嵌了CVE-2020-0968的漏洞利用代碼，基于此觸發遠程代碼執行。MicrosoftInternetExplorer多個版本遠程代碼執行漏洞（CVE-2019-1367）：Magnitude漏洞利用套件已經兼容該IE漏洞利用代碼，目前已經被全球網絡犯罪組織用于水坑攻擊。MicrosoftSMBv3遠程代碼執行漏洞（CVE-2020-0796）：在WindowsSMBv3版本的客戶端和服務端存在遠程代碼執行漏洞，由于該漏洞可以導致直接遠程連接目標主機，因此被全球安全研究者進行分析，并且漏洞利用代碼已經在地下黑市流通。MicrosoftExchange遠程代碼執行漏洞（CVE-2020-0688）：該漏洞已經被多個APT組織使用，通常攻擊者會在Exchange服務器放置Websehll，并在內網進行Exchange賬號憑據爆破。MicrosoftWindowsCryptoAPI欺騙漏洞（CVE-2020-0601）：該CryptoAPI橢圓曲線密碼(ECC)證書檢測繞過漏洞由NSA上報，在上報后被安全研究人員發現原理并進行方法公布，導致一些攻擊者使用該欺騙方法進行程序數字簽名繞過，從而利用其進行攻擊。MobileIronCore＆Connector遠程代碼執行漏洞（CVE2020-15505）：MobileIron是移動設備管理（MDM）系統提供商，英國國家網絡中心表示，APT組織正在使用該漏洞攻擊某國家組織，美國網絡安全和基礎設施局（CISA）還指出，在一次APT組織入侵中還結合NetLogon特權提升漏洞（CVE-2020-1472）進行利用。VMwareWorkspaceOneAccess等產品命令注入漏洞（CVE-2020-4006）：美國NSA發布報告稱，具備某國家背景的組織正在利用VMware?1Access和VMwareIdentityManager2產品中的漏洞，從而在原有權限的基礎上提升到最高權限從而可以執行任意命令。IoT漏洞利用情況根據美國國家通用漏洞數據庫（NVD）數據統計得知，近年CVE總量增長趨勢有所放緩，從圖1-5統計數據得知，物聯網相關漏洞數量近年呈明顯增長趨勢，尤其自2017年以來，CVE允許個人申報之后，漏洞增長呈爆發趨勢。圖1-5近20年物聯網相關CVE漏洞報告趨勢（1999至2020年）當前物聯網設備或平臺已經成為網絡攻擊的重要目標，根據奇安信星跡平臺（用于捕獲網絡攻擊的蜜罐系統）統計，目前平均每天收到PoC漏洞利用流量約300萬次，我們抽取了2020年7月18日的全天數據進行統計分析。結果如圖1-6所示，取當天漏洞利用次數的前十名，其中僅排名第2的phpMyAdmin為非物聯網目標，其他均為物聯網設備。圖1-62020年7月18日星跡平臺捕獲的漏洞利用行為（Top10）在新基建背景下，5G、智慧城市、工業互聯網加速落地，萬物互聯時代來臨，物聯網正在成為現代信息社會基礎設施的重要組成。奇安信CERT根據奇安信技術研究院《物聯網安全分析報告》從漏洞視角出發，梳理當前物聯網安全態勢與發展趨勢。2020年度以下物聯網相關漏洞利用事件值得關注：Ripple20漏洞波及數億IoT設備安全研究人員在Treck公司開發的底層TCP/IP協議棧中發現了多個漏洞，其中包含了多個遠程代碼執行漏洞，這些漏洞被命名為Ripple20。這些漏洞廣泛存在于各個領域的關鍵物聯網設備中，并涉及了眾多供應商（包括HP、SchneiderElectric、Intel、RockwellAutomation、Caterpillar、Baxter等）。思科CDP協議曝5個0day漏洞安全研究員發現了思科CDP協議的5個0day漏洞，攻擊者使用這些漏洞無需任何用戶交互就可以完全接管設備。由于數千萬思科設備被各大企業廣泛使用，所以該系列漏洞在網絡上的影響面極大。博通芯片組件曝嚴重漏洞，可影響數億網絡調制解調器安全研究員披露了一個名為CableHaunt的安全漏洞，該漏洞會影響使用Broadcom芯片的電纜調制解調器，攻擊者可通過攻擊完全控制調制解調器，然后進行流量攔截或組建僵尸網絡等操作。據估計，僅在歐洲就有近2億個調制解調器易受攻擊，并且后期沒有辦法追蹤漏洞的具體擴散情況。有部分互聯網服務提供商已經發布了補丁程序，但其它許多互聯網提供商甚至都沒有意識到這個漏洞的存在。多款兒童智能手表曝高危漏洞國外多家安全公司，相繼曝出多家廠商生產的兒童手表存在嚴重的安全漏洞，據估計，4700萬以上的終端設備可能受此影響。攻擊者基于這些漏洞不僅能檢索或者改變兒童的實時定位，還可以給他們打電話或者悄悄監視孩子的活動范圍，或者從不安全的云端截獲到各設備的通話音頻文件。這給國內兒童智能產品市場敲響了警鐘。“藍牙出血”：影響大量基于Linux的物聯網設備Google和英特爾公告稱，Linux藍牙協議棧BlueZ存在一個高危漏洞，大量基于Linux的物聯網設備使用了該協議棧。Google將該漏洞命名為“血牙”，攻擊者只需要知道受害者的藍牙地址就可以通過發送惡意的數據包，實施拒絕服務攻擊或任意代碼執行。該漏洞(CVE-2020-12351)的CVSS評分為8.3，屬于較為嚴重的漏洞。高通和聯發科Wi-Fi芯片曝高危漏洞2020年2月，ESET的安全專家公布了漏洞編號為CVE-2019-15126的Wi-Fi高危漏洞，并將其命名為Kr00k，該漏洞影響了博通和賽普拉斯制造的Wi-Fi芯片，可關聯至全球數十億臺設備。利用該漏洞攻擊者可攔截并解密用戶的無線網絡數據包，甚至入侵用戶的設備。2020年8月安全研究人員發現，高通和聯發科的Wi-Fi芯片亦受此漏洞變體的影響，據悉目前相關廠商均已發布相關安全補丁。Amnesia:33漏洞影響數百萬智能和工控設備2020年12月，有安全研究人員披露了4個開源TCP/IP庫中的33個安全漏洞，超過150個廠商使用了這些開源庫。Forescount的研究人員評估有數百萬臺消費級和工業級設備受他們發現的安全漏洞的影響，他們將該漏洞命名為Amnesia:33。據悉，研究人員受到Ripple20等漏洞的啟發，通過一系列分析測試發現了這些漏洞，受影響的設備包括智能手機、游戲機、打印機、路由器、攝像頭及各種工業設備等，攻擊者利用這些漏洞可以實現遠程代碼執行或拒絕服務等操作。同Ripple20漏洞類似，這些漏洞檢測困難，受供應鏈影響，很多智能設備的漏洞并不能得到及時修復。由以上事例，我們不難推測出：物聯網基礎設施仍相對脆弱，如物聯網相關的基礎協議等。Ripple20和Amnesia:33的TCP協議棧漏洞及思科CDP協議漏洞等均屬此類問題；借助于供應鏈傳播，單個漏洞的影響面不輸于傳統PC，而且攻擊路徑更加簡單。如博通、高通、聯發科的芯片級漏洞可影響數億級的日常及工業設備。

根據美國國家通用漏洞數據庫（NVD）以及國家信息安全漏洞共享平臺（CNVD）近兩年漏洞數據顯示，2019年業界共提交了CVE漏洞17304個、CVND漏洞16208個，2020年度新增CVE漏洞13922個、CNVD漏洞20136個，漏洞數量不斷突破新的記錄。面對井噴式的漏洞情報增長，奇安信成立監測與響應中心（奇安信CERT）對漏洞情報進行監測與響應。從第一篇風險通告發布至今，奇安信CERT已經持續為企業提供高質量漏洞情報達5年之久。通過5年的探索，奇安信CERT已經建立起了有效的漏洞響應機制，并將其流程化、系統化。漏洞持續監測漏洞持續監測有別于漏洞監測，是對每一條漏洞不間斷的監測，持續更新相關信息，逐漸撥開漏洞迷霧的過程。奇安信CERT每天監控的漏洞相關情報數量最高可達30000條，其中涵蓋了眾多企業級軟件官網、開源軟件GitHub、安全類訂閱郵件、技術社區、安全類媒體、社交賬號等。如圖2-1所示（其中不包含專業第三方平臺收錄的信息）：漏洞監測來源漏洞監測來源圖2-1漏洞監測來源這樣的數量級已經不是人工可以篩選研判的了，因此奇安信CERT開發了NOX安全監測系統，對漏洞信息流進行加工處理，通過大數據匹配和人工智能，識別有效的漏洞信息并對漏洞進行初步分級。達到一定條件的漏洞信息生成漏洞工單進行處理。不僅如此，NOX還會對漏洞進行長達數月的持續監控，跟蹤其信息變更、補丁更新、PoC和EXP狀態等。如在今年熱度持續居高不下的CVE-2020-1472、CVE-2020-0796漏洞，都經歷了數次更新，每一次更新都可能代表漏洞的現實威脅變更。漏洞評價奇安信CERT的漏洞評價標準主要參考CVSS但是增加了漏洞實際利用層面的評價。主要有以下幾個維度：漏洞觸發前置條件：用戶交互；漏洞觸發前置條件：用戶認證；漏洞觸發前置條件：其他條件；漏洞成功利用條件：攻擊者控制能力之外的要求；漏洞觸發方式；漏洞直接后果。因此，奇安信CERT研判后的漏洞評價等級并不一定和CVSS漏洞評分成正比。如圖2-2所示：圖2-2漏洞評價表 舉例說明，ApacheStructs2遠程代碼執行漏洞(S2-061)漏洞雖然CVSS評分為9.8，但是我們的評級為中危，漏洞觸發以及成功利用條件較為苛刻，漏洞觸發點與S2-059歷史漏洞的觸發點相同。漏洞本質是對S2-059的沙箱繞過。觸發漏洞首先需要開啟altSyntax功能，且需要特定標簽id屬性(其他屬性有待尋找)中存在表達式%{x}且x為用戶可控并未經過安全校驗。Jackson-databind<反序列化遠程代碼執行漏洞（CVE-2020-35490）的CVSS評分為8.1，我們給出了中危的評價。此漏洞只影響Jackson-databind2.x<，沒有使用enableDefaultTyping()的低版本項目不受影響，即非默認配置，影響面有限。鑒于此前多次爆發遠程代碼執行漏洞，黑名單策略無法根治，官方后期推出的高版本（2.10及以上）均采用白名單策略，使用高版本用戶不受此類漏洞影響。漏洞處置奇安信CERT盡可能的將漏洞的處置和研判過程自動化流程化，提升漏洞處置效率。目前奇安信CERT的漏洞大體處置流程如圖2-3所示：圖2-3漏洞處置流程通過奇安信CERT的實踐，此流程已經可以做到企業級軟件高危漏洞全覆蓋。漏洞情報輸出奇安信CERT并不是漏洞情報的搬運工，當監控到漏洞情報后，經過我們的處置會依據漏洞評價、影響面、實際影響以及攻擊復雜度等多種維度輸出漏洞情報。持續為奇安信相關安全產品賦能并且在2020年下半年對外推出了NOX安全監測平臺，該平臺可為企業級用戶提供更多漏洞相關情報。奇安信CERT可輸出的漏洞情報如圖2-4所示。圖2-4漏洞情報值得一提的是，風險通告僅作為奇安信CERT輸出眾多漏洞情報的一種，本著客戶優先的原則，風險通告更偏向于輸出具有實際緩解措施的漏洞情報。所以很多未經驗證和沒有防護措施的漏洞我們不會急于發布風險通告。

除了漏洞監測和響應工作，作為安全研究團隊，奇安信CERT在漏洞挖掘和漏洞研究方面也有諸多貢獻。我們將從漏洞挖掘、漏洞分析、深入研究三個方面闡述奇安信CERT2020年度研究成果。漏洞挖掘WebLogicWebLogic是美國Oracle公司出品的基于JavaEE架構的中間件，用于開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。將Java的動態功能和JavaEnterprise標準的安全性引入大型網絡應用的開發、集成、部署和管理之中。WebLogic是世界上第一個成功商業化的J2EE應用服務器,已推出到12c()版。近幾年WebLogic被頻繁曝出高危漏洞，其中反序列化漏洞最為嚴重。總的來說，WebLogic反序列化漏洞大致分為四類：第一類是WebLogic的T3協議反序列化漏洞2020年4月份的CVE-2020-2798和CVE-2020-2963。該漏洞存在于weblogic.jar中的weblogic.wsee.async.SOAPInvokeState和weblogic.wsee.connection.transport.http-s.WlsSSLAdapter，其中readObject方法調用了readEncryptedField方法，在readEncryptedField內部使用了EncryptionUtil解密加密后的序列化數據，攻擊者可以通過T3協議發送精心構造的序列化對象，即可成功繞過黑名單限制，實現遠程代碼執行。后續T3協議又陸續出現多個反序列化漏洞，包括：CVE-2020-14645、CVE-2020-2883、CVE-2020-2884、CVE-2020-14644、CVE-2020-2801、CVE-2020-2555漏洞等。第二類是WebLogic的IIOP協議反序列化漏洞2020年1月公布的CVE-2020-2551漏洞，該漏洞原理上類似基于T3協議的反序列化漏洞，不同的是CVE-2020-2551是WebLogic基于IIOP協議層面的漏洞，所以可以繞過T3協議的黑名單，WebLogic官方也是采用黑名單方案進行修補，但依舊存在被繞過的可能性，后續IIOP協議也出現了多個IIOP協議的反序列化漏洞，包括CVE-2020-14841。第三類是通過WebLogic的HTTP協議觸發的漏洞2020年10月份公布的CVE-2020-14882和CVE-2020-14883，該漏洞是由于WebLogic的訪問控制策略是基于URI實現的，因為存在路徑歸一化的問題，導致訪問控制繞過，又搭配了另外一個漏洞實現基于HTTP協議的遠程代碼執行。由于官方對此漏洞的修補過于疏忽，后續又出現了CVE-2020-14750漏洞。第四類是WebLogic在某些功能的實現時沒有足夠考慮安全相關問題導致的漏洞如2020年四月公布的CVE-2020-2829漏洞，攻擊者可以在未授權的狀態下對外發起任意請求，構成SSRF攻擊。在特定情況下，能夠在部署WebLogic的操作系統上執行任意代碼。后續也陸續出現了多個此類漏洞，包括：CVE-2020-14636、CVE-2020-14637、CVE-2020-14638、CVE-2020-14639、CVE-2020-14640、CVE-2020-14652等。JacksonJackson被稱為“Java的最佳JSON解析器”。近期Jackson被頻繁曝出高危漏洞，主要是反序列化漏洞為主。總的來說Jackson的反序列化漏洞利用方面主要依賴一些第三方庫。比如CVE-2020-11620，該漏洞存在于commons-jelly:commons-jelly第三方庫中，開啟了enableTyping功能的Jackson將會導致遠程代碼執行。Jackson官方使用黑名單對此類漏洞進行修補，可能還會存在后續被繞過的風險，事實上，后續Jackson也出現了大量的黑名單繞過的遠程代碼執行漏洞，均是第三方依賴的利用鏈。微軟在微軟12月發布的補丁安全通告中有一枚MicrosoftExchange遠程代碼執行漏洞（CVE-2020-17144），該漏洞由奇安信A-TEAM安全研究員發現并提交。經過身份認證的攻擊者可利用此漏洞以SYSTEM用戶權限在目標系統上執行任意代碼。和CVE-2018-8302、CVE-2020-0688類似，CVE-2020-17144同屬需登錄后利用的反序列化漏洞，但僅影響Exchange2010服務器。與CVE-2020-0688不同，由于漏洞本身有趣的成因和觸發條件，在利用時無需明文密碼，只要具備NTHash即可成功，在利用方式上會相對更加靈活。同時，存在漏洞的功能點本身具備持久化功能，利用成功后將直接進行持久化行為，在不修復漏洞的情況下將永遠存在，其危害性和隱蔽性遠大于CVE-2020-0688。漏洞分析2020年度微軟漏洞回顧根據奇安信NOX安全監測平臺統計，2020年度相關微軟漏洞的細節、PoC、EXP的公開情況以及在野利用情況如表3-1所示：表3-1微軟熱點漏洞狀態漏洞編號細節是否公開PoC狀態EXP狀態在野利用CVE-2020-0796已公開已公開未知已發現CVE-2020-0601已公開已公開未知已發現CVE-2020-1472已公開已公開已公開已發現CVE-2020-1350已公開已公開未知已發現CVE-2020-16898已公開已公開未知未知CVE-2020-0674已公開已公開已公開已發現CVE-2020-0688已公開已公開已公開已發現1、CVE-2020-0601MicrosoftWindowsCryptoAPI欺騙漏洞2020年1月15日，微軟例行公布了1月的補丁更新列表，在其中存在一個由NSA發現的影響MicrosoftWindows加密功能的嚴重漏洞（CVE-2020-0601）。此漏洞僅影響Windows10版本的操作系統，因為自Win10起，微軟添加了對ECC參數的顯式指定的支持，但在驗證過程中卻忽略了對算法參數的檢查。在ECC加密算法中，公鑰Q、私鑰d和基點G的關系是Q=d×G，只給出公鑰Q和基點G是很難推測出私鑰d的。存在漏洞的crypt32庫支持對指定自定義算法參數的ECC證書進行驗證，但其對自簽名證書的驗證主要是通過檢查其與系統信任證書的公鑰哈希值是否匹配，而忽略了對算法參數的檢查。這使得攻擊者可以選取一對基點G'、私鑰d'，使得d'×G'=Q（要偽造證書的公鑰）。攻擊者可將要偽造的證書算法參數中的基點G修改為自己構造的G'，然后同時也擁有了和偽造的證書相匹配的私鑰d'。攻擊者可利用此漏洞偽造合法證書，進一步可實現對惡意軟件及惡意網站的簽名。由于此漏洞會導致非常嚴重且影響廣泛的后果并很快會被工具化，所以在公布后很快發酵成熱點漏洞。據奇安信CERT監測數據表示，此漏洞的熱度在短短數小時內迅速提升，居高不下，且被譽為微軟“超級”漏洞。奇安信CERT第一時間發布了該漏洞的修補通告，并于次日對該漏洞進行原理分析及復現，之后又參考其他安全技術文章對此漏洞進行進一步分析。詳情可見(/s/Imu8-ECOBVfl1RzpAVZb-A)。2、CVE-2020-0674

MicrosoftInternetExplorerJScript遠程代碼執行漏洞2020年1月17日，在微軟的每月的例行補丁日兩天之后，發布了編號為ADV200001的例行外安全公告，該公告涉及一個野外發現的0day漏洞（CVE-2020-0674），攻擊者可通過誘導用戶訪問Office文檔、郵件或其他來源的惡意鏈接來利用此漏洞，成功利用此漏洞的攻擊者可以當前用戶的上下文執行任意代碼。并且該漏洞與另一個Firefox漏洞(CVE-2019-17026)一起被國家黑客組織DarkHotel利用來執行小范圍針對性的攻擊。2月12日，微軟發布了關于此漏洞的補丁程序。2020年3月1日，出現公開渠道泄露漏洞利用的POC攻擊代碼，構成更加現實的威脅。3、CVE-2020-0688

MicrosoftExchange遠程代碼執行漏洞2020年2月，微軟發布了針對MicrosoftExchangeServer中的遠程代碼執行漏洞（CVE-2020-0688）的補丁程序。該漏洞是由于Exchange控制面板（ECP）組件中使用了靜態密鑰（validationKey和decryptionKey）。這些密鑰用于為ViewState提供安全性。ViewState是ASP.NETWeb應用程序在客戶端上以序列化格式存儲的服務器端數據。客戶端通過__VIEWSTATE請求參數將此數據傳回服務器。經過身份驗證的攻擊者可以誘使服務器反序列化惡意制作的ViewState數據，從而在Exchange控制面板Web應用程序的上下文中執行任意.NET代碼。由于Exchange控制面板Web應用程序是以SYSTEM權限運行，因而成功利用此漏洞的攻擊者可以以SYSTEM身份執行任意代碼，并完全破壞目標Exchange服務器。4、CVE-2020-0796MicrosoftSMBv3遠程代碼執行漏洞2020年3月12日，微軟官方發布了WindowsSMBv3客戶端/服務器遠程代碼執行漏洞（CVE-2020-0796）的安全更新細節和補丁程序，微軟官方將此漏洞標記為“ExploitationMoreLikely”。由于漏洞無需用戶驗證的特性，可能導致類似WannaCry攻擊那樣蠕蟲式的傳播。漏洞源于Srv2DecompressData函數，該函數主要負責將壓縮過的SMB數據包還原（解壓），由于未對用戶可控的數據進行額外判斷，導致存在整數溢出的可能，在后面又使用該結果作為為SMB數據分配緩沖區的依據，導致分配的緩沖區的長度可能會小于待解壓數據實際解壓后的長度，這將在后續解壓的過程中引發緩沖區溢出。奇安信CERT對此漏洞進行了詳細分析，詳情可見（/s/rKJdP_mZkaipQ9m0Qn9_2Q）。5、CVE-2020-1350

MicrosoftWindowsDNSServer遠程代碼執行漏洞2020年7月，微軟公開發布了CheckPoint公司的研究員SagiTzaik發現的WindowsDNSServer遠程代碼執行漏洞（CVE-2020-1350），CVSS評分為滿分10分。微軟將該漏洞標記為“ExploitationMoreLikely”，并認為該漏洞可引發蠕蟲式傳播。WindowsDNSServer在處理特制的SIG響應包時，存在遠程代碼執行漏洞，未經身份驗證的攻擊者可通過維護一個域名并設置指向惡意服務器的NS記錄，最終通過向目標DNS服務器查詢該域名的SIG來利用此漏洞，成功利用此漏洞的遠程攻擊者可在目標系統上以本地SYSTEM賬戶權限執行任意代碼。該漏洞影響2003到2019年發布的所有WindowsServer版本。CheckPoint公司的研究人員將該漏洞命名為“SigRed”，認為它對企業的影響尤為重要，因為它是可蠕蟲的（或自傳播的），因此能夠在無需用戶交互的情況下傳播到易受攻擊的機器中，可能攻陷企業的整個PC網絡。經研判，該漏洞無需交互、不需要身份認證且WindowsDNSServer默認配置即可觸發。6、CVE-2020-1472

MicrosoftNetlogon特權提升漏洞2020年8月，微軟發布了NetLogon權限提升漏洞（CVE-2020-1472）的補丁程序，CVSS漏洞評分10分，漏洞利用后果嚴重。未經身份認證的攻擊者可通過使用Netlogon遠程協議（MS-NRPC）連接域控制器來利用此漏洞。由于微軟在實現NetLogon的身份認證及通信的過程中支持AES算法，指定CFB8模式并且錯誤的將IV設置為全零，這使得攻擊者可以在不知道賬戶密碼的情況下，獲得一個可以預知特定明文加密后的密文的加解密環境。這可以使攻擊者欺騙服務器認證通過而無需知道真正的密碼，成功利用此漏洞的攻擊者可獲得域管理員訪問權限。該漏洞已曝出的相關EXP可以成功重置域控機器賬戶密碼獲得域控權限，直接影響企業業務和生產。奇安信CERT對此漏洞進行了詳細分析，詳情可見（/s/CBMchx7hLO8YovcEnWM2IQ）。7、CVE-2020-16898

MicrosoftWindowsTCP/IP遠程代碼執行漏洞WindowsTCP/IP遠程代碼執行漏洞（CVE-2020-16898）是微軟10月份修復的一個緊急漏洞。Windowstcpip.sys在檢查ICMPv6路由器廣告數據包中的RDNSS選項時，沒有對長度字段進行嚴格的判斷，并且在檢查和處理選項數據的過程中也沒有采取一致的策略，導致原本不能通過檢查的選項數據繞過檢查進入處理流程，從而引發安全問題。攻擊者可通過向受影響主機發送特制的選項類型為25（遞歸DNS服務器（RDNSS）選項）且長度字段值為偶數的ICMPv6路由廣告包來利用此漏洞，成功利用此漏洞的攻擊者可在目標服務器或客戶端上執行任意代碼。奇安信CERT對此漏洞進行了詳細分析，詳情可見（/s/USrtNXckw9x57_mqf08iFg）。2020年度中間件漏洞回顧1、ApacheHTTPServer

2020年8月7日，Apache官方發布了安全公告，修復了ApacheHTTPServer中的兩個拒絕服務漏洞（CVE-2020-9490/CVE-2020-11993）和一個緩沖區溢出漏洞（CVE-2020-11984）。ApacheHTTPServerHTTP/2拒絕服務漏洞（CVE-2020-9490）源于在HTTP/2請求中通過構造Cache-Digest值可造成服務崩潰，導致拒絕服務。CVE-2020-11993源于Apache版本2.4.20至2.4.43為HTTP2模塊和某些流量邊緣模式啟用跟蹤/調試時，在錯誤的連接上執行了日志記錄語句，從而導致并發使用內存池，降低程序與操作系統的性能。ApacheHTTPServerHTTP/2緩沖區溢出漏洞（CVE-2020-11984）源于mod_proxy_uwsgi中存在緩沖區溢出漏洞，可能導致信息泄露或遠程代碼執行。ApacheHTTPServer可以運行在幾乎所有計算機平臺上，由于其跨平臺和安全性被廣泛使用，成為最流行的Web服務器端軟件之一。全球有數千萬Web服務器采用ApacheHTTPServer，可能受漏洞影響的資產廣泛分布于世界各地，中國大陸省份中，浙江、廣東、山東、北京、上海等省市接近70%，今年曝出的漏洞雖說是中危，但涉及用戶量過多，導致漏洞影響力還是很大。2、ApacheTomcatTomcat是Apache軟件基金會Jakarta項目中的一個核心項目，作為目前比較流行的Web應用服務器，深受Java愛好者的喜愛，并得到了部分軟件開發商的認可。Tomcat服務器是一個免費的開源的Web應用服務器，被普遍使用在輕量級Web應用服務的構架中。2020年2月奇安信CERT監測到CNVD發布了漏洞公告稱ApacheTomcat服務器存在文件包含漏洞（CVE-2020-1938，對應漏洞編號：CNVD-2020-10487），ApacheTomcatAJP協議（默認8009端口）由于存在實現缺陷導致相關參數可控，攻擊者利用該漏洞可通過構造特定參數，讀取服務器webapp目錄下的任意文件。若服務器端同時存在文件上傳功能，攻擊者可進一步結合文件包含實現遠程代碼的執行。目前此漏洞的PoC和EXP已經在互聯網公開和傳播，并有被惡意利用的可能。2020年7月，Apache官方通報ApacheTomcat存在WebSocket拒絕服務漏洞（CVE-2020-13935），由于WebSocketframe中的payload的長度沒有正確驗證，導致陷入了無限循環，造成拒絕服務。2020年11月，該漏洞的利用代碼（EXP）在互聯網上公開，吸引大量關注度。3、IBMWebSphere2020年6月，IBM官方發布了WebSphere遠程代碼執行漏洞（CVE-2020-4450）的漏洞公告，此漏洞由IIOP協議上的反序列化造成，未經身份認證的攻擊者可以通過IIOP協議遠程攻擊WebSphereApplicationServer，在目標服務端執行任意代碼，獲取系統權限，進而接管服務器，漏洞本身可用度不高，但利用思路還是值得跟進學習的。2020年9月17日，IBM發布了WebSphereXML外部實體注入漏洞（CVE-2020-4643）的漏洞公告。由于WAS未正確處理XML數據，攻擊者可以利用此漏洞遠程獲取服務器上的敏感信息。總體來看，WebSphere今年漏洞數量不算多，但是其安全性還是值得重視。4、WebLogic（1）WebLogicT3協議反序列化漏洞2020年4月，奇安信CERT安全研究員r00t4dm發現WebLogicServer的WLSWebServices組件存在反序列化遠程代碼執行漏洞（CVE-2020-2798、CVE-2020-2963），該漏洞存在于weblogic.jar中的weblogic.wsee.async.SOAPInvokeState和weblogic.wsee.connection.transport.https.WlsSSLAdapter，其中readObject方法調用了readEncryptedField方法，在readEncryptedField內部使用了EncryptionUtil來解密加密后的序列化數據，攻擊者可以通過T3協議發送精心構造的序列化對象，即可成功繞過黑名單限制，實現遠程代碼執行。WebLogic可選組件OracleCoherence的相關漏洞同樣值得關注。OracleCoherence組件是業內領先的用于解決集群應用程序數據的緩存的解決方案，其默認集成在WebLogic12c及以上版本中，該組件中存在反序列化遠程代碼執行漏洞（CVE-2020-2555），未經身份驗證的攻擊者通過精心構造的T3請求觸發可以反序列化的gadget，最終造成遠程命令執行，官方為此只對com.tangosol.util.filter.LimitFilter.toString()攔截來阻止該漏洞被利用。不久被安全研究員發現可通過java.util.PriorityQueue.readObject()或javax.management.BadAttributeValueExpException.readObject()繞過補丁，從而再次利用ChainedExtractor.extract()實現遠程代碼執行，新漏洞的CVE編號為CVE-2020-2883。官方對于CVE-2020-2883的修補方式是將extract方法存在危險操作的MvelExtractor和ReflectionExtractor兩個類加入到了黑名單中，WebLogic遠程代碼執行漏洞（CVE-2020-14645）是對CVE-2020-2883補丁的繞過，利用UniversalExtractor任意調用get、is方法進行JNDI注入。2020年10月份Oracle官方發布的最新安全補丁中修復了WebLogic反序列化遠程代碼執行漏洞（CVE-2020-14825），黑名單類ernal.cache.LockVersionExtractor可造成反序列化漏洞，LockVersionExtractor類繼承ValueExtractor接口，并實現了extract方法，與CVE-2020-14645漏洞原理類似，未經身份驗證的攻擊者成功利用此漏洞可能接管OracleWebLogicServer。（2）WebLogicIIOP協議反序列化漏洞2020年1月Oracle官方發布了一系列的安全補丁,其中包括OracleWebLogicServer遠程代碼執行漏洞（CVE-2020-2551）,攻擊者可利用JtaTransactionManager類基于IIOP協議遠程執行代碼。黑名單中有JtaTransactionManager的父類AbstractPlatformTransactionManager，T3協議使用這個黑名單時會判斷父類從而攔截，但在IIOP協議中，僅判斷本類，使得攻擊者可繞過黑名單造成JNDI注入。由于WebLogic官方修復不嚴謹，隨后也出現了多個基于IIOP協議的反序列化漏洞，包括奇安信CERT安全研究員r00t4dm提交的WebLogicServer遠程執行漏洞（CVE-2020-14841）。（3）WebLogicHTTP協議相關漏洞2020年10月21日，Oracle官方發布漏洞公告，其中CVE-2020-14882漏洞允許未授權的用戶繞過管理控制臺的權限驗證訪問后臺，CVE-2020-14883允許后臺任意用戶通過HTTP協議執行任意命令，二者組合利用可使未經授權的攻擊者繞過WebLogic后臺登錄等限制，最終可遠程執行代碼接管WebLogic服務器，受影響的組件為WebLogic全版本自帶。由于官方修復不當，后續出現了CVE-2020-14882的補丁繞過，即WebLogicConsole權限繞過漏洞（CVE-2020-14750）。（4）WebLogic其他漏洞奇安信CERT安全研究員r00t4dm發現OracleWebLogicServer遠程信息泄露漏洞（CVE-2020-2829），攻擊者可以在未授權的狀態下對外發起任意請求，在特定情況下，能夠在部署WebLogic的操作系統上執行任意代碼。由于WebLogic官方在實現功能上并未做到足夠的限制，后續也陸續出現了多個此類漏洞，包括：CVE-2020-14636、CVE-2020-14637、CVE-2020-14640、CVE-2020-14652、CVE-2020-14638、CVE-2020-14639等。今年WebLogic曝出的漏洞量還是相當可觀的，大部分還是黑名單不斷繞過的修修補補，隨著補丁的健壯，后期利用鏈繞過難度會越來越大，不過還是有研究人員堅持開辟新路，給漏洞挖掘提供新思路。2020年度企業辦公軟件漏洞回顧辦公軟件由于其自身特性廣泛分布于企業內外網，縱觀2020年漏洞攻擊事件，攻擊者無論在打點或內網橫向滲透中，企業辦公軟件漏洞為攻擊者入侵目標提供了極大的助力，且由于辦公軟件本身也包含企業重要信息，一旦被攻陷，對企業本身造成損失遠超過其它系統。奇安信CERT匯總了2020年影響當下流行辦公軟件系統的漏洞，根據統計數據分析，辦公軟件大多為Java開發，高危漏洞占比高達50%，多為未授權下的命令執行、文件上傳、SQL注入等。1、OA系統系列漏洞（1）某OA系列協同辦公系統某OA系列協同辦公系統廣泛應用于中小企業日常辦公，采用Java開發，網絡空間搜索引擎探測暴露公網資產3w+，由CNVD數據可知2020全年共曝出27個漏洞，均為中高危，大多為文件上傳、命令執行以及SQL注入。漏洞詳情如表3-2所示：表3-2某OA系統高危漏洞詳情表漏洞名稱CNVD編號漏洞類型漏洞評級某SQL注入漏洞CNVD-2020-23399SQL注入高危某文件上傳漏洞CNVD-2020-13681文件上傳高危某命令執行漏洞CNVD-2020-24722命令執行高危CNVD-2020-24723命令執行高危CNVD-2020-24724命令執行高危CNVD-2020-24725命令執行高危CNVD-2020-24726命令執行高危CNVD-2020-24727命令執行高危CNVD-2020-24728命令執行高危CNVD-2020-24729命令執行高危某文件上傳漏洞CNVD-2020-33199文件上傳高危某SQL注入漏洞CNVD-2020-33197SQL注入高危某任意文件讀取漏洞暫無任意文件讀取中危某SQL注入漏洞CNVD-2020-58786SQL注入高危某前臺SQL注入漏洞CNVD-2020-58830SQL注入高危某接口SQL注入漏洞CNVD-2020-58786SQL注入高危（2）某OA系列協同辦公系統某OA系列辦公系統被超過萬余家政府機構及企業級用戶使用，采用Java開發，由CNVD數據可知2020全年共曝出4個漏洞，均為中危漏洞，漏洞詳情如表3-3所示：表3-3某OA系統漏洞詳情漏洞名稱CNVD編號漏洞類型漏洞評級某文件上傳漏洞CNVD-2020-10520文件上傳高危某邏輯缺陷漏洞CNVD-2020-33153邏輯缺陷中危某目錄遍歷漏洞CNVD-2020-58445目錄遍歷中危某任意文件讀取漏洞CNVD-2020-62422文件讀取中危（3）某OA系列協同辦公軟件某OA系列協同辦公軟件廣泛應用于中小企業日常辦公，采用PHP開發，網絡空間搜索引擎探測暴露公網資產近3w，由CNVD數據可知2020全年共曝出16個漏洞，高危漏洞占比37.5%。漏洞詳情如表3-4所示：表3-4某OA系統漏洞詳情表漏洞名稱CNVD編號漏洞類型漏洞評級某未授權RCE漏洞暫無文件上傳高危某文件刪除漏洞暫無文件刪除高危某后臺文件上傳漏洞暫無文件上傳高危某后臺SQL注入漏洞暫無SQL注入低危2、其他辦公軟件漏洞（1）AtlassianConfluenceConfluence作為目前最受歡迎內容協作和管理工作空間服務，由Java開發，由CNVD數據可知2020年共曝出4個漏洞，分別是一個高危漏洞SSRF，兩個跨站腳本漏洞以及一個信息泄露，相較于以往數據，Confluence漏洞數目明顯下降，且都是跨站腳本等中低危漏洞。高危漏洞詳情如下：2020年8月，奇安信CERT監測到Confluence存在SSRF漏洞（CVE-2020-24898），ConfluenceServer5.3.26之前的表格過濾器和圖表功能允許通過“來自CSV的表格”的宏進行SSRF攻擊，成功利用可造成敏感信息泄露，探測內網，進一步利用可獲取內網主機權限。（2）AtlassianJiraJira是Atlassian公司出品的項目與事務跟蹤工具，被廣泛應用于缺陷跟蹤、客戶服務、需求收集、流程審批、任務跟蹤、項目跟蹤和敏捷管理等工作領域，多部署于企業內網，采用Java開發。由CNVD數據可知2020年共披露漏洞34個，其中只有一個高危漏洞，同Confluence一樣，Jira在2020年度并未出現Getshell級別漏洞，且漏洞多為跨站腳本等中低危漏洞，漏洞點也多存在于插件，非Jira本身，安全性較歷史相比有了顯著提升。相關漏洞詳情：2020年6月，奇安信CERT監測到Jira拒絕服務漏洞（CVE-2019-20413），

AtlassianJiraServer和DataCenter中的某頁面存在拒絕服務漏洞，該漏洞成因是程序沒有充分驗證輸入。遠程攻擊者可利用該漏洞影響應用程序的可用性。（3）某項目管理軟件某項目管理軟件是一款國產的，基于LGPL協議，開源免費的項目管理軟件，它集產品管理、項目管理、測試管理于一體，同時還包含了事務管理、組織管理等諸多功能，是中小型企業項目管理的首選，基于自主的PHP開發框架，第三方開發者或企業可非常方便的開發插件或者進行定制。2020年某項目管理軟件只曝出一枚后臺代碼執行漏洞，且需要后臺登錄權限。2020年10月，奇安信CERT監測到某項目管理軟件官網發布了12.4.3版本更新公告，修復了一個文件上傳的漏洞，對應CNVD編號：CNVD-C-2020-121325，在某項目管理軟件開源版低于12.4.3版本中存在任意文件讀取和任意文件上傳漏洞，惡意攻擊者（需要登陸后臺的任意用戶）可以通過該漏洞讀取或上傳任意文件，成功利用漏洞后可獲得目標系統中敏感文件讀取和系統管理權限，但需要后臺登錄權限，故奇安信CERT評級低危。（4）某國內知名企業管理軟件廠商此廠商作為企業級管理軟件，在大中型企業廣泛使用。2020年，共披露漏洞8個，集中在實戰攻防演習中曝出漏洞，且均為高危漏洞，大多可直接獲取系統服務器權限。整體系統提供眾多未授權接口服務，且未對用戶輸入做合法性校驗，從而產生眾多高危漏洞。高危漏洞詳情如表3-5所示：表3-5某軟件高危漏洞詳情表漏洞名稱CNVD編號漏洞類型漏洞評級某軟件SQL注入漏洞暫無SQL注入高危某軟件XXE漏洞暫無XXE高危某軟件命令注入漏洞暫無命令注入高危某軟件未授權反序列化漏洞暫無反序列化高危某軟件SQL注入漏洞暫無SQL注入高危某軟件命令執行漏洞暫無命令執行高危某軟件未授權文件上傳漏洞暫無文件上傳高危某軟件遠程代碼執行漏洞暫無代碼執行高危2020年度網絡設備漏洞回顧1、CVE-2019-19781CitrixADC和CitrixGateway遠程代碼執行漏洞2019年12月17日Citrix發布安全通告，表示在CitrixADC和CitrixGateway中存在的一個遠程代碼執行漏洞（CVE-2019-19781）。該漏洞在不需要進行用戶認證的情況下，攻擊者可通過精心構造的請求攻擊CitrixADC或CitrixGateway服務器，成功利用此漏洞的攻擊者可以在目標主機上執行任意代碼。在該漏洞被披露后不久，PoC以及EXP就被曝出。官方并于1月底發布了各個版本的相應補丁。根據奇安信CERT的監測發現該漏洞為2020年度輿論熱度最高的漏洞，由于該漏洞的利用門檻低且較容易被工具化，因此在發現后的很長一段時間內熱度依舊很高。2、CVE-2020-5902F5BIG-IP未授權遠程代碼執行漏洞F5BIG-IP是美國F5公司的一款集成網絡流量管理，應用程序安全管理，負載均衡等功能的應用交付平臺。2020年7月1日，F5公司公布其流量管理用戶界面（TMUI）存在未授權遠程代碼執行漏洞（CVE-2020-5902），成功利用此漏洞的攻擊者，通過構造請求，在未授權的情況下獲得目標服務器的權限，實現遠程代碼執行。截止到奇安信CERT監測到該漏洞時已有PoC泄漏，并且在官方第一次更新了緩解措施之后，仍存在緩解措施被繞過的可能性。2020年7月11日奇安信CERT監測到F5官方再次更新了漏洞的緩解措施。2020年度開源企業級應用漏洞回顧1、ApacheSkyWalkingApacheSkyWalking

是一款開源的應用性能監控（APM）工具，對微服務、云原生和容器化應用提供自動化、高性能的監控方案。該項目在Github上發布后Star數15.4k，國內用戶居多，其官方網站顯示，大量國內互聯網、銀行、民航等領域的公司在使用此工具。

針對該產品今年熱度較大的漏洞有ApacheSkyWalkingSQL注入漏洞（CVE-2020-13921、CVE-2020-9483），經過分析，在SkyWalking多個版本中，默認開放的未授權GraphQL接口，通過該接口，攻擊者可以構造惡意的請求包觸發SQL注入，從而導致用戶數據庫敏感信息泄露。漏洞細節公開后，官方及時發布最新版本，針對暫時無法升級的用戶，推薦方案為對GraphQL接口添加認證策略，從而降低安全風險。2、ApacheShiroApacheShiro是一個強大易用的開源Java安全框架，執行身份驗證、授權、密碼和會話管理，使用Shiro的易于理解的API可以快速、輕松地獲得任何應用程序，從最小的移動應用程序到最大的網絡和企業應用程序。全球范圍內共有25,000多個網站使用ApacheShiro框架且對外開放，其中，中國用戶量達到15,400，占比最多，所以一旦Shiro項目曝發漏洞，國內關注度極高。今年接連曝出多個身份驗證繞過漏洞，其中ApacheShiro<1.5.2身份驗證繞過漏洞（CVE-2020-1957）、ApacheShiro<1.5.3身份驗證繞過漏洞（CVE-2020-11989）以及ApacheShiro<1.6.0身份驗證繞過漏洞（CVE-2020-13933）熱度最高，由于官方補丁防護的不嚴謹，安全人員對其展開分析，研究出多種繞過方式。ApacheShiro<1.5.2身份驗證繞過漏洞（CVE-2020-1957）該漏洞存在于常見的ApacheShiro結合Spring項目中，有兩種攻擊方式，第一種是由于Shiro1.5.0版本修復補丁考慮不全面導致的補丁繞過，低于1.5.0版本的Shiro可以通過反斜杠構造payload實現權限繞過，高于1.5.0版本則可以通過分號截斷繞過認證。官方進行版本升級加以防護。ApacheShiro<1.5.3身份驗證繞過漏洞（CVE-2020-11989）同樣是Spring項目中使用ApacheShiro進行身份驗證，研究人員在新版本版本中再次發現繞過漏洞，除了通過與上次類似的分號截斷，還可通過二次編碼的方式繞過認證，造成此次繞過的原因主要是ApacheShiro和Spring對RFC標準實現的差異化導致。本次補丁修復，ApacheShiro官方采用了標準的獲取請求路由的方式，同時不再進行url解碼。ApacheShiro<1.6.0身份驗證繞過漏洞（CVE-2020-13933）官方發布新版本不久，研究人員再次繞過補丁防護，通過分號編碼的方式，其實歷史漏洞CVE-2020-1957的補丁也為此次漏洞的成功利用做了良好鋪墊（默認刪除URI結尾的/）。新版本對antpath權限匹配規則默認添加了/**，且在全局上對分號、反斜杠和非ASCII字符進行過濾，繞過與防護的斗智斗勇才終于告一段落。3、ApacheDubboApacheDubbo是一個分布式框架，致力于提供高性能透明化的RPC遠程服務調用方案，以及SOA服務治理方案。ApacheDubbo在實際應用場景中主要負責解決分布式的相關需求。全球范圍內有11,000余個網站使用Dubbo并對外開放，其中僅國內就達到10,000余個，今年Apache