2024年度漏洞態(tài)勢分析報告

2.基于主流漏洞庫已公開披露漏洞的數(shù) 3.基于主流漏洞庫已公開披露漏洞的趨勢 4.基于主流漏洞庫已公開披露漏洞的廠商分析 -33- 一、前言造成系統(tǒng)癱瘓、數(shù)據(jù)泄露、甚至影響社會和國家的核2024年度漏洞態(tài)勢分析報告旨在全面回顧和總結這一年內的漏洞數(shù)據(jù)，分二、2024年度漏洞數(shù)據(jù)統(tǒng)計與分析1.基于主流漏洞庫已公開披露漏洞的總體趨勢分析NVD已公開披露漏洞共計21831個，較2023年同比增長22.08%，通過對歷年圖表1近十年NVD公開新增漏洞數(shù)據(jù)從上述圖表中可以看出，近十年NVD公開的漏洞數(shù)量呈現(xiàn)出顯著的逐年增長趨勢，尤其是在2020年之后，漏洞數(shù)量的增長速度明顯加快。2015年NVD2.基于主流漏洞庫已公開披露漏洞的數(shù)據(jù)統(tǒng)計漏洞各等級分布概況低危漏洞：NVD2024年度低危漏洞數(shù)量為2768個，2023年度低危漏洞數(shù)中危漏洞：NVD2024年度中危漏洞數(shù)量為9821個，2023年度中危漏洞數(shù)高危漏洞：NVD2024年度高危漏洞數(shù)量為3819個，2023年度中危漏洞數(shù)圖表2NVD已公開披露漏洞數(shù)據(jù)等級分布漏洞產生原因分布表1設計錯誤致漏洞產生對應的CWE用戶輸入的過濾和驗證不足導致的漏洞，例表2輸入驗證錯誤致漏洞產生對應的CWE表3邊界條件錯誤致漏洞產生對應的CWE表4訪問驗證錯誤致漏洞產生對應的CWE表5其他錯誤致漏洞產生對應的CWE圖表32024年度漏洞產生原因分布（注：數(shù)據(jù)來源CNVD）漏洞產生原因解析引起的漏洞容易對多線程、高并發(fā)系統(tǒng)的穩(wěn)定性和安全性造成嚴3.基于主流漏洞庫已公開披露漏洞的趨勢預測4.基于主流漏洞庫已公開披露漏洞的廠商分析2024年度漏洞數(shù)據(jù)的廠商分布概況和IBM分別以247個和236個漏洞排在第九和第十，主要涉及工業(yè)控制系統(tǒng)和要加大對漏洞管理和修復的投入。加強對網絡設備（如Cisco）和工業(yè)控制系統(tǒng)圖表42024年度NVD已公開披露漏洞廠商分布Top102024年度廠商分布較2023年度數(shù)據(jù)解析2024年整體披露的漏洞數(shù)量較2023年顯著增長，增，可能與其廣泛使用的生態(tài)有關。2024年榜單中廠商覆蓋從操作系統(tǒng)、互聯(lián)圖表52023年度NVD公開漏洞廠商分布Top10其復雜的產品生態(tài)長期面臨安全挑戰(zhàn)。工業(yè)控制系統(tǒng)廠商（Siemens）和開源項2024年度廠商分布數(shù)據(jù)的分析總結開源項目漏洞數(shù)量增長明顯，應進一步加強對5.基于國產廠商分布數(shù)據(jù)的解析尤其是在企業(yè)辦公場景和物聯(lián)網應用中的潛圖表62024年度NVD已公開披露漏洞國產廠商Top5(1)消費級產品安全問題顯著：騰達的高漏洞數(shù)量反映出小型路由器、交換6.本章小結2024年度的漏洞數(shù)據(jù)分析顯示，全球信息安全威三、2024年度CWE排行榜解讀Enumeration，常見弱點枚舉）發(fā)布的一個年度報告，列出了在過去一年中最常務拒絕等問題。了解CWETop25的排名可以幫助開發(fā)人員、運維人員和安全專2.2024年度CWETop25排行榜單CWETop25的漏洞類型涉及多種攻擊方式和漏洞利用手段，包括注入攻擊123-456789--表62024年度CWETop25排行榜單在2024年成為更嚴重的問題。越來越多的應用程序存在不安全的代碼執(zhí)行或動CWE-17不受控制的資源消耗：上升13位，資源消耗的控制問題變得更加CWE-120緩沖區(qū)溢出：下降3位，現(xiàn)代編譯器和安全防護措施的進步（如CWE-787越界寫入：下降1位，隨著編程語言和編譯器的提升，越界寫入3.基于2024年度CWE數(shù)據(jù)的趨勢分析Web應用程序中存在的不安全代碼生成或缺乏輸入驗證，導致代碼注入與CWE-400（不受控制的資源消耗）的上升可以表明拒4.本章小結MMM漏洞情報監(jiān)測平臺是由安恒研究院自主研發(fā)并持續(xù)運營維護的專業(yè)圖表72024年度MMM漏洞監(jiān)測平臺漏洞處置等級分布2024年，安恒CERT共監(jiān)測并發(fā)現(xiàn)各類漏洞信息39,226條。經過MMM漏1.年度嚴重漏洞（CVSS3.1評分>=9.0）(1)GitLab存在任意密碼重置漏洞（CVE-2023-7028|DM-202312-003214）(3)Jenkins存在任意文件讀取漏洞（CVE-2024-23897|DM-202401-002896）未經身份驗證的攻擊者能夠利用該漏洞讀取Jenkins控制器文件系統(tǒng)上的任(4)JetBrainsTeamCity存在身份驗證繞過漏洞（CVE-2024-27198|DM-20240(5)FortiOS&FortiProxy(6)libzma/xz庫存在后門（CVE-2024-3094|DM-202403-002139）xz的上游tarball中發(fā)現(xiàn)了惡意代碼，其存在的惡意代碼可能允許對受影響的系統(tǒng)進行未經授權的訪問。liblzma構建過程從源代碼中存在的偽裝測試文件(7)Rust存在命令注入漏洞（CVE-未經身份驗證的攻擊者能夠在防火墻上以root權限執(zhí)行任意代碼。(9)Git存在遠程代碼執(zhí)行漏洞（CVE-2024-32002|DM-202405-002232）該漏洞允許攻擊者在“克隆”操作期間對影響版本實現(xiàn)遠程(10)PHP-CGI存在遠程代碼執(zhí)行漏洞（CVE-2024-4577|DM-202405-001058）TTP請求并在系統(tǒng)上執(zhí)行任意操作系統(tǒng)命令。(11)VMwarevCenterServer堆溢出漏洞（C具有vCenterServer網絡訪問權限的(12)VMwarevCenterServer堆溢出漏洞（C具有vCenterServer網絡訪問權限的(13)GeoServer存在遠程代碼執(zhí)行漏洞（CVE-2024-36401|DM-經身份驗證的用戶通過針對默認GeoServer安裝的特制輸入執(zhí)行(14)GitLab存在身份驗證繞過漏洞（CVE-2024-6385|DM-202406-003791）該漏洞允許攻擊者在某些情況下以其他用戶的(15)Windows遠程桌面授權服務遠程代碼執(zhí)行漏洞（CVE-2024-38077|DM-需要用戶交互的情況下完全控制受害者的服(16)WindowsTCP/IP存在遠程代碼執(zhí)行漏洞（CVE-2024-38063|DM-2(17)VMwarevCenterServer存在堆溢出漏洞（CVE-2024-38812|DM-20240vCenterServer在DCERP(18)IvantiEndpointManager存在遠程代碼執(zhí)行漏洞（CVE-2024-29847|D(19)OracleWebLogicServer存在反序列化漏洞（CVE-2024-21216|DM-202過注冊未經授權的FortiManager或FortiGate設備獲取系統(tǒng)配置數(shù)(21)ApacheSolr存在身份驗證繞過漏洞（CVE-2024-45216|DM-202408-003該漏洞主要影響使用PKIAuthenticationPlugin（通常在啟用Solr身份驗證時(22)CyberPanel存在遠程命令執(zhí)行漏洞（CVE-2024-51567|DM-202410-0053未經身份驗證的遠程攻擊者可以通過對缺乏充分驗證和過濾的upgrademysqlstatus接口參數(shù)進行利用，從而繞過身份驗證并通過構造惡意請求(23)IvantiEndpointManager存在SQL注入漏洞（2.基于2024年度漏洞預警數(shù)據(jù)的分析基于2024年度漏洞預警數(shù)據(jù)的漏洞類型統(tǒng)計圖表82024年度預警漏洞類型分布基于2024年度漏洞預警數(shù)據(jù)的趨勢預測如，在本年度xz庫、libzma后門等相關漏洞的披露即可說明開源生態(tài)可能面臨基于漏洞預警數(shù)據(jù)中的高發(fā)漏洞類型和PHP-CGI存在遠程代碼執(zhí)行漏洞（CVE-2024-4577）等漏洞，這類漏洞攻擊門FortiManager、ApacheSolr）的保護，通常情況下攻擊者對這類型漏洞進行利用3.本章小結五、2024年攻防演練高危漏洞回顧并對演練期間捕獲的在野0day漏洞及時將其檔案添加至漏洞庫并完善策略?，F(xiàn)1.攻防演練期間常見漏洞類型分布概況次演練期間捕獲的在野0day漏洞中，SQL注入漏洞成為攻擊者最常使用的漏洞類型，占新增在野漏洞檔案的45.94%。經研判后，累計對圖表92024年度攻防演練在野漏洞預警類型分布XX管理系統(tǒng)XX企業(yè)管理系統(tǒng)XX人力資源信息管理系統(tǒng)等包含WebShell或惡意腳本。任意文件讀取漏洞則允許攻擊者訪問本不應訪這類漏洞常被用于提升攻擊權限或獲得未授權訪問。涉及產通常用于執(zhí)行惡意腳本或控制遠程主機。涉及產2.攻防演練中常見漏洞利用類型別是在針對關鍵網絡設備或基礎設施進行滲透(3)身份驗證繞過漏洞常用于獲取管理員權限或訪問特定受限(5)任意文件上傳/讀取漏洞常見于Web應用，攻擊者通過上傳洞?；贘ava或.NET等技術棧的應用中較為常見，常被用于入侵和執(zhí)行遠程命為常見且危害性最大。由于Web應用的普遍性，SQL注入漏洞成為攻擊者攻擊3.本章小結命令執(zhí)行和任意文件上傳/讀取等類型。Web應用和網絡設備，尤其是存在SQL六、AI安全隱患與未來趨勢分析國際非營利組織。OWASP通過文檔、工具、視頻、會議和論壇提供一系列免費OWASP大型語言模型應用十大威脅報告確定了相關威脅，提供了漏洞和實際攻2.OWASPLLMTop10安全威脅解讀表7OWASPTop排行會覆蓋系統(tǒng)提示詞，而間接注入操縱外部數(shù)據(jù)源進行注入攻擊，從而導致LLM執(zhí)行意外操作。例如，攻擊者向基于LLM的支持聊天機器人注入包含“忘記所訓練數(shù)據(jù)中毒攻擊是指攻擊者故意修改或注入有害數(shù)據(jù)到AI模型的訓練數(shù)類攻擊可以使得AI模型在正常使用時無法響應用戶請求，甚至直接使系統(tǒng)崩潰或癱瘓。例如，攻擊者向LLM洪水般發(fā)送大量的超長輸入，經過精心制作從而利用處理變長輸入的任何低效之處。這些輸入會對LLM的資源造成過多負擔，5.LLM05：供應鏈漏洞（SupplyChainVul在生成式AI模型的開發(fā)、訓練、部署和維護過程中，攻擊者通過破壞或篡改軟件、硬件、數(shù)據(jù)集、第三方庫或服務，導致AI系統(tǒng)的安全性受到威脅。通常發(fā)生在AI模型的開發(fā)和部署流程中的某個環(huán)節(jié)，攻擊者通過惡意修改或操控由于生成式AI模型通常在大規(guī)模數(shù)據(jù)集上進行訓練，某些模型可能會從訓其回復中泄露機密數(shù)據(jù)指生成式AI模型在生成內容或響應用戶查詢時，無意間漏洞。例如，毫不知情的合法用戶A在與LLM應用程面，攻擊者能夠利用這些額外的代理層進行操控或竊取數(shù)據(jù)。例如，一個基于9.LLM09：過度依賴（Overreliance）生成式AI系統(tǒng)過度依賴某些組件、模型、外部服務或第三方資源，這種依響整個系統(tǒng)的運行。例如，某軟件開發(fā)公司使用LLM來協(xié)助開發(fā)人員，LLM建未經授權的第三方通過逆向工程、數(shù)據(jù)抓取或其他惡意手段竊取訓練好的AI模型及其知識產權的行為。由于生成式AI模型通常包含大量的訓練數(shù)據(jù)、算權、商業(yè)機密泄露以及算法性能的濫用。例如，惡意攻擊者繞過LLM的輸入過越重要的作用。大規(guī)模模型作為AI領域的關鍵技術之一，隨著計算平臺的算力llama.cpp是一個開源軟件庫，可對Llama區(qū)溢出（global-buffer-overflow可能導gguf_init_from_file中存在使用未初始化堆變果該文件是精心構建的，則可能會控制此未初始化的值并導致任意地址空閑問題。這可能會展機器學習的內存平臺。H2O及之前版本存在安全漏洞，該漏洞源于攻擊者可以任ChainerMN是Chainer深度學習框架的一個文件下的chunked_bcast_obj方法，使用了pickle.loads反序列化數(shù)據(jù)，pickle在反序列表8LLM相關高危漏洞4.LLM應用過程中面臨的風險場景用于惡意行為，如身份盜用、金融詐騙以及社會工程攻擊。以及在用戶與LLM交互的過程中，用戶可能會無意中輸入敏感數(shù)據(jù)，這些數(shù)據(jù)隨后可能會被LLM在不觸發(fā)常規(guī)防護措施或向最終用戶發(fā)出入侵警報的情況下進一步實現(xiàn)他們的取多重防護機制，確保LLM的使用符合標準，5.LLM安全治理框架建設通過綜合應用數(shù)據(jù)庫審計、API接口監(jiān)測能力的監(jiān)測能力并融合關聯(lián)分析能力，過動態(tài)脫敏能力對于敏感數(shù)據(jù)的運維訪問通路進