在数字的世界里,安全是一个永恒的话题。回顾刚刚过去的2021年,安全事件频发,网络攻击愈演愈烈,2021年第二季度网络攻击量达到2018年初以来最高值。一方面,安全研究人员规模在不断扩大,不断挖掘和修复新的安全漏洞维护网络安全;另一方面,随着厂商安全性的提高,及时分发补丁策略,黑客组织不惜使用 0day 漏洞发起攻击。网络空间的战场看不见硝烟,却和我们的生活越来越息息相关,开源应用安全、云安全、供应链安全……越来越多的受到大家关注。
《2021年度漏洞态势观察报告》围绕漏洞监测、漏洞分析与研判、漏洞情报获取、漏洞风险处置等方面描绘过去一年全网漏洞态势,并对2021年度有现实威胁的漏洞进行重点分析和回顾。思考在漏洞造成实际危害前,对于个人、企业以及漏洞情报供应商而言,可以采取哪些措施来有效隔离风险。
0x01 核心洞见
基于我们所收集到的事实,《2021年度漏洞态势观察报告》的主要洞见如下:
1.尽管存在对应Exploit(漏洞利用代码或工具)的漏洞占到了总漏洞数的22.06%,但其中的大部分并未监测到实际利用的发生,漏洞是否真的被利用,还取决于漏洞的可达性、利用条件和危害程度。从公开信息来看,实际存在野外利用的漏洞,仅占漏洞总量的1 %~2 %左右。所以,基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。
2.另一方面看漏洞的利用,已知存在野外利用的漏洞有46%也就是一小半左右并没有公开的漏洞Exploit,这个事实暗示了一大部分漏洞的威胁并没有显式的呈现,攻击面的削减管理也非常重要。
3.2021年的攻防演习期间大量的0day漏洞被使用,其中很大部分为国外漏洞库并不收录的国产软件漏洞,这些漏洞如果被国家级的对手利用将导致非常严重的后果。事实上,我们看到的活跃国外APT组织已经在这样做了,提示了国内挖掘自己特有软件漏洞并共享情报的高度必要性。
4.明星漏洞存在很强的聚光灯效应,当某个软件出现重大漏洞时会引起超高关注度的产品极易在未来一段时间出现更多漏洞,如:Apache Log4j连续被曝4个远程代码执行漏洞、Microsoft Exchange Server在被曝出ProxyLogon漏洞之后又出现了ProxyShell等漏洞。但是,由于明星漏洞衍生出来的新漏洞大概率未必有同等的威胁和影响面,需要漏洞情报分析运营团队进行深入的研判确认其利用真正的威胁,非常考验团队的响应能力。
5.由于多种技术层面以外因素的影响,相同CVSS评分的漏洞所能导致实际安全风险往往天差地别,结合情报的导致影响威胁升级的关键因素监测,确认漏洞对于风险的影响才具备了真正的动态性。
6.有效的漏洞情报可以帮助用户快速、准确、全面的定位资产相关的漏洞风险,在详细多角度的处理方案的建议下实现相应威胁的消除和缓解。基于漏洞对不同类型用户的影响和处理要求,个人用户、企业用户以及安全监管单位在漏洞情报的选择上应遵循“C端用户挑产品、B端用户挑服务、监管机构挑供应商”的原则。
0x02 漏洞态势
01 NVD(美国国家漏洞库)漏洞处置情况
2021年全年NVD共发布CVE漏洞信息21,957条,其中有详细信息的漏洞有20,791个,无详细信息的漏洞有1,166个(占漏洞总条目的5.31%)。
02 奇安信CERT漏洞处置情况
2021年奇安信CERT的漏洞库新增漏洞信息21,664条 (其中20,206条有效漏洞信息在NOX安全监测平台上显示),经NOX安全监测平台筛选后有14,544条敏感漏洞信息 触发人工研判,其中2,124条漏洞信息达到奇安信CERT的处置标准对其进行初步研判,并对初步研判后较为重要的1,890条漏洞信息进行深入研判。相较于2020年,初步研判的漏洞环比增长159.02%,深入研判的漏洞环比增长154.71%。
0x03 年度安全大事件
01 “Log4Shell” 背景介绍
Apache Log4j是Apache的一个开源Java日志记录工具,Apache log4j2是Log4j的升级版本,日志记录主要用来担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息,Log4j因其卓越的性能,使用极其广泛。
自2021年12月9日,Apache Log4j 远程代码执行漏洞(CVE-2021-44228)漏洞在互联网小范围内被公开后,其影响面迅速扩大,不到半个月的时间内,Apache Log4j又陆续被曝出4个漏洞:
| 序号 | 漏洞编号 | 漏洞名称 |
| 1 | CVE-2021-44228 | Apache Log4j任意代码执行漏洞 |
| 2 | CVE-2021-45046 | Apache Log4j远程代码执行漏洞 |
| 3 | CVE-2021-4104 | Apache Log4j远程代码执行漏洞 |
| 4 | CVE-2021-45105 | Apache Log4j拒绝服务攻击漏洞 |
| 5 | CVE-2021-44832 | Apache Log4j远程代码执行漏洞 |
国外给Apache Log4j 远程代码执行漏洞(CVE-2021-44228)起了个颇能反映其威胁的名字“Log4Shell”,奇安信CERT将其命名为“Poisoned Log”(毒日志)漏洞。经过多方面的考量,此漏洞毫无争议地成为2021年热度最大的漏洞,也是近几年来最严重的网络安全威胁之一。
02 “Log4Shell” 事件描述
2021年12月9日晚间,奇安信CERT监测到Apache Log4j 远程代码执行漏洞(CVE-2021-44228)漏洞,Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等众多组件与大型应用均受影响。奇安信CERT于12月9日深夜复现确认漏洞后立即将技术信息上报相关主管部门。
根据奇安信监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为,应急响应中心已接到数十起重要单位的漏洞应急响应需求。补天漏洞响应平台负责人介绍,12月9日深夜,仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。(更多事件详细描述和漏洞完整时间线,请点击阅读原文查阅完整报告……)
03 “Log4Shell” 事件影响
此漏洞对整个互联网带来极大安全威胁,直接动摇了以Java技术栈为重要组成部分的网络应用安全基础,堪比2017年核弹级漏洞“永恒之蓝”,大量的恶意代码已经将其纳入攻击传播的手段之一。
如果把2017年5月12日的“永恒之蓝”漏洞所导致的“WannaCry”勒索蠕虫事件比作一次互联网核爆攻击,那么,由于 Log4j 在基础设施和应用程序中的大量使用,2021年12月9日由Log4Shell漏洞引发的一大波网络攻击则可以比作是一次脏弹攻击,不仅在攻击的当时造成严重杀伤,还会在未来相当长的时间(以十年计)持续地对我们的网络安全形成威胁。
0x04 关键漏洞回顾
本篇报告的精华部分为2021年度关键漏洞回顾,奇安信CERT从重点关注厂商、供应链安全、中间件、云原生及虚拟化、网络设备及应用、企业级应用及办公软件六大方面总结整理了2021年度有现实威胁的漏洞,并从技术细节、漏洞威胁状态、在野利用事件、防护建议等多个方面对其进行了详细分析。
01 重点关注厂商——微软漏洞回顾
微软(Microsoft)作为全球最大的电脑软件提供商、世界PC(Personal Computer,个人计算机)软件开发的先导,其最为著名和畅销的产品为Windows操作系统和Office系列软件。2021年度,微软共发布了800多个漏洞的安全通告及补丁程序。根据漏洞的危害程度及影响力,奇安信CERT整理了微软年度关键漏洞列表:(滑动表格,向下浏览)
| 产品 | 漏洞编号 | 威胁类型 | 攻击向量 | ||
| 攻击途径 | 身份认证 | 用户交互 | |||
| Microsoft Exchange Server | CVE-2021-26855 | 身份认证绕过 | 网络 | 无需 | 无需 |
| CVE-2021-27065 | 任意文件写入 | 网络 | 低 | 无需 | |
| CVE-2021-26857 | 代码执行 | 网络 | 低 | 无需 | |
| CVE-2021-26858 | 任意文件写入 | 网络 | 低 | 无需 | |
| CVE-2021-28480 | 身份认证绕过 | 网络 | 无需 | 无需 | |
| CVE-2021-28481 | 身份认证绕过 | 网络 | 无需 | 无需 | |
| CVE-2021-28482 | 代码执行 | 网络 | 低 | 无需 | |
| CVE-2021-28483 | 代码执行 | 网络 | 低 | 无需 | |
| CVE-2021-34473 | 身份认证绕过 | 网络 | 无需 | 无需 | |
| CVE-2021-34523 | 权限提升 | 本地 | 低 | 无需 | |
| CVE-2021-31207 | 任意文件写入 | 网络 | 高 | 无需 | |
| CVE-2021-33766 | 信息泄露 | 网络 | 无需 | 无需 | |
| CVE-2021-42321 | 代码执行 | 网络 | 低 | 无需 | |
| Active Directory Domain Services | CVE-2021-42287 | 权限提升 | 网络 | 低 | 无需 |
| CVE-2021-42278 | 权限提升 | 网络 | 低 | 无需 | |
| … | … | … | … | … | … |
02 重点关注厂商——Apache漏洞回顾
Apache 软件基金会是现代开源软件系统的基石。开源软件使用的广泛性,给了大量攻击者以可乘之机,当开源组件存在安全漏洞,组件之间又存在相互依赖关系,导致漏洞在组件之间存在传播风险,其安全隐患不可忽视。2021年度Apache值得关注的漏洞列表如下:(滑动表格,向下浏览)
| 漏洞编号 | 威胁类型 | 产品 | 漏洞威胁状态 | |||
| 技术细节 | PoC状态 | EXP状态 | 在野利用 | |||
| CVE-2021-25646 | 代码执行 | Apache Druid | 已公开 | 已公开 | 已公开 | 已发现 |
| CVE-2021-26919 | 代码执行 | 已公开 | 已公开 | 未公开 | 已发现 | |
| CVE-2021-36749 | 任意文件读取 | 已公开 | 已公开 | 未公开 | 已发现 | |
| CVE-2021-25641 | 代码执行 | Apache Dubbo | 已公开 | 已公开 | 已公开 | 未知 |
| CVE-2021-30179 | 代码执行 | 已公开 | 已公开 | 已公开 | 未知 | |
| CVE-2021-30180 | 代码执行 | 已公开 | 已公开 | 未知 | 未知 | |
| CVE-2021-30181 | 代码执行 | 已公开 | 已公开 | 未知 | 未知 | |
| CVE-2021-36162 | 代码执行 | 已公开 | 已公开 | 已公开 | 未知 | |
| CVE-2021-36163 | 代码执行 | 已公开 | 已公开 | 已公开 | 未知 | |
| CVE-2021-26295 | 代码执行 | Apache OFBiz | 已公开 | 已公开 | 已公开 | 未知 |
| CVE-2021-29200 | 代码执行 | 已公开 | 已公开 | 已公开 | 未知 | |
| CVE-2021-30128 | 代码执行 | 已公开 | 已公开 | 已公开 | 未知 | |
| CVE-2021-37608 | 任意文件上传 | 未公开 | 未知 | 未知 | 未知 | |
| CVE-2021-27905 | 服务端请求伪造 | Apache Solr | 已公开 | 已公开 | 已公开 | 已发现 |
03 重点关注厂商——Linux漏洞回顾
作为开源生态系统的支柱之一,Linux已成为当今世界主导云平台和服务器的最强大的操作系统之一。2021年,Linux被曝出一系列漏洞,年初公开的Sudo本地权限提升漏洞(CVE-2021-3156)引起广泛关注,研究人员们采用多种方式在多个系统上成功利用了此漏洞。此外,eBPF、Netfilter、TIPC等模块中的多个权限提升漏洞细节及EXP都已公开,可被攻击者利用提升至ROOT权限。2021年值得关注的Linux漏洞如下:(滑动表格,向下浏览)
| 漏洞编号 | 威胁类型 | 漏洞威胁状态 | |||
| 技术细节 | PoC
状态 | EXP
状态 | 在野
利用 | ||
| CVE-2021-3156 | 权限提升 | 已公开 | 已公开 | 已公开 | 未知 |
| CVE-2021-31440 | 权限提升 | 已公开 | 已公开 | 已公开 | 未知 |
| CVE-2021-3490 | 权限提升 | 已公开 | 已公开 | 已公开 | 未知 |
| CVE-2021-34866 | 权限提升 | 已公开 | 已公开 | 已公开 | 未知 |
| CVE-2021-22555 | 权限提升 | 已公开 | 已公开 | 已公开 | 未知 |
| CVE-2021-33909 | 权限提升 | 已公开 | 已公开 | 已公开 | 未知 |
| CV
E-2021-3493 | 权限提升 | 已公开 | 已公开 | 已公开 | 未知 |
| CVE-2021-26708 | 权限提升 | 已公开 | 已公开 | 未知 | 未知 |
| CVE-2021-43267 | 远程代码执行 | 已公开 | 已公开 | 已公开 | 未知 |
04 供应链安全回顾
供应链攻击,也称价值链攻击或第三方攻击,发生在有攻击者通过可访问企业系统和数据的外部合作伙伴或者供应商的信息,潜入内部系统的时候。通过这种攻击方式,攻击者不仅能轻易获取到企业中的敏感数据,而且会影响到成百上千家使用了该供应商产品厂商的数据安全。2021年供应链攻击相关漏洞列表如下:(滑动表格,向下浏览)
| 漏洞编号 | 威胁类型 | 厂商 | 漏洞威胁状态 | |||
| 技术细节 | PoC 状态 | EXP 状态 | 在野利用 | |||
| CVE-2021-35211 | 代码执行 | Solarwinds | 已公开 | 已公开 | 未知 | 已发现 |
| CVE-2021-35392 | 内存损坏 | Realtek | 已公开 | 已公开 | 已公开 | 已发现 |
| CVE-2021-35393 | 内存损坏 | 已公开 | 已公开 | 已公开 | 已发现 | |
| CVE-2021-35394 | 命令执行 | 已公开 | 已公开 | 已公开 | 已发现 | |
| CVE-2021-35395 | 代码执行 | 已公开 | 已公开 | 已公开 | 已发现 | |
| CVE-2021-29505 | 代码执行 | Xstream | 已公开 | 已公开 | 已公开 | 已发现 |
| CVE-2021-21347 | 代码执行 | 已公开 | 已公开 | 已公开 | 已发现 | |
| CVE-2021-39144 | 代码执行 | 已公开 | 已公开 | 已公开 | 已发现 | |
| CVE-2021-39149 | 代码执行 | 已公开 | 已公开 | 已公开 | 已发现 | |
05 中间件漏洞回顾
中间件是连接不同的软件组件或应用程序的重要组件,位于操作系统之上的软件层,可形象称之为“软件胶水”,通常用于支持复杂的分布式业务软件应用程序。也正因如此,中间件安全问题不容小觑。2021年度,Oracle融合中间件发布191个漏洞的安全更新补丁,值得关注的漏洞如下:(滑动表格,向下浏览)
| 漏洞编号 | 威胁类型 | 产品 | 漏洞威胁状态 | |||
| 技术细节 | PoC
状态 | EXP
状态 | 在野
利用 | |||
| CVE-2021-2109 | 代码执行 | Oracle WebLogic Server | 已公开 | 已公开 | 已公开 | 未知 |
| CVE-2020-14756 | 代码执行 | 已公开 | 已公开 | 已公开 | 未知 | |
| CVE-2021-2136 | 代码执行 | 未公开 | 未知 | 未知 | 未知 | |
| CVE-2021-2135 | 代码执行 | 已公开 | 已公开 | 已公开 | 未知 | |
| CVE-2021-2382 | 代码执行 | 未公开 | 未知 | 未知 | 未知 | |
| CVE-2021-2397 | 代码执行 | 未公开 | 未知 | 未知 | 未知 | |
| CVE-2021-2394 | 代码执行 | 已公开 | 已公开 | 已公开 | 未知 | |
| CVE-2021-35617 | 代码执行 | 未公开 | 未知 | 未知 | 未知 | |
| CVE-2021-41773 | 信息泄露 | Apache HTTP Server | 已公开 | 已公开 | 已公开 | 已发现 |
| CVE-2021-42013 | 信息泄露 | 已公开 | 已公开 | 已公开 | 已发现 | |
| CVE-2021-40438 | 服务端请求伪造 | 已公开 | 已公开 | 已公开 | 已发现 | |
| CVE-2021-42340 | 拒绝服务 | Apache Tomcat | 已公开 | 已公开 | 已公开 | 已发现 |
06 云原生及虚拟化漏洞回顾
近几年,企业业务上云渐渐成为趋势,企业上云有很多优势,比如提高资源整合利用率、快速部署、高效维护、成本低等,往往用一个云管理平台就能管理所有机器,在便捷高效的同时也随之会面临一些新的安全问题。2021年出现许多云原生和虚拟化漏洞,值得关注的漏洞如下:(滑动表格,向下浏览)
| 漏洞编号 | 威胁类型 | 影响产品 | 漏洞威胁状态 | |||
| 技术细节 | PoC
状态 | EXP
状态 | 在野利用 | |||
| QVD-2021-35915 | 身份认证绕过 | Hadoop Yarn | 已公开 | 已公开 | 未知 | 已发现 |
| CVE-2021-2310 | 权限提升 | VirtualBox | 已公开 | 未知 | 未知 | 未知 |
| CVE-2021-2145 | 权限提升 | 已公开 | 未知 | 未知 | 未知 | |
| CVE-2021-2442 | 拒绝服务 | 已公开 | 未知 | 未知 | 未知 | |
| CVE-2021-28476 | 代码执行 | Microsoft Hyper-V | 已公开 | 已公开 | 未知 | 未知 |
| CVE-2020-8562 | 权限提升 | Kubernetes | 已公开 | 已公开 | 未知 | 未知 |
| CVE-2021-25735 | 权限提升 | 已公开 | 已公开 | 已公开 | 未知 | |
| CVE-2021-25737 | 信息泄露 | 未公开 | 未知 | 未知 | 未知 | |
| CVE-2021-25741 | 容器逃逸 | 已公开 | 未知 | 未知 | 未知 | |
| CVE-2021-20291 | 拒绝服务 | CRI-O and Podman | 已公开 | 未知 | 未知 | 未知 |
| CVE-2021-30465 | 容器逃逸 | runc | 已公开 | 已公开 | 已公开 | 未知 |
| … | … | … | … | … | … | … |
07 网络设备及应用漏洞回顾
疫情之下,越来越多的企业和公司开始尝试远程和线上办公,对于在公司外进入生产环境或者公司内网的需求激增,很多黑客也瞄准了这一需求,加大了挖掘网络设备及应用相关漏洞的力度。2021年值得关注的网络设备及应用漏洞如下:(滑动表格,向下浏览)
| 漏洞编号 | 威胁类型 | 产品 | 漏洞威胁状态 | |||
| 技术细节 | PoC
状态 | EXP
状态 | 在野利用 | |||
| QVD-2021-7834 | 命令执行 | JumpServer | 已公开 | 已公开 | 已公开 | 已发现 |
| CVE-2021-22986 | 远程代码执行 | F5
Networks | 已公开 | 已发现 | 未知 | 已发现 |
| CVE-2021-22987 | 命令执行 | 已公开 | 已发现 | 未知 | 未知 | |
| CVE-2021-22988 | 命令执行 | 未公开 | 未知 | 未知 | 未知 | |
| CVE-2021-22989 | 命令执行 | 未公开 | 未知 | 未知 | 未知 | |
| CVE-2021-22990 | 命令执行 | 未公开 | 未知 | 未知 | 未知 | |
| CVE-2021-22991 | 缓冲区溢出 | 未公开 | 未知 | 未知 | 未知 | |
| CVE-2021-22992 | 缓冲区溢出 | 已公开 | 未知 | 未知 | 未知 | |
| CVE-2021-22893 | 远程代码执行 | Pulse Connect Secure SSL VPN | 已公开 | 已发现 | 未知 | 已发现 |
| QVD-2021-35927 | 文件上传 | FatPipe MPVPN | 未公开 | 未知 | 未知 | 已发现 |
| CVE-2021-3064 | 远程代码执行 | Palo Alto Networks GlobalProtect Portal VPN | 未公开 | 未知 | 未知 | 未知 |
08 企业级应用及办公软件漏洞回顾
2021年度,企业中常用的应用及办公软件陆续曝出漏洞。Chrome的在野利用漏洞中,大部分漏洞只需要受害者使用Chrome打开恶意网站即可触发。OA系列协同办公系统2021年共曝出65个漏洞,大部分为中高危漏洞,一旦被恶意利用,企业会受到较大的影响。2021年企业级应用及办公软件值得关注的漏洞如下:(滑动表格,向下浏览)
| 漏洞编号 | 威胁类型 | 产品 | 漏洞威胁状态 | |||
| 技术
细节 | PoC
状态 | EXP
状态 | 在野
利用 | |||
| CVE-2021-21148 | 代码执行 | Chrome | 未公开 | 未知 | 未知 | 已发现 |
| CVE-2021-21220 | 代码执行 | 已公开 | 已公开 | 已公开 | 已发现 | |
| CVE-2021-21224 | 代码执行 | 已公开 | 已公开 | 未知 | 已发现 | |
| CVE-2021-37975 | 代码执行 | 已公开 | 未知 | 未知 | 已发现 | |
| CVE-2021-37976 | 信息泄露 | 未公开 | 未知 | 未知 | 已发现 | |
| CVE-2021-30632 | 代码执行 | 已公开 | 已公开 | 未知 | 已发现 | |
| CVE-2021-30633 | 释放后重用 | 未公开 | 未知 | 未知 | 已发现 | |
| CVE-2021-26084 | 代码执行 | Atlassian Confluence | 已公开 | 已公开 | 已公开 | 已发现 |
| CVE-2020-36239 | 代码执行 | Atlassian Jira | 未公开 | 未知 | 未知 | 未知 |
| CVE-2021-26086 | 文件读取 | 未公开 | 已公开 | 未知 | 未知 | |
| CVE-2021-22205 | 代码执行 | GitLab | 已公开 | 已公开 | 已公开 | 已发现 |
| CVE-2020-28007 | 本地权限提升 | Exim | 已公开 | 已发现 | 未知 | 未知 |
| CVE-2020-28008 | 本地权限提升 | 已公开 | 已发现 | 未知 | 未知 | |
| CVE-2020-28018 | 代码执行 | 已公开 | 已发现 | 未知 | 未知 | |
| CVE-2020-28020 | 代码执行 | 已公开 | 已发现 | 未知 | 未知 | |
| CVE-2020-28024 | 命令执行 | 已公开 | 已发现 | 未知 | 未知 | |
0x04 漏洞情报展望
01 好的漏洞情报应该提供哪些价值?
基于奇安信CERT的漏洞情报运营实践,漏洞情报的运营需要起到收集器、过滤器和富化器的作用。我们关注漏洞情报的全面性、及时性、准确性、可靠性和可行性。由此,好的漏洞情况应该提供以下价值:
1.全面的多维漏洞信息整合及属性标定;
2.及时的与组织自身相关漏洞风险通知;
3.准确的漏洞所导致实际安全风险判定;
4.可靠的综合性漏洞处理的优先级排序;
5.可行的包含详细操作步骤的处置措施。
(漏洞情报价值详细描述请点击阅读原文获取完整报告……)
02 个人、企业、安全监管单位如何选择优质的漏洞情报?
个人用户只需要确保自身的隐私安全和资产安全,不需要关注漏洞本身的技术细节,因此在漏洞情报的使用上更加依赖于其部署的终端安全产品对漏洞情报的敏感程度;
企业用户基于其信息系统的复杂程度,单一的安全产品无法满足其建立企业自身漏洞检测与响应能力的需求,企业需要更加精准和定制化的漏洞情报服务,来帮助管理者迅速判别漏洞对企业业务的影响,并第一时间进行有效的漏洞处置;
安全监管单位关注全网的网络安全态势,需要庞大的漏洞情报数据库支撑,更加考验漏洞情报供应商在模式化的安全产品和情报服务之上,所拥有的灵活、可变通的业务适应能力。
对于个人用户、企业用户以及安全监管单位而言如何挑选到满足自身业务需求的优质漏洞情报,可以简单概括为一句话:“C端用户挑产品、B端用户挑服务、监管机构挑供应商”。
下载完整版报告:https://nox.qianxin.com/api/x/IEYc9
作者:奇安信 CERT
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/19112.html
