COREINSIGHTS漏洞風險評估與處置等方面，對2022年全年發生的重大安全事件和有現實威脅的關鍵漏洞進行了盤點dayAPTExploitPoC，且漏洞關聯軟件影響面較大的漏洞定義為“關鍵漏洞”。2022年標記的關鍵漏洞僅占新增漏洞總量的3.99%，基于威脅情報的漏洞部分漏洞在NVD上沒有相應的CVE編號，未被國外漏洞庫收錄，為國產軟件漏洞。此類漏洞如果。leOracle漏洞擁有的標簽越多，與其關聯的攻擊團伙或者惡意家族就越多，說明漏洞正在被積極利用。從側天內官方才發布補丁。奇安信將漏洞被公開后、官方發布漏洞補丁前的這段時間稱為“漏洞修復窗口期”，這一期間漏洞被成功利用的可能性極大，危害程度補丁修復不徹底，會導致新的漏洞出現。例如：CVE-2022-41040漏洞是由于官方對CVE-2021-高效的企業漏洞管理，需要可靠的漏洞情報。基于漏洞情報的新型漏洞管理模式，能夠在企業安全運營過程起到收集器、過濾器和富化器的作用，幫助企業擺脫漏洞處理的泥潭，更加高效的進行漏洞處在野利用、補丁修復、漏洞情報深度運營第一章2022年度漏洞態勢01011.2漏洞風險等級占比情況021.3漏洞威脅類型占比情況031.4漏洞影響廠商占比情況041.5漏洞標簽占比情況051.6關鍵漏洞占比情況071.7漏洞補丁占比情況08第二章2022年度安全大事件10第三章2022年度關鍵漏洞回顧123.10day漏洞回顧123.2APT相關漏洞回顧163.3在野利用相關漏洞回顧203.4其它類別關鍵漏洞回顧28第四章奇安信漏洞情報的深度運營404.1收集器：多維漏洞信息整合及屬性標定404.2過濾器：準確判定漏洞導致的實際安全風險、及時通43洞風險、漏洞處理優先級綜合性排序4.3富化器：包含詳細操作步驟的處置措施49SDT漏洞深度分析報告示例2年度全網漏洞態勢研究報告1顯示[3])，經NOX安全監測平臺篩選后有25,301條敏感信息[4]觸發人工研判，其中20,667條漏洞信息達到奇安信CERT的處置標準對其進行初步研判，并對初步研判后較為重要的1,914條漏洞信息進行深入研中，有402個漏洞在NVD上沒有相應的CVE編號，未被國外漏洞庫收錄，為國產軟件漏洞，占比情況如圖1-2所示。此類漏洞具有較高威脅，如果被國家級的CERT的信息統稱為漏洞信息發條件由漏洞影響的產品、漏洞熱度、可能的影響范圍等多個維度綜合決定CERT將漏洞初步研判流程前置，極大程度提高了漏洞處置能力奇安信CERT結合CVSS評價標準以及漏洞產生的實際影響將漏洞定級分為極危、高危、中危、低危四種等級，用來評價漏洞不同的影響程度。2022年奇安信CERT研判過的21,034條漏洞信息中，各個等級占3其中，低危漏洞占比2.00%，此類漏洞利用較為復雜或對可用性、機密性、完整性造成的影響較低；中危漏洞占比40.08%，此類漏洞產生的影響介于高危漏洞與低危漏洞之間，可能需要一些復雜的配置或對漏洞成功利用的要求較高；高危漏洞占比57.72%，此類漏洞極大可能造成較嚴重的影響或攻擊成本較低；極危漏洞占比0.20%，此類漏洞無需復雜的技術能力就可以利用，并且對機密性、完整性和可用：名其中代碼執行、權限提升等類型的漏洞可以讓攻擊者完全接管系統、竊取數據或阻止應用程序運行，具：其中漏洞數量占比最高的前十家廠商為：Microsoft、Apple、Oracle、Google、開放源代碼項目、為其有節奏的發布安全補丁，為漏洞處置的關注重點。開源軟件和應用在企業中越來越多的使用，關注度逐漸攀升。部署在網絡邊界的網絡設備在攻防行動中占據了重要地位，因而獲得了安全研究員更為重5為了更加有效的管控漏洞導致的風險，奇安信CERT建立了全面的多維漏洞信息整合及屬性標定機制，使用“關鍵漏洞”、“在野利用”、“POC公開”、“影響萬/十萬/百萬/千萬/億級”、“Botnet類型”、“攻擊者名稱”、“漏洞別名”等標簽標定漏洞相關的應用系統部署量、是否已經有了公開的技術細節、Exploit工具、概念驗證代碼(PoC)、是否已經有了野外利用、是否已經被已知的漏洞利用攻CERT標記的977個漏洞，按照標簽數量進行分類總結，擁有的標簽數量排名前66MicrosoftWindowsCVE的標簽數量最多為19VEVE7ws漏洞擁有的標簽越多，與其關聯的攻擊團伙或者惡意家族就越多，說明漏洞正在被積極利用。從側面印證了這個漏洞具有較高的可達性和危害性，這樣的漏洞已經不僅僅是潛在的威脅，而是具有了較高的現2022年奇安信CERT漏洞庫新增的24,039條漏洞信息中監測到有公開Exploit/PoC漏洞數量為721個、有在野利用漏洞數量為238個、0day漏洞數量為41個、APT相關漏洞數量為33個。奇安信CERT將0day、APT相關、發現在野利用、存在公開Exploit/PoC，且漏洞關聯軟件影響面較大的漏洞定義為“關鍵漏洞”。此類漏洞利用代碼已在互聯網上被公開，或者已經發現在野攻擊利用，并且漏洞關聯產品具有較大的影響面，因此威脅程度非常高，需要重點關注。2022年共標記關鍵漏洞960個，僅占新增漏洞總量效果。此外，發現在野利用的238個漏洞中有88個漏洞有公開Exploit，還有近三分之二的在野利用漏洞沒有監ExploitPoCAPT利用代碼公開情況2022年奇安信CERT漏洞庫新增的24,039個漏洞中，共有24,027漏洞監測到了官方發布的補丁(已收錄在NOX安全監測平臺漏洞補丁庫中)，占新增漏洞總量的99.95%。2022年奇安信CERT漏洞庫新增的根據奇安信CERT漏洞研判情況，從漏洞被公開時間到監測到官方發布漏洞補丁的間隔時間(奇安信CERT將漏洞公開后、官方發布漏洞補丁前的這段時間稱為“漏洞修復窗口期”)分布如圖1-12所示。14天內官方才發布補丁，這一期間漏洞被成功利用的可能性極大，8洞態勢研究報告92.1“Spring4Shell”背景介紹SpringFramework是一個開源應用框架，旨在降低應用程序開發的復雜度。它是輕量級、松散耦合的，具有分層體系結構，允許用戶選擇組件，同時還為J2EE應用程序開發提供了一個有凝聚力的框自2022年3月29日，SpringFramework遠程代碼執行漏洞(CVE-2022-22965)在互聯網小范圍內被公開后，其影響面迅速擴大，國外將SpringFramework遠程代碼執行漏洞(CVE-2022-22965)命名為SpringShellLogShellCVE1-44228)啟發，但兩者并不相關。此漏洞毫無爭議2.2“Spring4Shell”事件描述2022年03月29日晚間，SpringFramework遠程代碼執行漏洞(CVE-2022-22965)被監測到，任何引用SpringFramework的衍生產品均受影響。3月29日深夜該漏洞被國內安全研究人員復現確認。漏洞第一時間分析復現，由于漏洞影響范圍極大，漏洞風險評級為“極危”，但此時官方仍尚未正式發布漏2.3“Spring4Shell”事件影響11越來越多的攻擊者開始利用該漏洞傳播、部署惡意軟件和僵尸網絡。TrendMicroThreatResearch從2022年4月開始發現大量在野傳播，惡意攻擊者將此漏洞進行武器化利用并執行Mirai僵尸網絡惡意軟除此之外還發現了惡意軟件文件服務器以及針對不同CPU架構樣本的其他變體。研究人員表示，這些惡意軟件的主要目的是破壞易受攻擊的互聯網連接設備，將它們聚集成僵尸網絡，并使用它們執行分布“Log4shell”颶風過后，數字世界繼續重建，當網絡環境再次被零日風暴所擾亂，人們對“Spring4Shell”的嚴重性可能產生了許多誤解。利用Spring4Shell需要在一系列特定的環境下才能實3.10day漏洞回顧 Shell2022年9月30日，微軟緊急發布Exchange漏洞安全預警及緩解措施，以緩解被攻擊者在野利用的兩個通過組合這兩個漏洞，可以以低權限在目標系統上以system權限執行任意代碼并控制目標系統。微軟多次修改這兩個0day漏洞的緩解措施，但其緩解措施被安全研究人員多次繞過。隨后這兩個漏洞補丁在型態PoC狀態EXP狀態CVE已公開已公開已發現CVE已公開已公開已發現41040中，僅需低權限的身份驗證就可以以system權限請求powershsell接口，導致權限提升。低權限的攻擊者可以利用該漏洞，通過服務端請求偽造，從低權限提升至高權限，獲得訪問powershell接口的exchangepowershell傳入惡意序列化數據，觸發反序列化，并通過exchange的特性繞過反序列的攻擊者VEem 型態PoC狀態EXP狀態CVE未公開未公開已發現存在權限提升漏洞，經過身份認證的攻擊者可利用此漏洞提升至SYSTEM權限。此漏洞影響所有支持的Windows版本，并且已被檢測到在野利用，威脅性較大。微軟于2022年10月微軟補丁日發布了該漏洞WindowsCOM+事件系統服務默認隨操作系統啟動，負責提供有關登錄和注銷的通知。Windows 型態PoC狀態EXP狀態CVE未公開未公開已發現CVE未公開未公開已發現漏洞CVE-2022-32893，在處理惡意構造的網絡內容時可能觸發越界寫入，導致任意代碼執行，未授權使受害者訪問指定惡意網站利用該漏洞，在受害系統上執行任意代碼。該漏洞的利iOS是蘋果公司為其移動設備所開發的專有移動操作系統，為其公司的許多移動設備提供操作界面，支序可以利用該漏洞越界寫入并以內核權限執行任意代碼，控制目標操作系統。該漏洞已被監測到在野利 AppleKernel本地權限提升漏洞型態PoC狀態EXP狀態CVE未公開未公開已發現iOS是蘋果公司為其移動設備所開發的專有移動操作系統，為其公司的許多移動設備提供操作界面，支持設備包括iPhone、iPad和iPodtouch。iOS是繼Android后全球第二大最受歡迎的移動操作系統，目日Apple布了多個產品的安全更新，披露了已被在野利用的AppleKernel本地權限提升漏經過身份認證的本地攻擊者可通過在目標系統上運行特制應用程序來利用此漏洞，成功利用此漏洞可在 型態PoC狀態EXP狀態CVE特性繞過5.4已公開已公開已公開已發現MoTW的已遭在野利用的0day漏洞，漏洞編號為CVE-2022-41049(微CVE022-41091。CVE-2022-41049允許攻擊者制作特制的ZIP文件來逃避MOTW(網絡標記)。一種繞過方式涉及在ZIP存檔中傳送惡意文件，如果直接從存Windows它。另一種繞過方式是將惡意文件設置為“只 (六)WindowsSmartScreen安全功能繞過漏洞型態PoC狀態EXP狀態CVE特性繞過5.4已公開已公開已公開已發現Magniber勒索軟件的細節。攻擊者可通過構造帶有錯誤簽名的JS文件，并誘導用戶下載并打開特制文件來利用此漏洞。隨著此漏洞細節、PoC及EXP逐步在互聯網公開，此漏洞的現實威脅進一步上升，此 型態PoC狀態EXP狀態QVD未公開未公開已發現T+是一款互聯網管理軟件，主要針對中小型工貿和商貿企業的財務業務一體化應用，適用于異地多組織、多機構對企業財務匯總的管理需求；全面支持企業對遠程倉庫、異地辦事處的管理需求；全面滿足企業財務業務一體化管理需求。2022年8月底奇安信監測到暢捷通T+遠程代碼執行漏洞已被攻擊者用來進行勒索病毒感染攻擊，多家公司受到威脅。8月30日凌晨官方針對此漏洞發布補丁程序同時提供此漏洞允許未經身份認證的遠程攻擊者通過接口的特定參數上傳惡意文件從而在目標服務器上執行任意3.2APT相關漏洞回顧 anConfluenceServerDataCenter型態PoC狀態EXP狀態CVE已公開已公開已發現AtlassianConfluence是一個專業的企業知識管理與協同軟件，也可以用于構建企業wiki。AtlassianConfluenceServerDataCenter經身份驗證的遠程攻擊者可通過OGNL表達式注入在目標服務器上執行任意代碼，利用極其簡單，任意用戶僅通過一條GET請求即Server及DataCenter版本，6月3日，官方發布的補丁和臨時解決方案均可有效防護此漏洞。盡管如17 (二)SophosFirewall代碼執行漏洞型態PoC狀態EXP狀態SophosFirewall識別僵尸計算機和其他高級威脅，同時幫助網絡防御現今的復雜攻擊。在SophosFirewall中存在漏洞，未經身份驗證的攻擊者可以利用該漏洞繞過身份驗證。在SophosFirewall上執行任意代碼。目前已監測到DriftingCloud利用該漏洞針對南亞地區的部分組織進未授權的攻擊者可以利用該漏洞在目標系統上執行任意代碼，控制目標系統，對防火墻后的網絡造成威 Windows行漏洞型態PoC狀態EXP狀態CVE已公開已公開已發現于在野攻擊的Windows腳本語言遠程代碼執行漏洞，谷歌威脅分析小組(TAG)的安全研究人員在2022年10月31日發現了這個0day漏洞，IEJScript引擎中存在一個導致JIT，在渲染攻擊者控制的網站時可導致任意代碼執行。在野利用的誘餌樣本下載了一個富文本文件(RTF)遠程模板，該模板會去獲取遠程HTML內容。由于Office使用IE渲染HTML，因此自2017年以來，該技術已被廣泛用于通過Office文件傳播IE漏洞(例如，CVE-2017-0199)。遠程攻擊者可通過誘導用戶打開惡意文檔來利用此漏洞，此漏洞已被朝鮮政府支持的組織(APT37)利用來攻擊韓國的目標。 型態PoC狀態EXP狀態CVE8.8未公開已公開未公開已發現Chrome款Google公司開發的免費的、快速的互聯網瀏覽器軟件，目標是為使用者提供穩定、安支持多標簽瀏覽，每個標簽頁面都在獨立的“沙箱”內運行。Chrome的Animation存在釋放后重用漏CVE惡意鏈接來利用此漏洞，從而在應用程序上下文中執行2022年2月10號，谷歌的威脅分析小組發現該漏洞被OperationDreamJob和OperationAppleJeusAPT組織用于APT攻擊，攻擊者將漏洞利用工具包的鏈接放在攻擊者擁有的網站的iframe中，這些工具包會收集系統的信息，然后發送回攻擊者的服務器，在滿足某些條件時，服務器會下發該漏洞遠程代碼 lDriver型態PoC狀態EXP狀態CVE已公開已公開已發現BIOS是一組固化到計算機內主板上一個ROM芯片上的程序，它保存著計算機最重要的基本輸入輸出的程序、開機后自檢程序和系統自啟動程序。2022年5月SentinelLabs在戴爾筆記本的固件更新驅動中發現漏洞，允許攻擊者在目標設備上提升權限，影響了數億臺包含含有漏洞的Windows設備。在Dell的BIOS驅動中，固件更新持續接受IOCTL請求，但沒有通過ACL限制訪問，導致可以被任意用戶調用，進l攻擊者可以利用該漏洞將自身權限提升至kernel權限，獲取讀寫內核內存的能力，完全控制目標系統， 型態PoC狀態EXP狀態CVE已公開已公開已發現crosoftSupportDiagnosticsToolMicrosoft(MSDT)存在代碼執行漏洞，在執行MSDT程序時可通過指定特定參數來注入PowerShell代碼，從而造在野利用的樣本以Word等應用程序中的遠程模板功能作為跳板，使其調用MSDT程序處理來自惡意服務器的特制HTML文件中的特制'ms-msdt'URI來觸發此漏洞，從而允許攻擊者以該用戶權限在目標系統上執行任意代碼。此漏洞的遠程利用場景需要用戶交互，攻擊者需要利用某些手段來誘導用戶打開特制文件。此漏洞已經被檢測出在野利用，且披露時為0day狀態，迫于漏洞的影響力及關注度，微軟發布了.3在野利用相關漏洞回顧 型態PoC狀態EXP狀態CVE認證繞過9.8已公開已公開已公開已發現理任意應用。VMwarevRealizeAutomation是自動化部署方案云戶的身份認證繞過漏洞，對UI具有網絡訪問權限的惡意攻擊者可能無需進行身份驗證即可獲得管理訪問權限。攻擊者通過修改HOST為偽造的HTTPS服務器地址，從而繞過認證并獲取有效cookie進一步利在VMware發布相應更新后，網絡安全和基礎設施安全局(CISA)發布了一項緊急指令，其中命令美國聯VMware威脅的VMware設備多數被醫院、政府相關組織部門使用，由于此漏洞操縱相對簡單，攻擊者在漏洞披露的48小時內部署 (二)FortiOS和FortiProxy身份認證繞過漏洞型態PoC狀態EXP狀態CVE已公開已公開已發現FortinetFortiOS是美國飛塔(Fortinet)公司的一套專用于FortiGate網絡安全平臺上的安全操作系統。該系統為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。http或者https請求訪問管理員接口繞過身份驗證并執行許多高權限操作，例如創建新的本地帳戶、將SSH密鑰添加到管理員帳戶以實現持久性、配置策略以獲得對內部系統的遠程網絡訪問。此漏洞已發現 teway型態PoC狀態EXP狀態CVE未公開未公開已發現CitrixGateway是一套安全的遠程接入解決方案，可提供應用級和數據級管控功能，以實現用戶從任何CitrixCitrixADC或Citrix FBIGIPiControlREST行漏洞型態PoC狀態EXP狀態CVE9.8已公開已公開已公開已發現21iControlRESTiControl允許用戶與F5設備之間進行輕量級、快速的交互。2022年5FiControlRESTAPI意命令。5月10日，此漏洞技術細節在互聯網上公開，并發現在野利用事件。由于F5BIG-IP常部署于企 loudGateway型態PoC狀態EXP狀態CVE已公開已公開已發現提供一種簡單、有效、統一的API路由管理方式。當使用SpringCloudGateway的應用程序啟用并公開ActuatorAPI端點時，遠程攻擊者可利用該漏洞將SpEL表達式注入StandardEvaluationContext上下文隨后，此漏洞技術細節及PoC在互聯網上流傳，多個自動化漏洞掃描軟件集成此PoC進行大批量掃描。但值得注意的是，由于此漏洞非默認配置，需手動開啟ActuatorAPI端點，故大幅降低利用成功的可能 型態PoC狀態EXP狀態CVE未公開未公開已發現FortinetFortiOS是美國飛塔(Fortinet)公司的一套專用于FortiGate網絡安全平臺上的安全操作系統。該系統為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功2022年12月12日，fortiguard發布安全通告，修復了FortiOSSSL-VPN上的遠程代碼執行漏洞，在FortiOS存在堆溢出漏洞，未經身份驗證的遠程攻擊者通過發送特制請求觸發該漏洞，從而在目標系統上執行任意代碼或命令，控制目標系統并對VPN后的網絡造成威脅。fortiguard在通告中聲稱已發現攻 型態PoC狀態EXP狀態CVE8.8未公開未公開未公開已發現GoogleChrome是一款由Google公司開發的網頁瀏覽器，GoogleChrome的特點是簡潔、快速。Chrome行漏洞。攻擊者可通過誘導用戶打開特制頁面來利用此漏洞，配合其他漏洞可在目標系統上執行任意代23 型態PoC狀態EXP狀態CVE8.8未公開未公開未公開已發現GoogleChrome是一款由Google公司開發的網頁瀏覽器，GoogleChrome的特點是簡潔、快速。2294)通告。GoogleChromeWebRTC(網絡實時通信)組件中存在基于堆的緩沖區溢出漏洞，利用 型態PoC狀態EXP狀態CVE8.8未公開未公開未公開已發現V8是Google開源高性能的JavaScript和WebAssembly引擎，用C++編寫。它用于Chrome和Node.js等，2022年11月29號，谷歌的威脅分析小組發現GoogleChromeV8類型混淆漏洞(CVE-2022-4262)被發現用于在野利用，在12月2號修復了該漏洞，該漏洞同時也影響基于Chromium的瀏覽器，比如誘導用戶打開惡意鏈接來利用此漏洞，從而在應用程序上下文中執行任意代碼。目前，此漏洞已被發現 型態PoC狀態EXP狀態CVE8.8未公開未公開未公開已發現Chrome款Google公司開發的免費的、快速的互聯網瀏覽器軟件，目標是為使用者提供穩定、安2022年11月22號，谷歌的威脅分析小組發現GoogleChromeGPU代碼執行漏洞(CVE-2022-4135)被發現用于在野利用，在11月24日發布了chrome的安全更新修復了該漏洞。該漏洞同時也影響基于用此漏洞需要用戶交互，成功利用此漏洞可導致在應用程序上下文中執行任意代碼。目前，谷歌已發現 (十一)SpringSecurity身份認證繞過漏洞型態PoC狀態EXP狀態CVE認證繞過8.2已公開已公開已公開已發現SecuritySpring當SpringSecurity中使用RegexRequestMatcher進行權限配置，且規則中使用帶點號(.)的正則表達式25 (十二)SpringDataMongoDBSpEL表達式注入漏洞型態PoC狀態EXP狀態CVE已公開已公開已發現SpringDataforMongoDB是SpringData項目的一部分，該項目旨在為新數據存儲提供熟悉且一致的基于Spring的編程模型，同時保留特定于存儲的特性和功能。SpringDataMongoDB項目提供與MongoDB文檔數據庫的集成。SpringDataMongoDB的關鍵功能是以POJO為中心的模型，用于與QueryAggregationSpEL形如“?0”的占位符來進行參 (十三)WindowsPrintSpooler權限提升漏洞型態PoC狀態EXP狀態CVE已公開已公開已發現WindowsPrintSpooler是打印后臺處理服務，管理所有本地和網絡打印隊列及控制所有打印工作。Spooler服務(Spoolsv.exe)以SYSTEM權限運行，并且可通過網絡進行訪問，這允許攻擊者遠程發起攻擊，攻擊者利用這類漏洞可在目標機器上以SYSTEM權限執行任意代碼。盡管漏洞利用需要授權，但具標系統上運行特制程序來利用此漏洞，成功利用此漏洞的攻擊者可在目標系統上以27oC (十四)AppleiOS和iPadOS任意代碼執行漏洞型態PoC狀態EXP狀態CVE未公開未公開已發現iOS、iPadOS系統是美國蘋果(Apple)公司所研發的移動操作系統。為Apple公司多款產品提供相關Apple包括存在在野利OS致越界寫入問題，該問題可允許惡意程序以內核權限執行任意代碼。最終造成移動設備被接管、個人敏 (十五)GoogleChrome沙箱逃逸漏洞型態PoC狀態EXP狀態CVE安全特性繞過7.4未公開未公開未公開已發現通用IPC原語抽象，消息IDL格式以及具有用于多種目標語言的代碼生成功能的綁定庫，以方便跨任意進2022年9月2日GoogleChrome官方緊急發布安全更新，修復了GoogleChrome沙箱逃逸漏洞(CVE-oogleChrome方式誘導用戶訪問惡意的鏈接來利用此漏洞，成功利用此漏洞可繞過安全限制，實現沙箱逃逸，配合其第五章地緣下的APT組織、活動和趨勢/全球高級持續性威脅(APT)2022年中報告.4其它類別關鍵漏洞回顧 型態PoC狀態EXP狀態CVE已公開未公開未發現HTTP協議棧常見于應用之間或設備之間通信，以及InternetInformationServices(IIS)中。2022年1月，微軟補丁日中出現了一枚影響廣泛的高危漏洞(CVE-2022-21907)，此漏洞無需身份交互以及用WormableExploitationMoreLikely，這意味著漏洞利用可能性很大HTTP存在遠程代碼執行漏洞，由于HTTP協議棧(HTTP.sys)中的HTTPTrailerSupport功能中存在邊界錯誤導致緩沖區溢出。該漏洞允許未授權的遠程攻擊者通過向Web服務器發送一個特制的HTTP請求， WindowsIKE協議擴展遠程代碼執行漏洞型態PoC狀態EXP狀態CVE已公開未公開已發現Internet密鑰交換(IKE)是用于在IPsec中建立安全聯盟(SA)的協議。WindowsIKEEXT在處理IKEv1數據包時，沒有對用戶輸入進行充分驗證，未經身份認證的遠程攻擊者可通過向受影響的系統發送特制的該漏洞存在于用于處理IKEv1(Internet密鑰交換)協議的代碼中，該協議已被棄用但與遺留系統兼容不過，只有開啟IPSec服務的Windows系統受此漏洞影響，觸發此漏洞還需要配置額外的IPSec策略。 ApacheStruts2遠程代碼執行漏洞型態PoC狀態EXP狀態CVE已公開已公開未發現ApacheStruts是最早的基于MVC模式的輕量級Web框架。Struts2是在Struts1和WebWork技術的基礎上進行合并后的全新框架。歷史上ApacheStruts2曝出眾多遠程代碼執行漏洞，CVE-2021-在某些標簽中若后端通過%{...}形式對其屬性進行賦值，則將對OGNL表達式進行二次解析，進而執行惡OGNL 四)AtlassianBitbucketServer和DataCenter命令注入漏洞型態PoC狀態EXP狀態Bitbucket本。2022年11月Atlassian官方發布一嚴重級別漏洞通告：AtlassianBitbucketServer和DataCenter中存在命令注入漏洞，通過控制其用戶名，遠程攻擊者可注入惡意環境變量進而11月25日，漏洞相關技術細節及PoC流出。若后臺開啟公開注冊同時存在公開可訪問倉庫，則遠程未授 型態PoC狀態EXP狀態QVD已公開已公開未發現YApi是高效、易用、功能強大的api管理平臺，旨在為開發、產品、測試人員提供更優雅的接口管理服11月11日漏洞詳情公開，YApi接口管理平臺通過MongoDB注入漏洞獲取到有效用戶token，結合自動化測試API接口寫入命令，繞過沙箱限制，最終在目標系統上執行任意命令。16日，此漏洞技術細節及 (六)ThinkPHP遠程代碼執行漏洞型態PoC狀態EXP狀態QVD已公開未公開未發現ThinkPHP面向對象的輕量級PHP開發框架，是為了敏捷WEB應用開發和簡化企業應用開發而誕生的。當ThinkPHP開啟了多語言功能時，攻擊者可以通過lang參數和目錄穿越實現文件包含，當存在其他擴展模塊如pear擴展時，攻擊者可進一步利用文件包含實現遠程代碼 pacheShiro型態PoC狀態EXP狀態CVE過9.8已公開已公開未公開未發現ApacheShiro是一個功能強大且易于使用的Java安全框架，用于執行身份驗證、授權、加密和會話管攻擊者可通過訪問指定的請求轉發接口，實現系統身份認證繞過，例如訪問一個請求轉發到用戶登錄接 (八)Netatalk遠程命令執行漏洞型態PoC狀態EXP狀態CVE已公開已公開未發現pleDoubleparse_entries函數缺乏正確的處理導致任意讀和任意寫，攻擊者可以利用此漏洞調用system函數，從未經身份驗證的攻擊者可以利用該漏洞在受影響的Netatalk服務上以root權限執行任意命令，利用此漏洞無需權限(在開啟匿名的情況下)，也無需用戶交互。由于Netatalk被集成在多個型號的NAS上，所31 (九)SplunkEnterprise遠程代碼執行漏洞型態PoC狀態EXP狀態CVE已公開未公開未發現nkEnterpriseSplunk生成的快速移動型計算機數據。關聯并分析跨越多個系統的復雜事件。獲取新層次的運營可見性以及ITlunkEnterprise使用部署服務器時，允許創建可由Splunk通用轉發器(SUF)代理或其他SplunkEnterprise實例(如重型器)自動下載的配置包，這些配置包中允許包含二進制文件，SUF自動下載后會執行該二進制程序。 型態PoC狀態EXP狀態CVE已公開未公開未發現遠程桌面是微軟公司為了方便網絡管理員管理維護服務器而推出的一項服務。遠程桌面客戶端允許用戶通過其他設備訪問開啟了遠程桌面功能的主機。如果遠程桌面客戶端存在漏洞，則會使運行遠程桌面客戶端的主機存在安全隱患。一個通用的攻擊場景是：當受害者使用易受攻擊的遠程桌面客戶端連接到攻擊服務器時，控制遠程桌面服務器的攻擊者可以在RDP客戶端計算機上執行任意代碼。攻擊者可以控制用戶要登陸的遠程服務器，也可以誘導用戶連接惡意服務器。MicrosoftWindowsRemote當用戶使用遠程桌面客戶端連接惡意服務器并共享除C盤外的磁盤時容易受到此PoC的攻擊，成功利用行任意代碼。此漏洞影響hyper-v、mstsc等遠程桌面客 (十一)Samba遠程代碼執行漏洞型態PoC狀態EXP狀態CVE未公開未公開未發現B (ServerMessagesBlock，信息服務塊)是一種在局域網上共享文件和打印機的一種通信協議，它為2022年1月31日，Samba官方發布安全公告，Samba存在代碼執行漏洞(CVE-2021-44142)，其技術Samba漏洞，該漏洞存在于Samba中vfs_fruit模塊中，當smbd解析EA元數據時，對文件擴展屬性具有寫訪問權限的遠程攻擊者(可以是來賓身份或未授權身份)可越界讀 (十二)SplunkEnterprise遠程代碼執行漏洞型態PoC狀態EXP狀態CVE已公開未公開未發現SplunkEnterprise是機器數據的引擎。使用Splunk可收集、索引和利用所有應用程序、服務器和設備生成的快速移動型計算機數據。關聯并分析跨越多個系統的復雜事件。獲取新層次的運營可見性以及IT和業務智能。由于SplunkEnterprise中SimpleXML儀表板存在代碼注入，經過身份驗證的遠程攻擊者 (十三)ActiveDirectoryDomainServices權限提升漏洞型態PoC狀態EXP狀態CVE已公開已公開未發現ActiveDirectory(AD)是一個數據庫和一組服務，可將用戶與其完成工作所需的網絡資源關聯起來，它存儲和管理連接到網絡的用戶、設備和服務信息，使用戶能夠對網絡上的資源進行身份驗證和訪問，常應用于企業級網絡內，是攻擊者進行滲透、橫向移動和數據泄露的一個關鍵目標。當活動目錄內開啟了證書認證服務時，攻擊者可以在證書申請請求中包含特制數據，獲取到允許提升權限的證書，從域內普該漏洞2022年5月10日由國外安全研究員公開細節及利用PoC，利用漏洞僅需創建機器賬戶的權限，無。 (十四)Fastjson遠程代碼執行漏洞型態PoC狀態EXP狀態CVE已公開已公開未發現Fastjson是阿里巴巴的一個開源項目，在GitHub上開源，使用Apache2.0協議。它是一個支持Java者可以繞過1.2.68及之后的版本中autoType默認關閉的安全限制，最終在目標機器上執行任意代2022年8月初漏洞發現者“淺藍”在安全大會上公開此漏洞技術細節，披露多條不同依賴的漏洞利用鏈，最終導致遠程代碼執行。同時表示Fastjson1.2.83版本可能較難再出相關漏洞。由于Fastjson應用 (十五)Cacti命令執行漏洞型態PoC狀態EXP狀態CVE已公開未公開未發現CactiCacti存在命令 (十六)WindowsServer服務篡改漏洞型態PoC狀態EXP狀態CVE已公開未公開未發現服務器服務(也稱為LanmanServer)是一種Windows服務，允許遠程計算機通過命名管道(\\pipe\s35需要在受影響的系統上導入惡意證書，經過身份驗證的遠程攻擊者可以將證書上傳至目標服務器。此漏 (十七)LinuxDirtyPipe內核本地權限提升漏洞型態PoC狀態EXP狀態CVE7.8已公開已公開已公開未發現pipe是一個單向的數據通道，可以用于進程間通信。在copy_page_to_iter_pipe和push_pipe函數分配新的pipe_buffer結構體時，沒有初始化pipe_buffer結構體的flags，導致pipe_buffer->flags可能會沿EBUFFLAGCANMERGEpipe_buffer的頁面緩存。擁有普通用戶權限的本地攻擊者可以利用該漏洞將數據寫入只讀文件，實現 (十八)LinuxPolkit本地權限提升漏洞型態PoC狀態EXP狀態CVE7.8已公開已公開已公開未發現Polkit是一個用于定義和處理授權的工具包，用于允許非特權進程與特權進程之間進行對話，默認安裝osPolkitphexce時，存在越界寫漏洞，可以利用該漏洞覆蓋程序的環境變量，可以通過寫入一些危險的環境變量將普通P (十九)SQLite拒絕服務漏洞型態PoC狀態EXP狀態CVE已發現未公開未發現瀏覽器(如GoogleChrome、MozillaFirefox和AppleSafari)中。2022年10月25號研究人員在互聯網上發布SQLite拒絕服務漏洞技術細節。由于SQLite存在數組邊界溢出，攻擊者將大字符串傳遞給碼更新時引入的，在沒有堆棧金絲雀保護措施的情況下編譯庫會導致任意代碼執行，如果存在堆棧金絲雀則會導致服務器拒絕服務。由于當時系統主要為32位架構系統，在當時的情況下該問題可能并不是漏由于SQLite存在數組邊界溢出，攻擊者將大字符串傳遞給SQLite的某些函數，導致拒絕服務，消耗系統 (二十)OpenSSL拒絕服務漏洞型態PoC狀態EXP狀態CVE7.5已公開已公開已公開未發現OpenSSL開放源代碼的軟件庫包，應用程序可以使用這個包來保護安全通信，避免竊聽，同時確認另一端連接者的身份，OpenSSL采用C語言作為主要開發語言，這使得OpenSSL具有優秀的跨平臺性BNmodsqrt時存在一個拒絕服務漏洞，攻擊者可以通過構造特定證書來觸發無發生在證書簽名驗證之前，因此任何解析外部提供的證書場景都可能實現拒絕服37 ApacheTomcat拒絕服務漏洞型態PoC狀態EXP狀態CVE已公開已公開未發現TomcatApacheJakartaServletSunMicrosystems供的技術規范，實現了對Servlet和JavaServerPage(JSP)的支持。當ApacheTomcat開啟集群配置時，攻擊者可以構造特殊請求發送給ApacheTomcat觸發漏洞，造成拒絕服務。當Tomcat開啟集群配置，且ryptInterceptor (二十二)OpenSSL遠程代碼執行漏洞型態PoC狀態EXP狀態CVE7.1已公開未公開未公開未發現OpenSSL開放源代碼的軟件庫包，應用程序可以使用這個包來保護安全通信，避免竊聽，同時確認另一端連接者的身份，OpenSSL采用C語言作為主要開發語言，這使得OpenSSL具有優秀的跨平臺性的ossl_punycode_decode函數存在棧溢出漏洞，當客戶端或服務器配置為驗證X.509證書時，攻擊者可以在電子郵件地址字段的域中創建特殊長度的字符串觸發棧溢出，溢出修改相鄰4個字節數據，導致拒絕服務或代碼執行。因為這個漏洞只能溢出修改4個字節的數據，且現在的平臺都開啟了棧溢出保 (二十三)SpringSecurity身份認證繞過漏洞型態PoC狀態EXP狀態CVE過7.0已公開已公開已公開未發現SecuritySpring框架。當SpringSecurity處理forward或include轉發的請求時可能存在漏洞，攻擊者可利用此漏洞forwardinclude的請求轉發接口實現身份認證繞過。例如訪問一個請求轉發到用戶登錄接口的業務場景下，可能利用此漏洞繞過系統對token39傳統的漏洞管理模式受限于情報不足、技術能力不夠等限制，容易引發漏洞發現速度滯后、漏洞評估能力不足、漏洞處置優先級排序不當、漏洞修復不徹底等一列問題。基于漏洞情報的新型漏洞管理模式，提供全面的多維漏洞信息整合及屬性標定、準確的漏洞導致的實際安全風險判定、及時的與組織相關漏洞風險通知、可信的綜合性漏洞處理優先級排序、可行的包含詳細操作步驟的處置措施以及靈活的可被4.1收集器：多維漏洞信息整合及屬性標定通過對原始數據源的挖掘和實時信息采集，對漏洞進行多維度的屬性標定，保證漏洞信息的全面性和及時性。漏洞情報庫與傳統漏洞庫相比區別最大的地方在于，對漏洞本身技術層面以外維度的持續動態跟蹤，一般的漏洞庫的核心信息只會涉及軟硬件影響面(廠商、應用及版本)，和漏洞本身技術層面的評估(威脅類型、利用場景、危害大小等)，這些信息遠遠不夠，為了有效管控漏洞導致的風險，我們需奇安信漏洞情報運營建立在全面收集漏洞信息的基礎上，監測了多個主流漏洞庫以及數百安全廠商，跟蹤了2000+推特賬號和80+安全相關新聞源，開源信息結合商業數據采購，并通過各種手段持續挖掘新的信息源。對漏洞的多維度屬性進行了全面的跟蹤和標記，2022年奇安信漏洞情報共為977個漏洞標記圖4-2是2022年新增漏洞中被標記標簽最多的漏洞MicrosoftWindows支持診斷工具遠程代碼執行漏洞(CVE-2022-30190)標簽實例，隨著影響此漏洞實際風險的因素的持續迭代，這些標簽會隨時新增和更例代碼(PoC)、武器化的Exploit工具，會直接影響漏洞轉變為現實的攻擊。圖4-3“POC/EXP公開”標簽實例圖4-4展示的是漏洞的“在野利用”標簽，漏洞是否已經有了野外的利用，體現了漏洞是否已經從潛在圖4-5展示的是漏洞的“攻擊者名稱”標簽，漏洞是否被已知的漏洞利用攻擊包或大型的僵尸網絡集成圖4-6展示的是“0day漏洞”、“APT相關”標簽，是否為0day或者APT活動相關，意味著漏洞可能被所有上面這些屬性都通過運營被標記出來，以方便用戶實現有效的處理優先級排序。同時，奇安信漏洞情報還支持基于標簽的搜索，讓用戶非常方便地獲取匹配特定屬性的漏洞集合。這些標簽還有對應的分4.2過濾器：準確判定漏洞導致的實際安全風險、及時通知與組織相關漏優先級綜合性排序分析團隊依據完善的流程和專業經驗，對漏洞的影響面和技術細節進行研判，把真正需要的漏洞過濾出來，保證信息的準確性和處理優先級的可靠性。目前平均每年新增上萬個漏洞，平均到每天百級的漏洞被公開出來，如果全部對其分析驗證需要巨量的資源投入，這對任何廠商和組織都是不可能完成的任務，操作層面上既無可能也無必要。事實上每年新公開的漏洞只有極少數需要被認真研究。處理流程上，我們需要根據漏洞的影響面、威脅類型及驗證條件，篩選出值得深入分析的漏洞，再通過多種渠道 (一)準確的漏洞導致的實際安全風險判定重要漏洞需要專業漏洞分析團隊過濾研判,對于過濾出來的重要漏洞，我們則會盡可能地去完善其技術信息。包含對技術細節的深入分析、POC的驗證測試、可操作的臨時解決方案、檢測規則、補丁有效性的測試等內容。以我們對微軟支持診斷工具漏洞的深度研判報告為例，部分內容如下：(完整報告示例見。43如圖4-8，除了漏洞的基本信息，深度分析報告還包括詳細的威脅向量判定和危害描述，以及詳細的處深度分析報告是漏洞情報的一個增值服務，與漏洞情報中的基礎信息相比，漏洞深度分析報告提供了額外的漏洞分析內容及防護措施。包含漏洞分析報告(包括漏洞成因、驗證過程和驗證成功圖片、漏洞利用環境、漏洞利用流量規則等內容。)、漏洞驗證程序(用于驗證、復現該漏洞)、部分漏洞還提供復現測試流量包(利用漏洞進行遠程復現測試的流量數據包，文件格式為pcap等)。2022年奇安信漏洞情報共產出此類深度分析報告53篇，涉及影響面巨大而又威脅等級最高的那部分漏洞，是奇安信漏洞情45 (二)及時的與組織相關漏洞風險通知漏洞的分析過濾不僅要基于準確的技術判定，還要足夠快速，這樣才能搶在攻擊者之前避免漏洞被利用從而導致損失，需要及時地將與組織自身相關的漏洞風險通知到用戶。作為提供定向性漏洞情報服務的模糊化的產品搜索，直接的軟硬件廠商來源的數據采集，更早的風險信息獲取，全面的CPE信息支持，非CVE漏洞(主要是國產軟件漏洞)的擴展CPE支持。(CPE規范不支持中文的廠商和軟件名，所以如果想沿CPE必須自己做些必要的擴展。)從漏洞信息公開到野外實際利用的間隔期越來越短，大多數時候防御方是在跟攻擊者搶時間，哪方先知道漏洞的存在及相應的細節，決定了誰在對抗中獲勝。為了及時輸出漏洞風險通知，漏洞情報的運營采用7*24的監測處理機制，直接從廠商源頭采集信息，及時研判并實時推送漏洞狀態更新。如下5類漏洞相關的狀態更新我們會通過漏洞情報服務群盡快通報給客戶，這些更新會漸次影響漏洞的現實危害程例第一，新的關鍵漏洞公開。當一個新的關鍵漏洞被收集到并識別出來以后，我們會第一時間通知到我們第二，發現關鍵漏洞的技術細節。當跟蹤發現有新的漏洞相關技術細節出現，不論涉及的漏洞是新的還后通知客戶，同時會啟動可用性的驗證，確認可用以后會給漏洞打上”奇安信47第四，發現關鍵漏洞的在野利用案例。出現實際的在野利用，是漏洞從潛在威脅轉化為現實威脅的重大第五，發現關鍵漏洞的新修補和緩解方案。讓用戶盡快知道有新的緩解和解決方案才能在與攻擊者的競2022年，奇安信漏洞情報服務群(群二維碼見圖4-11，此群只會推送經過驗證過的有現實威脅的漏洞信息，免費社區，歡迎加入。)推送了96條漏洞重要狀態的實時更新(包括48條新增關鍵漏洞、25條技術細節、16條在野利用案例、6條公開Exploit或PoC、1條補丁和緩解方案)。 (三)可信的綜合性漏洞處理優先級排序如圖4-12，從Qualys對19萬個CVE漏洞的CVSS評分對應威脅級別分布的統計來看，絕大部分為中高級別，超過一半的高危評價，high和critical的占到了51%，僅基于CVSS評分基本上很難對漏洞的實際風險做出有效的評估，其他諸如漏洞是否默認配置受影響、利用的易用性穩定性、攻擊者所能接觸到的資產量級、漏洞利用的其他前置條件，都對漏洞的實際風險有極大影響，而對這些維度信息的判定因為很或被排除在CVSS評分我們把存在野外利用和存在利用代碼或技術細節的漏洞標記了出來，再加上部分影響面很大漏洞，我們將這些漏洞定義為關鍵漏洞。已有在野利用的漏洞已經具備現實的威脅，無疑應該被設定為最高的處理12月31日，奇安信漏洞情報庫已收錄全量漏：49例4.3富化器：包含詳細操作步驟的處置措施對于確認的重要漏洞，我們需要富化漏洞信息的上下文，跟蹤漏洞的現時威脅狀態，關聯相應的安全事首先考慮一個問題，我們看到的大量官方發布漏洞通告里的漏洞處置建議真的都靠譜嗎？答案是不一。對于相對復雜些的漏洞，初期給出來的處理方案未必真的能解決問題。以2017年底暴露出來的CPU硬件的漏洞為例，該漏洞可以導致內核信息泄露從而最終實現權限提升，這類漏洞非常底層，影響過去布了一個漏洞通告，給出了最初的解決方案，是“ReplaceCPUhardware”，顯然這并不是一個可行作。隨著CPU和操作系統的廠商陸陸續續的輸出相應的補丁，US-CERT也隨之更新了自己的通告，給出了相對可操作的安裝軟件更新的解決方案，但至少初期的一些軟件處理方案在很多場景下會導致機另外，我們也應該知道漏洞補丁其實有很大的局限性。因為打補丁受各種現實條件的限制，比如在重大活動中核心服務器出于性能和穩定性的考慮，一旦安裝補丁導致宕機后果不堪設想，有些補丁打完以后day無補丁可打的情況。因此很多時候，安裝補丁并不是漏洞威脅處置的第一選擇，除了簡單的打補丁以外，應該有更多可供選擇的永久或臨時性處置方法。因此對于很多重要漏洞，需要組織技術團隊開發主機或網絡虛擬補丁，尋找通過調整機器配置暫時規避漏洞利用的臨時解決方案，輸出經過驗證的step-by-step的操作步驟，幫助客戶迅速上手進行風險2022年，奇安信漏洞情報對外發布了涉及40多個重點廠商、300余條漏洞的107篇實時安全風險通告 (圖4-14為部分通告示例)，每篇風險通告都包含了詳細、可行的處置措施。圖4-1