1、 在数字的世界里,安全是一个永恒的话题。回顾刚刚过去的 2021 年,安全事件频发,网络攻击愈演愈烈,2021 年第二季度网络攻击量达到 2018 年初以来最高值。一方面,安全研究人员规模在不断�����扩大,不断挖掘和修复新的安全漏洞维护网络安全;另一方面,随着厂商安全性的提高,及时分发补丁策略,黑客组织不惜使用 0day 漏洞发起攻击。网络空间的战场看不见硝烟,却和我们的生活越来越息息相关,开源应用安全、云安全、供应链安全越来越多的受到大家关注。 奇安信 CERT2021 年度漏洞态势观察报告围绕漏洞监测、漏洞分析与研判、漏洞情报�����获取、漏洞风险处置等方面描绘过去一年全网漏洞态势,并对2021 年度有
2、现实威胁的漏洞进行重点分������析和回顾。思考在漏洞造成实际危害前,对于个人、企业以及漏洞情报供应商而言,可以采取哪些措施来有效隔离风险。基于我们所收集到的事实,本报告的主要洞见如下: 1. 尽管存在对应 Exploit(漏洞利用代码或工具)的漏洞占到了总漏洞数的22.06%, 但其中的大部分并未监测到实际利用的发生, 漏洞是否真的被利用,还取决于漏洞的可达性、利用条件和危害程度。从公开信息来看,实际存在实际存在野外利用的漏洞,仅占漏洞总量的野外利用的漏洞,仅占漏洞总量的 1 %1 % 2 2 % %左右左右。所以,基于威胁情报的漏基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。洞
3、处理优先级排序对于威��������胁的消除将起到事半功倍的效果。 2. 另一方面看漏洞的利用,已知存在野外利用的漏洞有 46%也就是一小半左右并没有公开的漏洞 Exploit,这个事实暗示了一大部分漏洞的威胁并没有显一大部分漏洞的威胁并没有显式的呈现,攻击面的削减式的呈现,攻击面的削减管理也非常重要管理也非常重要。 3. 2021 年的攻防演习期间大量的 0day 漏洞被使用,其中很大部分为国外漏洞库并不收录的国产软件漏洞, 这些漏洞如果被国家级的对手利用将导致非常严重的后果。 事实上我们看到的活跃国外事实上我们看到的活跃国外 APTAPT 组织已经在这样做了, 提示组织已经在这样做了, 提示了了国内挖掘国
4、内挖掘自己特有软件漏洞自己特有软件漏洞并共享情报并共享情报的高度必要性的高度必要性。 4. 明星漏洞存在很强的聚光灯效应, 当某个软件明星漏洞存在很强的聚光灯������效应, 当某个软件出现重大漏洞出现重大漏洞时时会会引起超高关引起超高关 注度的产品极易在未来一段时间注度的产品极易在未来一段时间出现更多漏洞出现更多漏洞,如:Apache Log4j 连续被曝 4 个远程代码执行漏洞、Microsoft Exchange Server 在被曝出ProxyLogon 漏洞之后又出现了 ProxyShell 等漏洞。但是,由由于于明星漏洞衍明星漏洞衍生出来的新漏洞大概率未必有同等的威胁和影响面, 需要漏洞情报
5、分�����析运营生出来的新漏洞大概率未必有同等的威胁和影响面, 需要漏洞情报分析运营团队进行深入的研判确认其利用真正的威胁团队进行深入的研判确认其利用真正的威胁,非常考��������验团队的响应能力。 5. 由于多种技术层面以外因素的影响,相同 CVSS 评分的漏洞所能导致实际安全风险往往天差地别, 结合情报的导致影响威胁升级的关键因素监测,确认结合情报的导致影响威胁升级的关键因素监测,确认漏洞对于风险的影响才具备了真正的动态性漏洞对于风险的影响才具备了真正的动态性。 6. 有效的漏洞情报可以帮助用户快速、 准确、 全面的定位资产相关的漏洞风险,在详细多角度的处理方案的建议下实现相应威胁的消除和缓解。 基于漏洞对不
6、同类型用户的影响和处理要求,个人用户、企业用户以及安全监管单位在漏洞情报的选择上应遵循“C C 端用户挑产品、端用户挑产品、B B 端用户挑服务、监管机构挑端用户挑服务、监管机构挑供应商供应商”的原则”的原则。 1 2021 年度漏洞态势 . 1 1.1 年度漏洞处置情况 . 1 1.2 漏洞风险等级占比情况 . 3 1.3 漏洞威胁类型占比情况 . 4 1.4 漏洞影响厂商占比情况 . 5 1.5 关键漏洞占比情况 . 6 1.6 年度安全大事件 . 8 1.6.1 背景介绍 . 8 1.6.2 事件描述 . 10����� 1.6.3 事件������影响 . 11 2 2021 年度关键漏洞回顾 . 13 2
7、.1 重点关注厂商 ������. 13 2.1.1 微软漏洞回顾 . 13 2.1.2 Apache 漏洞回顾 . 27 2.1.3 Linux 漏洞回顾 . 31 2.2 供应链安全 . 34 2.3 中间件 . 37 2.4 云原生及虚拟化 . 40 2.5 网络设备及应用 . 45 2.6 企业级应用及办公软件 . 49 3 漏洞情报展望. 55 3.1 为什么我们需要漏洞情报? . 55 3.2 好的漏洞情报应该提供哪些价值? . 55 3.2.1 全面的多维漏洞信息整合及属性标定 . 5�����6 3.2.2 及时的与组织自身相关漏洞风险通知 . 57 3.2.3 准确的漏洞所导致实际安全风险判定 .
8、 59 3.2.4 可靠的综合性漏洞处理的优先级排序 . 60 3.2.5 可行的包含详细操作步骤的处置措施 . 62 3.3 个�������人、企业、安全监管单位如何选择优质的漏洞情报? . 62 附录 1:历年在野利用漏洞列表 . 64 附录 2:2021 年度 APT 活动相关漏洞列表. 65 1 1 1 20212021 年度漏洞态势年度漏洞态势 1.1 1.1 年度漏洞处置情况年度漏洞处置情况 2021 年 NVD(美国国家漏洞库)每月新增漏洞信息条数如图 1-1 所示: 图 1-1 2021 年每月新增漏洞信息数量 2021 年全年 NVD 共发布 CVE 漏洞信息 21,957 条,其中有详
9、细信息的漏洞有20,791 个,无详细信息的漏洞有 1,166 个(占漏洞总条目的 5.31%) ,如图 1-2 所示: 2 图 1-�����2 2021 年 CVE 漏洞无详细信息占比情况 2021 年奇安信 CERT 的漏洞库新增漏洞信息�������121,664 条2(其中 20,206 条有效漏洞信息在 NOX 安全监测平台上显示) , 经 NOX 安全监测平台筛选后有 14,544 条敏感漏洞信息3触发人工研判,其中 2,124 条漏洞信息达到奇安信 CERT 的处置标准对其进行初步研判, 并对初步研判后较为重要的 1,890 条漏洞信息进行深入研判。相较于 2020 年,初步研判的漏洞环比增长 159
10、.02%,深入研判的漏洞环比增长 154.71%。2021 年奇安信 CERT 漏洞处置情况如图 1-3 所示: 1 奇安信 CERT 将互联网上包含漏洞相关内容的信息统称为漏����洞信息 2 漏洞信息来源包含 NVD、CNVD、CNNVD 等开源漏洞库,以及各大互联网厂商和安全媒体披露的安全漏洞 3 敏感信息触发条件由漏洞影响的产品、漏洞热度、可能的影响范围等多个���维度综合决定 3 图 1-3 2021 年奇安信 CERT 漏洞处置情况 1 1.2 .2 漏洞风险等级占比情况漏洞风险等级占比情况 奇安信 CERT 结合 CVSS 评价标准以及漏洞产生的实际影响将漏洞定级分为极危、高危、中危、低危四种
11、等级,用来评价漏洞不同的影响程度。2021 年奇安信 CERT 研判过的 2,124 条漏洞信息中,各个等级占比情况如图 1-4 所示。 4 图 1-4 漏洞风险等级占比 其中, 低危漏洞占比 17.43%, 此类漏洞利用较为复杂或对可用性、 机密性、完整性造成的影响较低;中危漏洞占比 31.60%,此类漏洞产生的影响介于高危漏洞与低危漏洞之间������,可能需要一些复杂的配置或对漏洞成功利用的要求较高;高危漏洞占比 50.35%,此类漏洞极大可能造成较严重的影响或攻击成本较低;极危漏洞占比 0.62%, 此类漏洞无需复杂的技术能力就可以�������利用, 并且对机密性、完整性和可用性的影响极高。 1 1.3.3
12、漏洞漏洞威胁类型占比情况威胁类型占比情况 将 2021 年度研判过的 2,124 条漏洞������信息根据漏洞威胁类型进行分类总结,如图 1-5 所示, 其中漏洞数量占比最高的五种类型分别为: 代码执行、 信息泄露、权限提升、拒绝服务、内存损坏。 5 图 1-5 漏洞类型占比 漏洞数量排名靠前的威胁类型与 2021 Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses(2021 年 CWE 前 25 名最危险的软件漏洞)列表4具有较高相似性。这些类型的漏洞通常很容易被发现、利用,并且可以让攻击者完全接管系统
13、、窃取数据或阻止应用程序运行,因而具有很高的危险性,是安全从业人员的重点关注�������对象。 1 1.4.4 漏洞影响厂商占比情况漏洞影响厂商占比情况 将 2021 年度研判过的 2,124 条漏洞信息根据漏洞影响厂商进行分类总结,如图 1-6 所示,其中漏洞数量占比最高的前五家厂商为:Microsoft、Apache、Oracle、Apple、VMware。 4 http:/cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html 6 图 1-6 2021 漏洞影响厂商占比 Microsoft、Apache、Apple、Oracle 这类商业软件漏洞多发
14、,且因为其有节奏的发布安全补丁,为漏洞处置的关注重点。开源软件和应用在企业中越来越多的使用,关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位,以获得了安全研究员更为重点的关注。 1 1.5 .5 关键漏洞占比情况关键漏洞占比情况 2021 年奇安信 CERT 漏�����洞库新增的 21,664 个漏洞中存在 Exploit 漏洞数量为 4,779 个(占漏洞总量的 22.06%) 、有在野利用漏洞数量为 337 个、0day 漏洞数量为 23 个、APT 相关漏洞数量为 88 个(见附录 2:2021 年度 APT 活动相关漏洞列表) 。奇安信 CERT 将存在公开 Exploit/
15、PoC、有在野利用、0day 漏洞、APT相关,且漏洞相关软件影响面较大的漏洞定义为关键漏洞,2021 年共标记此类关键漏洞 5,227 个。 其中, 部分 0day 漏洞在 NVD 上没有相应的 CVE 编号, 未被国外漏洞库收录,为 2021 年攻������防实战演练期间发现和使用的国产软件漏洞。此类漏洞具有较高威胁,如果被国家级的对手利用将导致非常严重的后果。 7 此外, 有在野利用的 337 个漏洞中有 1�������82 个漏洞有公开 Exploit, 如图 1-7,还有近一半的在野利用漏洞并没有公开的 Exploit, 处于私有状态, 仅被某些 APT组织或者个人使用。 图 1-7 在野利用漏洞 Exp
16、loit 状态 关键漏洞������的威胁度分布如图 1-8 所示, 可以看出 Exploit 涉及到的漏洞威胁程度都集中在中高级别,分布较为平均,但真正被实际使用的漏洞,高威胁级别的占到百分之八十以上。从侧面印证了,漏洞修补应该将高威胁级别的漏洞放到高优先级的原则。 8 图 1-8 关键漏洞的威胁度分布 1 1.6.6 年度安全大事件年度安全大事件 1.6.1 1.6.1 背景介绍背景介绍 Apac�������he Log4j 是 Apache 的一个开源 Java 日志记录工具,Apache log4j2 是Log4j 的升级版本,日志记录主要用来担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息
17、,Log4j 因其卓越的性能,使用极其广泛。 自 2021 年 12 月 9 日, Apach������e Log4j 远程代码执行漏洞 (CVE-�����2021-44228)在互联网小范围内被公开后,其影响面迅速扩大,不到半个月的时间内,Apache Log4j 又陆续被曝出 4 个漏洞,如下表所示: 漏洞编号漏洞编号 威胁类型威胁类型 CVSSCVSS评分评分 是否默是否默认配置认配置 受影响受影响 漏洞威胁状态漏洞威胁状态 技术技术细节细节 PoC PoC 状态状态 EXP EXP 状态状态 在野在野 利用利用 CVE-2021-44228 代码执行 1 10.0.0 0 是是 已公开已公开 已公开已公
18、开 已公开已公开 已发现已发现 CVE-2021-45046 代码执行 9 9.0.0 否 已公开已公开 已公开已公开 未知 已发现已发现 CVE-2021-4104 代码执行 8.1 否 已公开已公开 已公开已公开 未知 已发现已发现 CVE-2����021-45105 拒绝服务 7.5 否 已公开已公开 已公开已公开 未知 已发现已发现 CVE-2021-44832 代码执行 6.6 否 已公开已公开 已公开已公开 未知 未知 国外给 Apache Log4j 远程代码执行漏洞(CVE-2021-44228)起了个颇能反9 映其威胁的名字“Log4Shell”,奇安信 CERT 将其命名为“Po
19、isoned Log”(毒日志)漏洞。此漏洞毫无争议地成为 2021 年热度最大的漏洞������,也是近几年来最严重的网络安全威胁之一,因为如下多方面的考量使然: 1、无利用门槛的远程代码执行 与 HeartBleed 的信息泄露类漏洞不同,Log4j2 漏洞可以使攻击者在服务器上执行命令,导致系统机密性、可用性、完整性的完全破坏。而且,漏洞的利用门槛极低,默认配置下无需用户验证也没有其他限制条件。 2、利用稳定的设计错误类漏洞 log4j 漏洞不是不能稳定利用的内存破坏类漏洞,而是设计错误类漏洞,因此利用起来绝对稳定,只要漏洞存在就能稳定触发,就像为攻击者预留的后门����。 3、log4j 是大量基础产品中
20、的基础组件 根据奇安信代码安全实验室对开源组件库的分析显示:直接使用 log4j-core 的受影响版本开源组件接近 70000 个,形成指数级扩张的影响面,影响服务器级别至少千万级。 4、多源的不可控触发途径 log4j �������的功能是记录各种日志信息,需要处理各种来源不可控的用户输入数据, 导致输入的恶意数据通过最常见的 Web 服务端口进入,并可能层层穿透组件最������终触发漏洞。 5、伴随 Java 的跨平台特性 Java 语言的特性之一就是跨平台,意味着相关的漏洞会同时影响 Windows和 Linux 类平台。 10 1 1.6.2 .6.2 事件描述事件描述 2021 年 12 月 9 日晚间
21、,奇安信 CERT 监测到 Apache Log4j 远程代码执行漏洞(CVE-2021-44228) ,Apache Stru����ts2、Apache Solr、Apache Druid、Apache Flink 等众多组件与大型应用均受影响。奇安信 CERT 于 12 月 9 日深夜复现确认漏洞后立即将技术信息上报相关主管部门。 根据奇安信监测数据显示, 截至 12月 10 日中午 12 点,已发现�����近 1 万次利用该漏洞的攻击行为,应急响应中心已接到数十起重要单位的漏洞应急响应需求。补天漏洞响应平台负责人介绍,12 月 9日深夜,仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。漏洞时间线如图
22、 1-9 所示: 11 图 1-9 Apache Log4j 漏洞发展时间线 研究人员发现,截至 2021 年 12 月 16 日,来自 Maven Central 的 35863 个可用软件包依赖于存在漏洞的 Log4j2 代码。这意味着 Maven Central 上超过 8%����的软件包至少有一个版本受漏洞影响(此数字不包括所有 Java 软件包,例如直接分发的二进制文件) 。就生态系统影响而言,8%是相当巨大的数字,因为对Mav������en Central 生态的平均影响数值为 2%,中位数则低于 0.1%。因此,对于整个生态需要耗费多少时间来完成漏洞修复,目前也很难评估,在接下来相当长的一段时间
23、内将陆续确认受影响的各类应用软件和系统。 据漏洞管理公司 Tenable 分析,所有评估的资产中大约有 10%受 Log4������Shell漏洞影响,包括各种服务器、Web 应用程序、容器和 IoT 设备,遍及大部分行业和地区。工业网络安全公司 Dragos 分析的数据发现,Log4j 漏洞会影响专有和开源软件,将使多个行业面临攻击风险,包括电力、水、食品和饮料、制造业和运输业。同时也影响了全球范围内关键信息基础设施,可能导致个人信息和重要数据泄露、金�������融紊乱、电网崩溃、交通瘫痪、通信中断。 1 1.6.3 .6.3 事件影响事件影响 此漏洞对整个互联网带来极大安全威胁,直接动摇了以 Java 技术栈为
24、重要组成部分的网络应用安全基础,堪比 2017 年核弹级漏洞“永恒之蓝”,大量的恶意代码已经将其纳入攻击��������传播的手段之一。 微软已监测到来自多个国家的黑客组织利用此漏洞进行攻击,如威胁组织12 Phosphorus(又名 Charming Kitten、APT 35) 。漏洞爆发初期,美国网络安全和基础设施安全局(CISA)命令所有联邦民事机构“必须在圣诞节前修补好受Log4j 漏洞影响的相关系统”。新加坡网络安全局(CSA)也与关键信息基础设施 (CII)部门针对 Log4j 漏洞举行紧急会议,并发布漏洞的警示公告。比利时国防部曾遭到严重的网络攻击,导致内部系统瘫痪。Bitdefender 的
25、一份报告显示,Log4Shell 漏洞已经被用于 Khonsari 勒索软件攻击,预计未来 Windows 和 Linux 服务器上的勒索软件攻击将激增。 某安全研究员发现一种正在开发中的自我传播蠕虫,来自 Salt Security 的 Yaniv������� Balmas 等研究人员表示 Log4j 蠕虫的出现并不是最坏的情况,因为此漏洞的攻击门槛极低,可访问互联网的任何人都可在几分钟内对数百万在线������服务发起攻击, 这跟蠕虫造成的影响极其相似分布式且不可预测的,由于蠕虫以自动化全量扫描的方式工作,此漏洞的破坏程度甚至可能比蠕虫还要高。 十年前,一场地震和随后的海啸引发了福岛核电站的熔毁,至今仍在困扰该地
26、区。同样,Log4Shell 漏洞的爆发对于网络安全行业简直就是“福岛时刻��������”, 随着时间的推移,将演变出更复杂的攻击形式和影响范围。Log4Shell 漏洞事件揭示了企业级产品依赖开源代码库的高风险性。 随着数字化转型和软件开发敏捷性的需求每年呈指数级增长, 世界各地的企业在开发过程中不得不依赖开源库以快速迭代。如果把 2017 年 5 月 12 日的“永恒之蓝”漏洞所导致的“WannaCry”勒索蠕虫事件比作一次互联网核爆攻击,那么,由于 Log4j 在基础设施和应用程序中的大量使用,2021 年 12 月 9 日由 Log4Shell 漏洞引发的一大波网络攻击则可以比作是一次脏弹攻击,不仅
27、在攻击的当时造����成严重杀伤,还会在未来相当长的时间(以十年计)持续地对我们的网络安全形成威胁。现在是时候制定一套标准对基础架构中的每个开源组件进行清晰的评估整理, 确保在开发生命周期的每一步都保证安全性。开源软件安全治理是一项任重道远的工作,需要国家、行业、用户、软件厂商都重视起来才能达到良好效果。 13 2 2 20212021 年度关键漏洞回顾年度关键漏洞回顾 2 2.1.1 重点关注厂商重点关注厂商 2.12.1. .1 1 微软微软漏洞回顾漏洞回顾 微软(Microsoft)作为全球最大的电脑软件提供商、世界 PC(Personal Computer,个人计算机)软件开发的先导,其最为著
28、名和畅销的产品为 Windows操作系统和 Office 系列软件。截至 2021 年 7 月,全球桌面操作系统市场中,Windows 市场占有率为 74.79%,远高于其他操作系统。2021 年度,微软共发布了 800 多个漏洞的安全通告�����及补丁程序。 虽然微软发布安全更新的时间是每月的第二个周二,但当出现紧急情况时(如发现影响较大的 0day 漏洞 EXP 被公开或出现在野攻击等) , 微软会发布紧急通告, 如今年的 ProxyLogon、 PrintNightmare、PetitPotam 等漏洞。根据漏洞的危害程度及影响力,奇安信 CERT 整理了微软本年度关键漏洞列表,如下所示: 产品
29、产品 漏洞编号漏洞编号 威胁类型威胁类型 攻击向量攻击向量 攻击攻击途径途径 身份身份认证认证 用户用户交互交互 Microsoft Exchange Server CVE-2021-26855 身份认证绕过 网络网络 无需无需 无需无需 CVE-2021-27065 任意文件写入 网络网络 低低 无需无需 CVE-2021�����-26857 代码执行 网络网络 低低 无需无需 CVE-2021-26858 任意文件写入 网络网络 低低 无需无需 CVE-2021-28480 身份认证绕过 网络网络 无需无需 无需无需 CVE-2021-28481 身份认证绕过 网络网络 无需无需 无需无需 CVE
30、-2021-28482 代码执行 网络网络 低低 无需无需 CVE-2021-28483 代码执行 网络网络 低低 无需无需 CVE-2021-34473 身份认证绕过 网络网络 无需无需 无需无需 CVE-2021-34523 权限提升 本地本地 低低 无需无需 CVE-2021-31207 任意文件写入 网络网络 高高 无需无需 CVE-2021-33766 信息泄露 网络网络 无需无需 无需无需 CVE-2021-42321 代码执行 网络网络 低低 无需无需 Active Directory Domain Services CVE-2021-42287 权限提升 网络网络������� 低低 无需无
31、需 CVE-2021-42278 权限提升 网络网络 低低 无需无需 Microsof������t SharePoint CVE-2021-31181 代码执行 网络网络 低低 无需无需 CVE-2021-28474 代码执行 网络网络 低低 无需无需 14 Server Windows Print Spooler CVE-2021-1675 代码执行 网络网络 低低 无需无需 CVE-2021-34527 代码执行 网络网络 低低 无需无需 CVE-2021-34481 代码执行 网络网络 低低 无需无需 CVE-2021-36936 代码执行 网络网络 低低 无需无需 CVE-2021-36958
32、代码执行 网络网络 低低 无需无需 Windows DNS Server CVE-2021-24078 代�������码执行 网络网络 无需无需 无需无需 CVE-2021-26877 代码执行 网络网络 无需无需 无需无需 CVE-2021-26897 代码执行 网络网络 无需无需 无需无需 HTTP 协议栈 CVE-2021-31166 代码执行 网络网络 无需无需 无需无需 Internet Explorer CVE-2021-26411 代码执行 网络网络 无需无需 需要需要 CVE-2021-27085 代码执行 网络网络 无需无需 需要需要 Windows MSHTML platform CV
33、E-2021-33742 代码执行 网络网络 无需无需 需要需要 CVE-2021-40444 代码执行 网络网络 无需无需 需要需要 Microsoft Office CVE-2021-27059 代码执行 网络网络 无需无需 需要需要 Microsoft Excel CVE-2021-42292 安全特性绕过 网络网络 无需无需 需要需要 Windows AppX Installer CVE-2021-43890 欺骗 网络网络 无需无需 需要需要 Microsoft Defender CVE-2021-1647 代码执行 网络网络 无需无��������需 需要需要 Windows Win32k CVE
34、-2021-1732 权限提升 本地本地 低低 无需无需 CVE-2021-28310 权限提升 本地本地 低低������� 无需无需 CVE-2021-40449 权限提升 本地本地 低低 无需无需 Microsoft DWM Core Library CVE-2021-33739 权限提升 本地本地 低低 无需无需 Windows Kernel CVE-2021-31955 信息泄露 本地本地 低低 无需无需 CVE-2021-33771 权限提升 本地本地 低低 无需无需 CVE-2021-31979 权限提升 本地本地 低低 无需无需 Windows NTFS CVE-2021-31956 权限提
35、升 本地本地 低低 无需无需 Microsoft Enhanced Cryptographic Provider CVE-2021-31199 权限提升 本地本地 低低 无需无需 CVE-2021-31201 权限提升 本地本地 低低 无需无需 Windows CVE-2021-36934 权限提升 本地本地 低低 ������无需无需 Windows Installer CVE-2021-43883 权限提升 本�����地本地 低低 无需无需 Windows Update Medic Service CVE-2021-36948 权限提升 本地本地 低低 无需无需 Windows Mobile Device M
36、anagement CVE-2021-43880 权限提升 本地本地 低低 无需无需 根据产品特征以及攻击向量等因素可以将漏洞归为服务端漏洞、 客户端漏洞15 和提权类漏洞三类。依据上表中的标记,很容易区分这三类漏洞: 1. 服务端漏洞: 一般允许远程攻击者通过网络发起攻击, 并且漏洞利用不需要用户交互。 在这种条件下, 无需身份认证的漏洞是值得重点关注的, 因为这种漏洞的利用条件相当宽松,只需要向受漏洞影响的服务端发送特制请求就可以触发漏洞, 如果能稳定利用的话, 这种漏洞将��������会是网络上的大杀器。 2. 客户端漏洞: 一�����般需要攻击者诱导用户打开特制文件 (用户交互) 才能利用,对于一些加入了沙
37、箱机制的关键客户端程序,如 IE、Office 等,攻击者还需配合权限提升漏洞来绕过沙箱并获得系统权限。 3. 提权类漏洞:一般认为攻击者在利用这类漏洞发起攻击前需要进行身份认证, 但不需要用户交互, 攻击者可利用这类漏洞将当前用户权限提升至更高级别的权限。 服务端服务端漏洞漏洞 我们重点关注企业中常用的产品或者在全球范围内部署量极大的服务端, 如AD 域服务、Microsoft Exchange Server、Microsoft SharePoint Server、Microsoft DNS Server 等等。Microsoft Exchange Serve��������r 和 Windows Prin
38、t Spooler �������是本年度安全研究人员以及黑客的重点关注对象,Microsoft Exchange Server 的几个未授权远程代码执行漏洞利用链已发现被多个黑客组织利用;PrintNightmare 漏洞自被披露以来热度一直都很高,随着更多的安全研究人������员加入研究,Windows Print Spooler 系列漏洞层出不穷。 在这里,我们更倾向于关注无需身份认证且默认配置可触发的漏洞,由于此类漏洞利用门槛低, 一旦稳定的漏洞利用程序被开发出来, 甚至被公开在互联网,很容易被黑客利用起来发起大规模无差别攻击。 Microsoft Exchange SMicrosoft Exchange S
39、ervererver Microsoft Exchange Server 在全球拥有大量用户,是企业和学术机构最常�����用的电子邮件服务器。 其运行在 Windows Server 上,使用 Active Directory 来存储和共享目录信息。作为最常用的电子邮件解决方案,Exchange Server 一直16 都是黑客的首要目标。如果黑客发起攻击,可能导致用户敏感数据泄露,给企业和用户带来������重大损失。 从 Exchange 历史漏洞来看,这些漏洞在利用上通常是需要授权的,这意味着黑客在攻击 Exchange 前需要获得身份认证信息。但由于新的攻击面出现,本年度 Exchange 接连被曝出 P
40、roxyLogon、ProxyShell 等重大漏洞利用链,未经身份认证的远程攻击者可利用这些攻击链在易受攻击的 Exchange 服务器上执行任意代码。 攻击者������只需要能访问到目标设备的 443 端口即可发起攻击,不需要其他任何条件。更糟糕的是,APT 组织还利用这些漏洞�����发起大规模攻击,用于窃取电子邮件信息、窃取 Active Directory 数据库的副本、添加域账户、进一步横向移动等。 下表为本年度 Microsoft Exchange Server 的关键漏洞情况: 漏洞编号漏洞编号 威胁类型威胁类型 C CVSSVSS评分评分 漏洞威胁状态漏洞威胁状态 技术细节技术细节 PoCPoC
41、 状态状态 EXPEXP 状态状态 在野在野 利用利用 CVE-2��������021-26855 身份认证绕过 9.1 已公开已公开 已公开已公开 已公开已公开 已发现已发现 CVE-2021-27065 任意文件写入 7.8 已公开已公开 已公开已公开 已公开已公开 已发现已发现 CVE-2021-26857 远程���������代码执行 7.8 已公开已公开 已公开已公开 已公开已公开 已发现已发现 CVE-2021-26858 任意文件写入 7.8 已公开已公开 已公开已公开 已公开已公开 已发现已发现 CVE-2021-28480 身份认证绕过 9.8 已公开已公开 未知 未知 已发现已发现 CVE-2021-2
42、8481 身份认证绕过 9.8 未公开 未知 未知 未知 CVE-2021-28482 远程代码执行 8.8 已公开已公开 已公开已公开 已公开已公开 未知 CVE-2021-28483 远程代码执行 9.0 未公开 未知 未知 未知 CVE-2021-34473 身份认证绕过 9.1 已公开已公开 已公开已公开 已公开已公开 已发现已发现 CVE-2021-34523 权限提升 9.0 已公开已公开 已公开已公开 已公开已公开 已发现已发现 CVE-2021-31207 任意文件写入 6.6 已公开已公开 已公开已公开 已公开已公开 已发现已发现 CVE-2021-33766���� 信息泄露 7.
43、3 已公开已公开 已公开已公开 已公开已公开 未知 CVE�����-2021-42321 远程代码执行 8.8 已公开已公开 已公开已公开 已公开已公开 已发现已发现 ProxyLogonProxyLogon CVE-2021-26855 服务端请求伪造(SSRF)漏洞又称为“ProxyLogon” ,攻击者可以利用这个漏洞绕过 Exchange Server 的身份验证获得管理员权限。配合CVE-2021-27065 或 CVE-2021-26858 任意文件写入漏洞,未经身份认证的攻击者可将文件写入服务器的任意路径从而执行任意代码;配合 CVE-2021-26857 反序列化漏洞,未经身份认证的攻
44、击者可通过发送恶意请求在 Exchange 服务器上以17 SYSTEM 权限执行任意代码。 图 2-1 ProxyLogon 漏洞利用链 据 Volexity 安全研究人员披露,ProxyLogon 的相关攻击可追溯到 2021 年1 月份5,且相关漏洞攻击持续进行。迫于这些漏洞影响巨大,微软于补丁日前一周(2021 年 3 月 3 日)公开了这些漏洞并发布告警。 ProxySProxyShellhell 与 P������roxyLogon 类似,ProxyShell 是一个完整的 Exchange 漏洞利用链,包括 CVE-2021-34473 Microsoft Exchange ACL 绕过漏洞
45、、CVE-2021-34523 Microsoft Exchange 权限提升漏洞以及 CVE-2021-31207 Microsoft Exchange授权任意����文件写入漏洞。这些漏洞细节以�����及 PoC 已公开,并且已经被用于野外攻击,BlackByte、LockFile 等勒索软件也被发现利用这些漏洞进行传播。通过组合这些漏洞,未经身份验证的远程攻击者可接管目标服务器,企业应高度重视这些漏洞。 ProxyTProxyTokenoken “ProxyToken”是存在于 Exchange 中的一个信息泄露漏洞(CVE-2021-33766) ,微软官方已于 2021 年 7 月 13 日发布了此
46、漏洞通告以及补丁程序。未经身份验证的攻击者可以对属于任意用户的邮箱执行配置操作。 攻击者可利用此漏洞复制发送到目标邮箱账户的所有电子邮件, 并将它们������转发到由攻击����者控制的账 5 https:/ 18 户。 在默认配置下,攻击者需要控制一个与受害者相同的 Exchange 服务器的账户,然后利用此漏洞读取受害者收到的所有邮件。但如果管理员为 Exchange 配置了允许转发任意 Internet 目标的规则,攻击者不需要获取账号也可以读取受害者收到的所有邮件。 尽管暂时没有监测到利用此漏洞的攻击,但相关细节及 PoC/EXP 已经公开,奇安信 CERT 已验证其有效性。此漏洞存在较大被利用的风险,
47、一旦被攻击者成功利用,企业将遭受重大损失。 CVECVE- -20212021- -4232142321 最后一个备受关注的漏洞是 CVE-2021-42321 Microsoft Exchange Server远程代码执行漏洞,安全研究人员曾在 2021 年演示成功利用此漏洞攻破Exchange 服务器,微软在 11 月发布通告时指出此漏洞已检测到漏洞利用。经过身份验证的远程攻击者,可利用此漏洞在目标服务器上执行任意代码。虽然利用此漏洞需要身份认证,但攻击者可以组合其他未授权漏洞发起攻击,企业还应及时修复这类漏洞。 Active Directory Domain ServicesAc����tive
48、 Directory Domain Services Active Directory 域服务 (AD DS) 是 Active Directory 中的核心组件,它存储和管理连接到网络的用户、设备和服务信息,使用户能够对网络上的资源进行身份验证和访问。Active Directory 是攻击者进行渗透、横向移动和数据泄露的一个关键目标。 漏洞编号漏洞编号 威胁类型威胁类型 C CVSSVSS评分评分 漏洞威胁状态漏洞威胁状态 技术细节技术细节 PoCPoC 状态状态 EXP EXP 状态状态 在野在野 利用利用 CVE-2�������021-42287 权限提升 7.5 已公开已公开 已公开已公开 已公
49、开已公开 未知 CVE-2021-42278 权限提升 7.5 已公开已公开 已公开已公开 已公开已公开 未知 Active Direc��������tory 域服务权限提升漏洞 (CVE-2����021-42278、 CVE-2021-42287)允许攻击者使用 AD 用户属性 sAMAccountName 欺骗来模拟域控制器, 攻击者可通过组合利用这两个漏洞绕过安全限制提升至域管理员权限。此漏洞于 2021 年 11月微软补丁日公开,12 月 12 日,国外安全研究员披露了这两个漏洞的细节以及19 PoC/EXP,奇安信 CERT 已验证此 PoC/EXP 有效,漏洞存在较大被利用风险。成功利用此漏洞的攻击者
50、可以以 SYSTEM 权限在域控机器上执行任意代码, 危害极大。 Microsoft SharePoint ServerMicrosoft Share�������Point Server Microsoft SharePoint Server 是由微软提供的用以提供基本的门户网站和企业内网功能的软件。超过 200,000 个组织和 1.9 亿人将 SharePoint 用于Intranet、团队网站和内容管理。 漏洞编号漏�������洞编号 威胁类型威胁类型 C CVSSVSS评分评分 漏洞威胁状态漏洞威胁状态 技术细节技术细节 PoCPoC 状态状态 EXP EXP 状态状态 在野在野 利用利用 CVE-2021-
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
