2024年度漏洞態(tài)勢分析報告

2.基于主流漏洞庫已公開披露漏洞的數(shù) 3.基于主流漏洞庫已公開披露漏洞的趨勢 4.基于主流漏洞庫已公開披露漏洞的廠商分析 -33- 一、前言造成系統(tǒng)癱瘓、數(shù)據(jù)泄露、甚至影響社會和國家的核2024年度漏洞態(tài)勢分析報告旨在全面回顧和總結(jié)這一年內(nèi)的漏洞數(shù)據(jù)，分二、2024年度漏洞數(shù)據(jù)統(tǒng)計與分析1.基于主流漏洞庫已公開披露漏洞的總體趨勢分析NVD已公開披露漏洞共計21831個，較2023年同比增長22.08%，通過對歷年圖表1近十年NVD公開新增漏洞數(shù)據(jù)從上述圖表中可以看出，近十年NVD公開的漏洞數(shù)量呈現(xiàn)出顯著的逐年增長趨勢，尤其是在2020年之后，漏洞數(shù)量的增長速度明顯加快。2015年NVD2.基于主流漏洞庫已公開披露漏洞的數(shù)據(jù)統(tǒng)計漏洞各等級分布概況低危漏洞：NVD2024年度低危漏洞數(shù)量為2768個，2023年度低危漏洞數(shù)中危漏洞：NVD2024年度中危漏洞數(shù)量為9821個，2023年度中危漏洞數(shù)高危漏洞：NVD2024年度高危漏洞數(shù)量為3819個，2023年度中危漏洞數(shù)圖表2NVD已公開披露漏洞數(shù)據(jù)等級分布漏洞產(chǎn)生原因分布表1設(shè)計錯誤致漏洞產(chǎn)生對應(yīng)的CWE用戶輸入的過濾和驗證不足導(dǎo)致的漏洞，例表2輸入驗證錯誤致漏洞產(chǎn)生對應(yīng)的CWE表3邊界條件錯誤致漏洞產(chǎn)生對應(yīng)的CWE表4訪問驗證錯誤致漏洞產(chǎn)生對應(yīng)的CWE表5其他錯誤致漏洞產(chǎn)生對應(yīng)的CWE圖表32024年度漏洞產(chǎn)生原因分布（注：數(shù)據(jù)來源CNVD）漏洞產(chǎn)生原因解析引起的漏洞容易對多線程、高并發(fā)系統(tǒng)的穩(wěn)定性和安全性造成嚴(yán)3.基于主流漏洞庫已公開披露漏洞的趨勢預(yù)測4.基于主流漏洞庫已公開披露漏洞的廠商分析2024年度漏洞數(shù)據(jù)的廠商分布概況和IBM分別以247個和236個漏洞排在第九和第十，主要涉及工業(yè)控制系統(tǒng)和要加大對漏洞管理和修復(fù)的投入。加強對網(wǎng)絡(luò)設(shè)備（如Cisco）和工業(yè)控制系統(tǒng)圖表42024年度NVD已公開披露漏洞廠商分布Top102024年度廠商分布較2023年度數(shù)據(jù)解析2024年整體披露的漏洞數(shù)量較2023年顯著增長，增，可能與其廣泛使用的生態(tài)有關(guān)。2024年榜單中廠商覆蓋從操作系統(tǒng)、互聯(lián)圖表52023年度NVD公開漏洞廠商分布Top10其復(fù)雜的產(chǎn)品生態(tài)長期面臨安全挑戰(zhàn)。工業(yè)控制系統(tǒng)廠商（Siemens）和開源項2024年度廠商分布數(shù)據(jù)的分析總結(jié)開源項目漏洞數(shù)量增長明顯，應(yīng)進一步加強對5.基于國產(chǎn)廠商分布數(shù)據(jù)的解析尤其是在企業(yè)辦公場景和物聯(lián)網(wǎng)應(yīng)用中的潛圖表62024年度NVD已公開披露漏洞國產(chǎn)廠商Top5(1)消費級產(chǎn)品安全問題顯著：騰達的高漏洞數(shù)量反映出小型路由器、交換6.本章小結(jié)2024年度的漏洞數(shù)據(jù)分析顯示，全球信息安全威三、2024年度CWE排行榜解讀Enumeration，常見弱點枚舉）發(fā)布的一個年度報告，列出了在過去一年中最常務(wù)拒絕等問題。了解CWETop25的排名可以幫助開發(fā)人員、運維人員和安全專2.2024年度CWETop25排行榜單CWETop25的漏洞類型涉及多種攻擊方式和漏洞利用手段，包括注入攻擊123-456789--表62024年度CWETop25排行榜單在2024年成為更嚴(yán)重的問題。越來越多的應(yīng)用程序存在不安全的代碼執(zhí)行或動CWE-17不受控制的資源消耗：上升13位，資源消耗的控制問題變得更加CWE-120緩沖區(qū)溢出：下降3位，現(xiàn)代編譯器和安全防護措施的進步（如CWE-787越界寫入：下降1位，隨著編程語言和編譯器的提升，越界寫入3.基于2024年度CWE數(shù)據(jù)的趨勢分析Web應(yīng)用程序中存在的不安全代碼生成或缺乏輸入驗證，導(dǎo)致代碼注入與CWE-400（不受控制的資源消耗）的上升可以表明拒4.本章小結(jié)MMM漏洞情報監(jiān)測平臺是由安恒研究院自主研發(fā)并持續(xù)運營維護的專業(yè)圖表72024年度MMM漏洞監(jiān)測平臺漏洞處置等級分布2024年，安恒CERT共監(jiān)測并發(fā)現(xiàn)各類漏洞信息39,226條。經(jīng)過MMM漏1.年度嚴(yán)重漏洞（CVSS3.1評分>=9.0）(1)GitLab存在任意密碼重置漏洞（CVE-2023-7028|DM-202312-003214）(3)Jenkins存在任意文件讀取漏洞（CVE-2024-23897|DM-202401-002896）未經(jīng)身份驗證的攻擊者能夠利用該漏洞讀取Jenkins控制器文件系統(tǒng)上的任(4)JetBrainsTeamCity存在身份驗證繞過漏洞（CVE-2024-27198|DM-20240(5)FortiOS&FortiProxy(6)libzma/xz庫存在后門（CVE-2024-3094|DM-202403-002139）xz的上游tarball中發(fā)現(xiàn)了惡意代碼，其存在的惡意代碼可能允許對受影響的系統(tǒng)進行未經(jīng)授權(quán)的訪問。liblzma構(gòu)建過程從源代碼中存在的偽裝測試文件(7)Rust存在命令注入漏洞（CVE-未經(jīng)身份驗證的攻擊者能夠在防火墻上以root權(quán)限執(zhí)行任意代碼。(9)Git存在遠程代碼執(zhí)行漏洞（CVE-2024-32002|DM-202405-002232）該漏洞允許攻擊者在“克隆”操作期間對影響版本實現(xiàn)遠程(10)PHP-CGI存在遠程代碼執(zhí)行漏洞（CVE-2024-4577|DM-202405-001058）TTP請求并在系統(tǒng)上執(zhí)行任意操作系統(tǒng)命令。(11)VMwarevCenterServer堆溢出漏洞（C具有vCenterServer網(wǎng)絡(luò)訪問權(quán)限的(12)VMwarevCenterServer堆溢出漏洞（C具有vCenterServer網(wǎng)絡(luò)訪問權(quán)限的(13)GeoServer存在遠程代碼執(zhí)行漏洞（CVE-2024-36401|DM-經(jīng)身份驗證的用戶通過針對默認(rèn)GeoServer安裝的特制輸入執(zhí)行(14)GitLab存在身份驗證繞過漏洞（CVE-2024-6385|DM-202406-003791）該漏洞允許攻擊者在某些情況下以其他用戶的(15)Windows遠程桌面授權(quán)服務(wù)遠程代碼執(zhí)行漏洞（CVE-2024-38077|DM-需要用戶交互的情況下完全控制受害者的服(16)WindowsTCP/IP存在遠程代碼執(zhí)行漏洞（CVE-2024-38063|DM-2(17)VMwarevCenterServer存在堆溢出漏洞（CVE-2024-38812|DM-20240vCenterServer在DCERP(18)IvantiEndpointManager存在遠程代碼執(zhí)行漏洞（CVE-2024-29847|D(19)OracleWebLogicServer存在反序列化漏洞（CVE-2024-21216|DM-202過注冊未經(jīng)授權(quán)的FortiManager或FortiGate設(shè)備獲取系統(tǒng)配置數(shù)(21)ApacheSolr存在身份驗證繞過漏洞（CVE-2024-45216|DM-202408-003該漏洞主要影響使用PKIAuthenticationPlugin（通常在啟用Solr身份驗證時(22)CyberPanel存在遠程命令執(zhí)行漏洞（CVE-2024-51567|DM-202410-0053未經(jīng)身份驗證的遠程攻擊者可以通過對缺乏充分驗證和過濾的upgrademysqlstatus接口參數(shù)進行利用，從而繞過身份驗證并通過構(gòu)造惡意請求(23)IvantiEndpointManager存在SQL注入漏洞（2.基于2024年度漏洞預(yù)警數(shù)據(jù)的分析基于2024年度漏洞預(yù)警數(shù)據(jù)的漏洞類型統(tǒng)計圖表82024年度預(yù)警漏洞類型分布基于2024年度漏洞預(yù)警數(shù)據(jù)的趨勢預(yù)測如，在本年度xz庫、libzma后門等相關(guān)漏洞的披露即可說明開源生態(tài)可能面臨基于漏洞預(yù)警數(shù)據(jù)中的高發(fā)漏洞類型和PHP-CGI存在遠程代碼執(zhí)行漏洞（CVE-2024-4577）等漏洞，這類漏洞攻擊門FortiManager、ApacheSolr）的保護，通常情況下攻擊者對這類型漏洞進行利用3.本章小結(jié)五、2024年攻防演練高危漏洞回顧并對演練期間捕獲的在野0day漏洞及時將其檔案添加至漏洞庫并完善策略。現(xiàn)1.攻防演練期間常見漏洞類型分布概況次演練期間捕獲的在野0day漏洞中，SQL注入漏洞成為攻擊者最常使用的漏洞類型，占新增在野漏洞檔案的45.94%。經(jīng)研判后，累計對圖表92024年度攻防演練在野漏洞預(yù)警類型分布XX管理系統(tǒng)XX企業(yè)管理系統(tǒng)XX人力資源信息管理系統(tǒng)等包含WebShell或惡意腳本。任意文件讀取漏洞則允許攻擊者訪問本不應(yīng)訪這類漏洞常被用于提升攻擊權(quán)限或獲得未授權(quán)訪問。涉及產(chǎn)通常用于執(zhí)行惡意腳本或控制遠程主機。涉及產(chǎn)2.攻防演練中常見漏洞利用類型別是在針對關(guān)鍵網(wǎng)絡(luò)設(shè)備或基礎(chǔ)設(shè)施進行滲透(3)身份驗證繞過漏洞常用于獲取管理員權(quán)限或訪問特定受限(5)任意文件上傳/讀取漏洞常見于Web應(yīng)用，攻擊者通過上傳洞?；贘ava或.NET等技術(shù)棧的應(yīng)用中較為常見，常被用于入侵和執(zhí)行遠程命為常見且危害性最大。由于Web應(yīng)用的普遍性，SQL注入漏洞成為攻擊者攻擊3.本章小結(jié)命令執(zhí)行和任意文件上傳/讀取等類型。Web應(yīng)用和網(wǎng)絡(luò)設(shè)備，尤其是存在SQL六、AI安全隱患與未來趨勢分析國際非營利組織。OWASP通過文檔、工具、視頻、會議和論壇提供一系列免費OWASP大型語言模型應(yīng)用十大威脅報告確定了相關(guān)威脅，提供了漏洞和實際攻2.OWASPLLMTop10安全威脅解讀表7OWASPTop排行會覆蓋系統(tǒng)提示詞，而間接注入操縱外部數(shù)據(jù)源進行注入攻擊，從而導(dǎo)致LLM執(zhí)行意外操作。例如，攻擊者向基于LLM的支持聊天機器人注入包含“忘記所訓(xùn)練數(shù)據(jù)中毒攻擊是指攻擊者故意修改或注入有害數(shù)據(jù)到AI模型的訓(xùn)練數(shù)類攻擊可以使得AI模型在正常使用時無法響應(yīng)用戶請求，甚至直接使系統(tǒng)崩潰或癱瘓。例如，攻擊者向LLM洪水般發(fā)送大量的超長輸入，經(jīng)過精心制作從而利用處理變長輸入的任何低效之處。這些輸入會對LLM的資源造成過多負(fù)擔(dān)，5.LLM05：供應(yīng)鏈漏洞（SupplyChainVul在生成式AI模型的開發(fā)、訓(xùn)練、部署和維護過程中，攻擊者通過破壞或篡改軟件、硬件、數(shù)據(jù)集、第三方庫或服務(wù)，導(dǎo)致AI系統(tǒng)的安全性受到威脅。通常發(fā)生在AI模型的開發(fā)和部署流程中的某個環(huán)節(jié)，攻擊者通過惡意修改或操控由于生成式AI模型通常在大規(guī)模數(shù)據(jù)集上進行訓(xùn)練，某些模型可能會從訓(xùn)其回復(fù)中泄露機密數(shù)據(jù)指生成式AI模型在生成內(nèi)容或響應(yīng)用戶查詢時，無意間漏洞。例如，毫不知情的合法用戶A在與LLM應(yīng)用程面，攻擊者能夠利用這些額外的代理層進行操控或竊取數(shù)據(jù)。例如，一個基于9.LLM09：過度依賴（Overreliance）生成式AI系統(tǒng)過度依賴某些組件、模型、外部服務(wù)或第三方資源，這種依響整個系統(tǒng)的運行。例如，某軟件開發(fā)公司使用LLM來協(xié)助開發(fā)人員，LLM建未經(jīng)授權(quán)的第三方通過逆向工程、數(shù)據(jù)抓取或其他惡意手段竊取訓(xùn)練好的AI模型及其知識產(chǎn)權(quán)的行為。由于生成式AI模型通常包含大量的訓(xùn)練數(shù)據(jù)、算權(quán)、商業(yè)機密泄露以及算法性能的濫用。例如，惡意攻擊者繞過LLM的輸入過越重要的作用。大規(guī)模模型作為AI領(lǐng)域的關(guān)鍵技術(shù)之一，隨著計算平臺的算力llama.cpp是一個開源軟件庫，可對Llama區(qū)溢出（global-buffer-overflow可能導(dǎo)gguf_init_from_file中存在使用未初始化堆變果該文件是精心構(gòu)建的，則可能會控制此未初始化的值并導(dǎo)致任意地址空閑問題。這可能會展機器學(xué)習(xí)的內(nèi)存平臺。H2O及之前版本存在安全漏洞，該漏洞源于攻擊者可以任ChainerMN是Chainer深度學(xué)習(xí)框架的一個文件下的chunked_bcast_obj方法，使用了pickle.loads反序列化數(shù)據(jù)，pickle在反序列表8LLM相關(guān)高危漏洞4.LLM應(yīng)用過程中面臨的風(fēng)險場景用于惡意行為，如身份盜用、金融詐騙以及社會工程攻擊。以及在用戶與LLM交互的過程中，用戶可能會無意中輸入敏感數(shù)據(jù)，這些數(shù)據(jù)隨后可能會被LLM在不觸發(fā)常規(guī)防護措施或向最終用戶發(fā)出入侵警報的情況下進一步實現(xiàn)他們的取多重防護機制，確保LLM的使用符合標(biāo)準(zhǔn)，5.LLM安全治理框架建設(shè)通過綜合應(yīng)用數(shù)據(jù)庫審計、API接口監(jiān)測能力的監(jiān)測能力并融合關(guān)聯(lián)分析能力，過動態(tài)脫敏能力對于敏感數(shù)據(jù)的運維訪問通路進