1、 2023 年网络安全漏洞态势报告-新华三主动安全系列报告-目 录 CONTENTS 1 概述概述 3 1.1 漏洞增长趋势 3 1.2 攻击总体态势 5 2 2 WebWeb 应用漏洞应用漏洞 8 2.1 新增漏洞趋势 8 2.2 漏洞分类 9 2.3 重点漏洞回顾 10 2.4 攻击态势分析 12 3 3 操作系统漏洞操作系统漏洞 13 3.1 新增漏洞趋势 13 3.2 漏洞分类 13 3.3 重点漏洞回顾 14 3.4 攻击态势分析 16 4 4 网络设备漏洞网络设备漏洞 17 4.1 新增漏洞趋势 17 4.2 漏洞分类 18 4.3 重点漏洞回顾 19 4.4 攻击态势分析 21

2、5 5 数据库漏洞数据库漏洞 22 5.1 新增漏洞趋势 22 5.2 漏洞分类 23 5.3 重点漏洞回顾 24 5.4 攻击态势分析 25 6 6 工控系统漏洞工控系统漏洞 26 6.1 新增漏洞趋势 26 6.2 漏洞分类 27 6.3 重点漏洞回顾 28 6.4 攻击态势分析 29 7 7 云计算平台漏洞云计算平台漏洞 30 7.1 新增漏洞趋势 30 7.2 漏洞分类 30 7.3 重点漏洞回顾 31 7.4 攻击态势分析 32 8 8 总结与建议总结与建议 33 8.1 总结 33 8.2 安全建议 34 9 9 结语结语 38 主动安全 3 2023 年网络安全漏洞态势报告年网络

3、安全漏洞态势报告 新华三安全攻防实验室持续关注国内外网络安全漏洞和态势，协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布2023 年网络安全漏洞态势报告。报告开篇概述了 2023 年漏洞和攻击的总体趋势，正文从 Web 应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析 2023 年网络安全领域新增漏洞情况以及演变趋势，希望为各行业网络安全建设者提供参考和帮助。1 概述概述 1.1 漏洞增长趋势 2023 年新华三安全攻防实验室漏洞知识库收录的漏洞总数为 29039 条，比 2022 年（24892 条）增长16.6%

4、，为历史之最。其中超危漏洞 4298 条，高危漏洞 10741 条，如图 1 所示，超危与高危漏洞占比51.8%，如图 2 所示，高危以上漏洞比 2023 年增长 7.1%。自 2017 年以来，公开漏洞数量一直在稳步增加，每年增加数量超过 10%。主动安全 4 图 1 2017-2023 年新增漏洞总趋势 图 2 2023 年不同危险级别漏洞占比 146821629917751179202020324892290390500010000150002000025000300003500002000400060008000100001200014000160002017年2018年2019年20

5、20年2021年2022年2023年超危高危中危低危总数超危14.8%高危37.0%中危46.2%低危2.0%超危高危中危低危 主动安全 5 1.2 攻击总体态势 将 2023 年漏洞按照影响对象进行统计，Web 应用类漏洞占比仍然为第一位，占比 40.2%，其次是应用程序、操作系统漏洞，分别占比 29.2%、9.1%，如图 3 所示。应用程序漏洞数量比去年增长 60.8%，增幅较大；智能终端（IOT 设备）漏洞数量比去年增长 64.4%，操作系统、网络设备、云计算、数据库漏洞相比去年漏洞数量有所回落。漏洞数量是危险的一方面，在已披露的漏洞中，有超过 7000 个漏洞具有“概念验证利用代码”，

6、超过 100 个漏洞已经被黑客“广泛利用”。图 3 2023 年漏洞影响对象占比 将 2023 年漏洞按照攻击分类进行统计，如图 4 所示，排名前三的漏洞为跨站脚本、权限许可和访问控制、缓冲区错误，分别占比 17.0%，13.4%和 11.2%。权限许可和访问控制占比较 2022 年有大幅提升，权限许可和访问控制漏洞是由于权限限制不正确，或者访问控制设置错误，导致远程攻击者可以绕过身份验证因素或者访问控制设置，达到获取敏感信息，读写任意文件或者权限提升的目的。注入类漏洞，如代码注入、SQL 注入、命令注入共占比 18.7%，仍然是最突出的漏洞类型。WEB应用40.3%应用程序29.3%操作系统