漏洞发展趋势.pdf

0day1day100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101100010010010010100000100110100100101000101010010010101000010010010010100101000100101漏洞发展趋势关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。版权声明为避免合作伙伴及客户数据泄露，所有数据在进行分析前都已经过匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。漏洞发展趋势A目录 CONTENTS目录摘要 21. 历史漏洞回顾 41.1 漏洞数量逐年显著增长 51.2 通用软件产品的漏洞数量排名 81.2.1 操作系统漏洞排名 81.2.2 应用软件漏洞排名 92. 漏洞利用情况 112.1 典型漏洞攻击事件监测举例 122.2 实际攻击中常用到 Nday 漏洞 143. 漏洞发展趋势 163.1 浏览器漏洞种类复杂多样 173.2 文档类型漏洞是鱼叉攻击的重要载体 193.3 Flash 漏洞面临消亡 213.4 开源软件面临漏洞利用和软件供应链的双重攻击 223.5 Android 和 iOS 漏洞加剧移动安全的威胁 243.6 安全堪忧的 IoT 设备 264. 结论 28漏洞发展趋势2摘要摘要随着计算机网络技术的发展，全球互联网体量急速膨胀，网络安全形势日益严峻，国家政治、经济、文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势，基于漏洞的网络安全事件层出不穷，为我们敲响了信息安全攻防战的警钟。软件由于开发及设计等各方面的原因，存在漏洞在所难免。对安全研究人员来说，通过对漏洞发展趋势的研究，可以在攻击者利用漏洞造成危害之前，提出及时有效的修补方案，尽可能的减少攻击事件的发生。对软件开发商来说，通过对漏洞的研究，可以帮助开发人员把更多的精力放在安全开发过程中需要注意的关键技术上，开发出高质量的软件。本文以 NVD 为数据源1，对截止 2019 年底的历史漏洞数据进行分析总结，并基于绿盟威胁情报中心 (NTI)，得出以下观点：1. 通过对历史漏洞数据的回顾，可以看到漏洞数量呈现显著增长的总体趋势， 2019 年的漏洞数量比 1999 年增长了 9.62 倍。2. 操作系统被公开的漏洞中，开源操作系统占比相对更高，其安全性问题可能暴露的更充分。如排名第一的 Debian Linux 系统在过去的 20 年累计发现了 3705 条漏洞，以高效快速地修复安全问题著称。3. 根据绿盟威胁情报中心显示，十年以上高龄漏洞在攻击事件中占比仍然高，对于这些历史悠久的漏洞，由于攻击门槛低，攻击者依然在大量使用。4. 浏览器作为网络攻击的入口，漏洞种类复杂多样。通过对应用类软件漏洞利用在网络攻击事件进行统计，浏览器漏洞利用占比 48.44%，影响范围广，安全人员仍需关注浏览器的更新与防护。5. 利用文件格式漏洞的鱼叉式钓鱼攻击已成为网络安全的主要威胁之一，攻击者通过诱导目标对象点击打开包含漏洞的 PDF 或者 Office 文档，继而执行文档中内嵌的恶意脚本，此类漏洞利用稳定性高，在 APT 攻击事件中屡见不鲜。6. Flash 漏洞作为曾经的研究焦点， 2015 和 2016 年爆出的漏洞总数占据 Flash 漏洞的 55.09%。1 NVD 数据库是国际主流数据库之一，其以 CVE 条目的信息为基础，提供更多增强版信息和公开查阅接口，本文全部采用 NVD 数据库数据进行统计计算。漏洞发展趋势3摘要在实际攻击中常以插件形式被嵌套在各种 Exploit Kit 工具包，可以达到稳定利用，更新速度快以及免杀的效果。今后一段时间内，Flash 漏洞并不会彻底消亡，还需继续关注。7. 开源软件便于研究员进行基于源代码的白盒测试。 Web 类开源框架的利用代码公开后可以在短时间内被集成到成熟的攻击框架中，降低了漏洞利用的门槛。随着开源软件开发模式的兴起，针对软件供应链的攻击成为面向软件开发人员和供应商的一种新兴威胁。8. 移动设备的安全决定着家庭和企业用户的信息资产的安全。近些年来社会各界对移动应用的漏洞关注度逐渐提高，漏洞的产生不仅带来用户设备与信息的安全影响，也给企业带来业务或声誉上的损失。9. 物联网设备数量增长迅速，大部分存在默认账户和弱口令，且大部分漏洞利用简单，攻击者容易构建僵尸网络，存在极大的安全风险，设备厂商应该重视并加强自身产品的安全。漏洞发展趋势4历史漏洞回顾1. 历史漏洞回顾1历史漏洞回顾漏洞发展趋势5历史漏洞回顾1.1 漏洞数量逐年显著增长截至 2019年底， NVD数据库共收录漏洞信息 138909条，历年漏洞的数量及同比增长率如图 1.1所示。从 2005 年之后漏洞数量显著提升，同比增长 137%，2016 年更是突破万数大关，同比增长 411%，呈现快速增长的趋势。历年漏洞同比增长率历年漏洞数量180001600014000120001000080006000400020000800%700%600%500%400%300%200%100%0%-100%1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019-21%-38%-22%19%-23%35%137%256%227%256%149%157%139%188%229%338%322%411%694%700%650%图1.1 历年漏洞数量统计为了更准确的表示漏洞环境所面临的风险，行业给出了一套通用漏洞评分系统 CVSS(Common Vulnerability Scoring System)，用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。由于 CVSS v3.0 标准在漏洞覆盖率上不足，下文分析采用 CVSS v2.0 标准进行，其划分漏洞等级如表 1.1所示。表1.1 CVSS v2.0标准等级 CVSS 分数Low 0.1-3.9Medium 4.0-6.9High 7.0-10.01历史漏洞回顾漏洞发展趋势6历史漏洞回顾根据 CVSS v2.0 等级标准，7.0-10.0 为高危漏洞，4.0-6.9 为中危漏洞，0.1-3.9 的则为低危漏洞。截止 2019 年底共有 130937 条漏洞分配了 CVSS v2.0 等级，各个等级按数量分布的占比如图 1.2 所示。56.06%MEDIUM8.72%LOW35.22%HIGH图1.2 漏洞的CVSS V2.0分布低危漏洞占据漏洞总数的 8.72%，攻击者利用此类漏洞可以获取某些系统或服务的信息、读取系统文件和数据。中危漏洞占 56.06%，攻击者利用此类漏洞可以远程修改、创建、删除文件或数据，或对普通服务进行拒绝服务攻击。高危漏洞占据 35.22%，攻击者利用此类漏洞可以远程执行任意命令或者代码，有些漏洞甚至无需交互就可以达到远程代码执行的效果。NVD 数据库提供 CWE 条目，可对漏洞成因进行统一的分析。本文所分析的 138909 条漏洞中，共有 130961 条分配了 CWE ID。图 1.3 给出了 TOP20 CWE 漏洞类型1。1 该排名不包含 NVD-CWE-noinfo（信息不足）和 NVD-CWE-Other（其他）的数据漏洞发展趋势7历史漏洞回顾越界写(CWE-787)空指针引用(CWE-476)整数溢出(CWE-190)数字错误(CWE-189)释放后重用(CWE-416)访问控制错误(CWE-284)授权问题(CWE-287)越界读(CWE-125)代码注入(CWE-94)加密问题(CWE-310)跨站请求伪造(CWE-352)资源管理错误(CWE-399)路径遍历(CWE-22)权限许可(CWE-264)SQL注入(CWE-89)信息泄露(CWE-200)输入验证错误(CWE-20)缓冲区溢出(CWE-119)跨站脚本(CWE-79)0 2000 4000 6000 8000 10000 12000 14000100310271191136114261621196623672450251525462952316458505860709984621274312911图1.3 TOP20 CWE漏洞类型跨站脚本 (CWE-79) 类型的漏洞数量以 12911 条占据第一。其他传统的 Web 攻防技术也是屡见不鲜，SQL 注入 (CWE-89)、跨站请求伪造 (CWE-352)、代码注入 (CWE-94) 等常见于服务器及 Web 应用中，通过将恶意脚本嵌入到网页中，对网站数据造成危害。缓冲区溢出 (CWE-119)、越界读 (CWE-125)、释放后重用 (CWE-416)、空指针引用 (CWE-476) 以及越界写 (CWE-787) 代表内存错误类型的漏洞，此类型的漏洞在浏览器和 Office 软件中比较常见，同时也是 APT 攻击者的重要目标和武器。权限许可(CWE-264) 和授权问题 (CWE-287) 以及访问控制错误 (CWE-284) 代表权限类型的漏洞，主要集中在服务器操作系统、数据库类的应用中。信息泄露 (CWE-200)、资源管理错误 (CWE-399) 等类型的漏洞能够导致敏感信息暴露，比如系统配置信息，数据库信息等，为攻击者进一步的攻击行为提供帮助。漏洞发展趋势8历史漏洞回顾1.2 通用软件产品的漏洞数量排名根据 NVD 漏洞库统计了前 10 漏洞数量涉及的供应商，如图 1.4 所示，主要涵盖 Microsoft、Oracle、Google 、IBM、Apple、Cisco 、Debian、Adobe 、Redhat 、Canonical 。其中 Microsoft 的漏洞累计 6996 个，在厂商中排名第一。800070006000500040003000200010000MicrosoftOracleGoogleIBMApple CiscoDebianAdobeRedhatCanonical6996631851074860 482543123838344631912520图1.4 TOP10漏洞数量供应商Microsoft 公司众多操作系统、 Google 公司的 Chrome 浏览器、 Oracle 公司的 Java 运行时环境、Apple 公司的 iPhone、 Adobe 公司的 Acrobat Reader 和 Flash，这些产品的用户基数大，实现功能复杂，导致被大量安全研究员所关注，漏洞数量相对较多。1.2.1 操作系统漏洞排名根据 NVD 数据库对 Product 字段的统计，操作系统的 TOP10 漏洞数量排名如图 1.5 所示1。主流的Linux 发行版包含 Debian 和 Redhat，其中 Debian Linux 的系统稳定且占用内存小，软件包集成度良好，深受用户喜欢。 Debian 其及社区能在软件发布中快速地修复安全问题，安全研究的投入也比较多，在过去的 20 年里累计发现了 3705 条漏洞。1 发行版 Linux 的漏洞中不包含 linux kernel 的漏洞