2021年度漏洞态势观察报告

关键漏洞、在野利用、年度安全大事件、漏洞情报、APT

在数字的世界里,安全是一个永恒的话题。回顾刚刚过去的2021年,安全事件频发,网络攻击愈演愈烈,2021年第二季度网络攻击量达到2018年初以来最高值。一方面,安全研究人员规模在不断扩大,不断挖掘和修复新的安全漏洞维护网络安全;另一方面,随着厂商安全性的提高,及时分发补丁策略,黑客组织不惜使用 0day 漏洞发起攻击。网络空间的战场看不见硝烟,却和我们的生活越来越息息相关,开源应用安全、云安全、供应链安全……越来越多的受到大家关注。

《奇安信CERT——2021年度漏洞态势观察报告》围绕漏洞监测、漏洞分析与研判、漏洞情报获取、漏洞风险处置等方面描绘过去一年全网漏洞态势,并对2021年度有现实威胁的漏洞进行重点分析和回顾。思考在漏洞造成实际危害前,对于个人、企业以及漏洞情报供应商而言,可以采取哪些措施来有效隔离风险。

团队介绍&平台简介

奇安信应急响应中心(奇安信 CERT)

奇安信应急响应中心(奇安信 CERT)成立于 2016 年,隶属于奇安信旗下的威胁情报中心,旨在致力于向客户提供监测全面、响应迅速、认定客观、建议可行的漏洞情报。早在 Oracle 2020 年第二季度关键补丁更新公告中,就被评为了“在线状态安全性贡献者”。多次率先发现WebLogic、Jackson等知名软件和组件的高危漏洞并获得官方致谢。在风险通告方面,多次率先为客户提供漏洞和网络安全事件的风险通告、响应处置建议、相关技术分析和奇安信相关产品的解决方案。同时奇安信 CERT 在 Web 漏洞研究、二进制漏洞研究、前瞻性攻防工具预研等方面均积累了丰富的经验。

奇安信漏洞情报服务

奇安信漏洞情报服务(NOX安全监测平台-漏洞情报服务模块)是奇安信集团面向企事业单位推出的一款以奇安信云端大数据为基础,面向企业安全平台提供漏洞情报与预警的安全产品,由奇安信应急响应中心持续运营。本系统依托奇安信集团多年来积累的海量网络安全和互联网基础数据资源,提供经过研判后的漏洞情报数据服务。漏洞情报包括:应急响应中心处理的定级信息,户口信息,主流漏洞库的基础信息,内部研发的POC以及公开的POC信息;补丁信息,入侵检测规则,CPE信息等。同时提供相应的接口服务,漏洞订阅,帮助企业用于构建自己的漏洞数据服务,风险预警服务,评估漏洞的对企业内部的影响和危害,提升企业整体安全能力。欢迎访问我们的网站https://nox.qianxin.com/vulnerability查看我们的运营成果,有需要的话可以进一步合作。

0x01 核心洞见

基于我们所收集到的事实,《2021年度漏洞态势观察报告》的主要洞见如下:

1.尽管存在对应Exploit(漏洞利用代码或工具)的漏洞占到了总漏洞数的22.06%,但其中的大部分并未监测到实际利用的发生,漏洞是否真的被利用,还取决于漏洞的可达性、利用条件和危害程度。从公开信息来看,实际存在野外利用的漏洞,仅占漏洞总量的1 %~2 %左右。所以,基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。

2.另一方面看漏洞的利用,已知存在野外利用的漏洞有46%也就是一小半左右并没有公开的漏洞Exploit,这个事实暗示了一大部分漏洞的威胁并没有显式的呈现,攻击面的削减管理也非常重要。

3.2021年的攻防演习期间大量的0day漏洞被使用,其中很大部分为国外漏洞库并不收录的国产软件漏洞,这些漏洞如果被国家级的对手利用将导致非常严重的后果。事实上我们看到的活跃国外APT组织已经在这样做了,提示了国内挖掘自己特有软件漏洞并共享情报的高度必要性。

4.明星漏洞存在很强的聚光灯效应,当某个软件出现重大漏洞时会引起超高关注度的产品极易在未来一段时间出现更多漏洞,如:Apache Log4j连续被曝4个远程代码执行漏洞、Microsoft Exchange Server在被曝出ProxyLogon漏洞之后又出现了ProxyShell等漏洞。但是,由于明星漏洞衍生出来的新漏洞大概率未必有同等的威胁和影响面,需要漏洞情报分析运营团队进行深入的研判确认其利用真正的威胁,非常考验团队的响应能力。

5.由于多种技术层面以外因素的影响,相同CVSS评分的漏洞所能导致实际安全风险往往天差地别,结合情报的导致影响威胁升级的关键因素监测,确认漏洞对于风险的影响才具备了真正的动态性。

6.有效的漏洞情报可以帮助用户快速、准确、全面的定位资产相关的漏洞风险,在详细多角度的处理方案的建议下实现相应威胁的消除和缓解。基于漏洞对不同类型用户的影响和处理要求,个人用户、企业用户以及安全监管单位在漏洞情报的选择上应遵循“C端用户挑产品、B端用户挑服务、监管机构挑供应商”的原则。

0x02 漏洞态势

01 NVD(美国国家漏洞库)漏洞处置情况

2021年全年NVD共发布CVE漏洞信息21,957条,其中有详细信息的漏洞有20,791个,无详细信息的漏洞有1,166个(占漏洞总条目的5.31%)。

02 奇安信CERT漏洞处置情况

2021年奇安信CERT的漏洞库新增漏洞信息21,664条 (其中20,206条有效漏洞信息在NOX安全监测平台上显示),经NOX安全监测平台筛选后有14,544条敏感漏洞信息 触发人工研判,其中2,124条漏洞信息达到奇安信CERT的处置标准对其进行初步研判,并对初步研判后较为重要的1,890条漏洞信息进行深入研判。相较于2020年,初步研判的漏洞环比增长159.02%,深入研判的漏洞环比增长154.71%。

0x03 年度安全大事件

01 “Log4Shell” 背景介绍

Apache Log4j是Apache的一个开源Java日志记录工具,Apache log4j2是Log4j的升级版本,日志记录主要用来担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息,Log4j因其卓越的性能,使用极其广泛。

自2021年12月9日,Apache Log4j 远程代码执行漏洞(CVE-2021-44228)漏洞在互联网小范围内被公开后,其影响面迅速扩大,不到半个月的时间内,Apache Log4j又陆续被曝出4个漏洞:

序号

漏洞编号

漏洞名称

1

CVE-2021-44228

Apache Log4j任意代码执行漏洞
2CVE-2021-45046Apache Log4j远程代码执行漏洞
3

CVE-2021-4104Apache Log4j远程代码执行漏洞
4

CVE-2021-45105Apache Log4j拒绝服务攻击漏洞
5CVE-2021-44832Apache Log4j远程代码执行漏洞

国外给Apache Log4j 远程代码执行漏洞(CVE-2021-44228)起了个颇能反映其威胁的名字“Log4Shell”,奇安信CERT将其命名为“Poisoned Log”(毒日志)漏洞。经过多方面的考量,此漏洞毫无争议地成为2021年热度最大的漏洞,也是近几年来最严重的网络安全威胁之一。

02 “Log4Shell” 事件描述

2021年12月9日晚间,奇安信CERT监测到Apache Log4j 远程代码执行漏洞(CVE-2021-44228)漏洞,Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等众多组件与大型应用均受影响。奇安信CERT于12月9日深夜复现确认漏洞后立即将技术信息上报相关主管部门。

根据奇安信监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为,应急响应中心已接到数十起重要单位的漏洞应急响应需求。补天漏洞响应平台负责人介绍,12月9日深夜,仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。(更多事件详细描述和漏洞完整时间线,请点击阅读原文查阅完整报告......)

03 “Log4Shell” 事件影响

此漏洞对整个互联网带来极大安全威胁,直接动摇了以Java技术栈为重要组成部分的网络应用安全基础,堪比2017年核弹级漏洞“永恒之蓝”,大量的恶意代码已经将其纳入攻击传播的手段之一。

如果把2017年5月12日的“永恒之蓝”漏洞所导致的“WannaCry”勒索蠕虫事件比作一次互联网核爆攻击,那么,由于 Log4j 在基础设施和应用程序中的大量使用,2021年12月9日由Log4Shell漏洞引发的一大波网络攻击则可以比作是一次脏弹攻击,不仅在攻击的当时造成严重杀伤,还会在未来相当长的时间(以十年计)持续地对我们的网络安全形成威胁。

0x04 关键漏洞回顾

本篇报告的精华部分为2021年度关键漏洞回顾,奇安信CERT从重点关注厂商、供应链安全、中间件、云原生及虚拟化、网络设备及应用、企业级应用及办公软件六大方面总结整理了2021年度有现实威胁的漏洞,并从技术细节、漏洞威胁状态、在野利用事件、防护建议等多个方面对其进行了详细分析。

01 重点关注厂商——微软漏洞回顾

微软(Microsoft)作为全球最大的电脑软件提供商、世界PC(Personal Computer,个人计算机)软件开发的先导,其最为著名和畅销的产品为Windows操作系统和Office系列软件。2021年度,微软共发布了800多个漏洞的安全通告及补丁程序。根据漏洞的危害程度及影响力,奇安信CERT整理了微软年度关键漏洞列表:滑动表格,向下浏览)

产品

漏洞编号

威胁类型

攻击向量

攻击途径

身份认证

用户交互

Microsoft Exchange Server

CVE-2021-26855

身份认证绕过

网络

无需

无需

CVE-2021-27065

任意文件写入

网络

无需

CVE-2021-26857

代码执行

网络

无需

CVE-2021-26858

任意文件写入

网络

无需

CVE-2021-28480

身份认证绕过

网络

无需

无需

CVE-2021-28481

身份认证绕过

网络

无需

无需

CVE-2021-28482

代码执行

网络

无需

CVE-2021-28483

代码执行

网络

无需

CVE-2021-34473

身份认证绕过

网络

无需

无需

CVE-2021-34523

权限提升

本地

无需

CVE-2021-31207

任意文件写入

网络

无需

CVE-2021-33766

信息泄露

网络

无需

无需

CVE-2021-42321

代码执行

网络

无需

Active Directory Domain Services

CVE-2021-42287

权限提升

网络

无需

CVE-2021-42278

权限提升

网络

无需

02 重点关注厂商——Apache漏洞回顾

Apache 软件基金会是现代开源软件系统的基石。开源软件使用的广泛性,给了大量攻击者以可乘之机,当开源组件存在安全漏洞,组件之间又存在相互依赖关系,导致漏洞在组件之间存在传播风险,其安全隐患不可忽视。2021年度Apache值得关注的漏洞列表如下:滑动表格,向下浏览)

漏洞编号

威胁类型

产品

漏洞威胁状态

技术细节

PoC状态

EXP状态

在野利用

CVE-2021-25646

代码执行

Apache Druid

已公开

已公开

已公开

已发现

CVE-2021-26919

代码执行

已公开

已公开

未公开

已发现

CVE-2021-36749

任意文件读取

已公开

已公开

未公开

已发现

CVE-2021-25641

代码执行

Apache Dubbo

已公开

已公开

已公开

未知

CVE-2021-30179

代码执行

已公开

已公开

已公开

未知

CVE-2021-30180

代码执行

已公开

已公开

未知

未知

CVE-2021-30181

代码执行

已公开

已公开

未知

未知

CVE-2021-36162

代码执行

已公开

已公开

已公开

未知

CVE-2021-36163

代码执行

已公开

已公开

已公开

未知

CVE-2021-26295

代码执行

Apache OFBiz

已公开

已公开

已公开

未知

CVE-2021-29200

代码执行

已公开

已公开

已公开

未知

CVE-2021-30128

代码执行

已公开

已公开

已公开

未知

CVE-2021-37608

任意文件上传

未公开

未知

未知

未知

CVE-2021-27905

服务端请求伪造

Apache Solr

已公开

已公开

已公开

已发现

03 重点关注厂商——Linux漏洞回顾

作为开源生态系统的支柱之一,Linux已成为当今世界主导云平台和服务器的最强大的操作系统之一。2021年,Linux被曝出一系列漏洞,年初公开的Sudo本地权限提升漏洞(CVE-2021-3156)引起广泛关注,研究人员们采用多种方式在多个系统上成功利用了此漏洞。此外,eBPF、Netfilter、TIPC等模块中的多个权限提升漏洞细节及EXP都已公开,可被攻击者利用提升至ROOT权限。2021年值得关注的Linux漏洞如下:滑动表格,向下浏览)

漏洞编号

威胁类型

漏洞威胁状态

技术细节

PoC

状态

EXP

状态

在野

利用

CVE-2021-3156

权限提升

已公开

已公开

已公开

未知

CVE-2021-31440

权限提升

已公开

已公开

已公开

未知

CVE-2021-3490

权限提升

已公开

已公开

已公开

未知

CVE-2021-34866

权限提升

已公开

已公开

已公开

未知

CVE-2021-22555

权限提升

已公开

已公开

已公开

未知

CVE-2021-33909

权限提升

已公开

已公开

已公开

未知

CV

E-2021-3493

权限提升

已公开

已公开

已公开

未知

CVE-2021-26708

权限提升

已公开

已公开

未知

未知

CVE-2021-43267

远程代码执行

已公开

已公开

已公开

未知

04 供应链安全回顾

供应链攻击,也称价值链攻击或第三方攻击,发生在有攻击者通过可访问企业系统和数据的外部合作伙伴或者供应商的信息,潜入内部系统的时候。通过这种攻击方式,攻击者不仅能轻易获取到企业中的敏感数据,而且会影响到成百上千家使用了该供应商产品厂商的数据安全。2021年供应链攻击相关漏洞列表如下:滑动表格,向下浏览)

漏洞编号

威胁类型

厂商

漏洞威胁状态

技术细节

PoC 状态

EXP 状态

在野利用

CVE-2021-35211

代码执行

Solarwinds

已公开

已公开

未知

已发现

CVE-2021-35392

内存损坏

Realtek

已公开

已公开

已公开

已发现

CVE-2021-35393

内存损坏

已公开

已公开

已公开

已发现

CVE-2021-35394

命令执行

已公开

已公开

已公开

已发现

CVE-2021-35395

代码执行

已公开

已公开

已公开

已发现

CVE-2021-29505

代码执行

Xstream

已公开

已公开

已公开

已发现

CVE-2021-21347

代码执行

已公开

已公开

已公开

已发现

CVE-2021-39144

代码执行

已公开

已公开

已公开

已发现

CVE-2021-39149

代码执行

已公开

已公开

已公开

已发现

05 中间件漏洞回顾

中间件是连接不同的软件组件或应用程序的重要组件,位于操作系统之上的软件层,可形象称之为“软件胶水”,通常用于支持复杂的分布式业务软件应用程序。也正因如此,中间件安全问题不容小觑。2021年度,Oracle融合中间件发布191个漏洞的安全更新补丁,值得关注的漏洞如下:滑动表格,向下浏览)

漏洞编号

威胁类型

产品

漏洞威胁状态

技术细节

PoC

状态

EXP

状态

在野

利用

CVE-2021-2109

代码执行

Oracle WebLogic Server

已公开

已公开

已公开

未知

CVE-2020-14756

代码执行

已公开

已公开

已公开

未知

CVE-2021-2136

代码执行

未公开

未知

未知

未知

CVE-2021-2135

代码执行

已公开

已公开

已公开

未知

CVE-2021-2382

代码执行

未公开

未知

未知

未知

CVE-2021-2397

代码执行

未公开

未知

未知

未知

CVE-2021-2394

代码执行

已公开

已公开

已公开

未知

CVE-2021-35617

代码执行

未公开

未知

未知

未知

CVE-2021-41773

信息泄露

Apache HTTP Server

已公开

已公开

已公开

已发现

CVE-2021-42013

信息泄露

已公开

已公开

已公开

已发现

CVE-2021-40438

服务端请求伪造

已公开

已公开

已公开

已发现

CVE-2021-42340

拒绝服务

Apache Tomcat

已公开

已公开

已公开

已发现

06 云原生及虚拟化漏洞回顾

近几年,企业业务上云渐渐成为趋势,企业上云有很多优势,比如提高资源整合利用率、快速部署、高效维护、成本低等,往往用一个云管理平台就能管理所有机器,在便捷高效的同时也随之会面临一些新的安全问题。2021年出现许多云原生和虚拟化漏洞,值得关注的漏洞如下:滑动表格,向下浏览)

漏洞编号

威胁类型

影响产品

漏洞威胁状态

技术细节

PoC

状态

EXP

状态

在野利用

QVD-2021-35915

身份认证绕过

Hadoop Yarn

已公开

已公开

未知

已发现

CVE-2021-2310

权限提升

VirtualBox

已公开

未知

未知

未知

CVE-2021-2145

权限提升

已公开

未知

未知

未知

CVE-2021-2442

拒绝服务

已公开

未知

未知

未知

CVE-2021-28476

代码执行

Microsoft Hyper-V

已公开

已公开

未知

未知

CVE-2020-8562

权限提升

Kubernetes

已公开

已公开

未知

未知

CVE-2021-25735

权限提升

已公开

已公开

已公开

未知

CVE-2021-25737

信息泄露

未公开

未知

未知

未知

CVE-2021-25741

容器逃逸

已公开

未知

未知

未知

CVE-2021-20291

拒绝服务

CRI-O and Podman

已公开

未知

未知

未知

CVE-2021-30465

容器逃逸

runc

已公开

已公开

已公开

未知

...

...

...

...

...

...

...

07 网络设备及应用漏洞回顾

疫情之下,越来越多的企业和公司开始尝试远程和线上办公,对于在公司外进入生产环境或者公司内网的需求激增,很多黑客也瞄准了这一需求,加大了挖掘网络设备及应用相关漏洞的力度。2021年值得关注的网络设备及应用漏洞如下:滑动表格,向下浏览)

漏洞编号

威胁类型

产品

漏洞威胁状态

技术细节

PoC

状态

EXP

状态

在野利用

QVD-2021-7834

命令执行

JumpServer

已公开

已公开

已公开

已发现

CVE-2021-22986

远程代码执行

F5

Networks

已公开

已发现

未知

已发现

CVE-2021-22987

命令执行

已公开

已发现

未知

未知

CVE-2021-22988

命令执行

未公开

未知

未知

未知

CVE-2021-22989

命令执行

未公开

未知

未知

未知

CVE-2021-22990

命令执行

未公开

未知

未知

未知

CVE-2021-22991

缓冲区溢出

未公开

未知

未知

未知

CVE-2021-22992

缓冲区溢出

已公开

未知

未知

未知

CVE-2021-22893

远程代码执行

Pulse Connect Secure SSL VPN

已公开

已发现

未知

已发现

QVD-2021-35927

文件上传

FatPipe MPVPN

未公开

未知

未知

已发现

CVE-2021-3064

远程代码执行

Palo Alto Networks GlobalProtect Portal VPN

未公开

未知

未知

未知

08 企业级应用及办公软件漏洞回顾

2021年度,企业中常用的应用及办公软件陆续曝出漏洞。Chrome的在野利用漏洞中,大部分漏洞只需要受害者使用Chrome打开恶意网站即可触发。OA系列协同办公系统2021年共曝出65个漏洞,大部分为中高危漏洞,一旦被恶意利用,企业会受到较大的影响。2021年企业级应用及办公软件值得关注的漏洞如下:滑动表格,向下浏览)

漏洞编号

威胁类型

产品

漏洞威胁状态

技术

细节

PoC

状态

EXP

状态

在野

利用

CVE-2021-21148

代码执行

Chrome

未公开

未知

未知

已发现

CVE-2021-21220

代码执行

已公开

已公开

已公开

已发现

CVE-2021-21224

代码执行

已公开

已公开

未知

已发现

CVE-2021-37975

代码执行

已公开

未知

未知

已发现

CVE-2021-37976

信息泄露

未公开

未知

未知

已发现

CVE-2021-30632

代码执行

已公开

已公开

未知

已发现

CVE-2021-30633

释放后重用

未公开

未知

未知

已发现

CVE-2021-26084

代码执行

Atlassian Confluence

已公开

已公开

已公开

已发现

CVE-2020-36239

代码执行

Atlassian Jira

未公开

未知

未知

未知

CVE-2021-26086

文件读取

未公开

已公开

未知

未知

CVE-2021-22205

代码执行

GitLab

已公开

已公开

已公开

已发现

CVE-2020-28007

本地权限提升

Exim

已公开

已发现

未知

未知

CVE-2020-28008

本地权限提升

已公开

发现

未知

未知

CVE-2020-28018

代码执行

已公开

已发现

未知

未知

CVE-2020-28020

代码执行

已公开

已发现

未知

未知

CVE-2020-28024

命令执行

已公开

已发现

未知

未知

(漏洞详细描述,请点击阅读原文查阅完整报告......)

0x04 漏洞情报展望

01 好的漏洞情报应该提供哪些价值?

基于奇安信CERT的漏洞情报运营实践,漏洞情报的运营需要起到收集器、过滤器和富化器的作用。我们关注漏洞情报的全面性、及时性、准确性、可靠性和可行性。由此,好的漏洞情况应该提供以下价值:

1.全面的多维漏洞信息整合及属性标定;

2.及时的与组织自身相关漏洞风险通知;

3.准确的漏洞所导致实际安全风险判定;

4.可靠的综合性漏洞处理的优先级排序;

5.可行的包含详细操作步骤的处置措施。

(漏洞情报价值详细描述请点击阅读原文获取完整报告......)

02 个人、企业、安全监管单位如何选择优质的漏洞情报?

个人用户只需要确保自身的隐私安全和资产安全,不需要关注漏洞本身的技术细节,因此在漏洞情报的使用上更加依赖于其部署的终端安全产品对漏洞情报的敏感程度;

企业用户基于其信息系统的复杂程度,单一的安全产品无法满足其建立企业自身漏洞检测与响应能力的需求,企业需要更加精准和定制化的漏洞情报服务,来帮助管理者迅速判别漏洞对企业业务的影响,并第一时间进行有效的漏洞处置;

安全监管单位关注全网的网络安全态势,需要庞大的漏洞情报数据库支撑,更加考验漏洞情报供应商在模式化的安全产品和情报服务之上,所拥有的灵活、可变通的业务适应能力。

对于个人用户、企业用户以及安全监管单位而言如何挑选到满足自身业务需求的优质漏洞情报,可以简单概括为一句话:“C端用户挑产品、B端用户挑服务、监管机构挑供应商”。

为了尽快触达用户、提供尽可能快的信息推送,我们创建了直达用户的微信群,微信群二维码如下:

(此群只会推送经过奇安信CERT团队验证过的有现实威胁的漏洞信息,免费社区,欢迎加入!)

下载完整版报告:https://nox.qianxin.com/api/x/IEYc9

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。