深信服：2023漏洞威胁分析报告（56页）.pdf

1、2023漏洞威胁分析报告2023 VULNERABILITY THREATANALYSIS REPORT千里目-深瞳漏洞实验室引言漏洞危害程度趋向高危化，未修补的漏洞依然是黑客利用的最主要攻击载体。在国家级漏洞库披露的漏洞中，高危和超危漏洞占比超过 50%，根据已知被利用漏洞（KEV）目录收录标准及近 10 年已知被漏洞利用情况分析总结，95%以上被利用漏洞是 2023 年以前漏洞。2023 年 0day 漏洞利用数量明显攀升，网络安全形势日益严峻。从 2014 年到 2023 年，在野利用的 0day 数量整体呈上升趋势，近三年在野利用的 0day 漏洞数量占比为近十年在野利用的 0day

2、数量的 50%。热门漏洞逐渐趋向围绕开源软件漏洞。2023 年较为热门的漏洞多数为 Apache 开源软件，高危的开源软件漏洞危害大，且造成的影响范围更广，更易受到业内的关注。本次报告将介绍 2023 年的整体漏洞态势，并从 0day 漏洞、开源软件漏洞、漏洞治理等三个方向展开谈一谈漏洞未来的演变趋势。本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深瞳漏洞实验室，目的仅为帮助客户及时了解中国或其他地区漏洞威胁的最新动态和发展，仅供参考。本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此

3、构成提供任何专业建议或服务。目录引言一、安全漏洞态势安全漏洞治理情况国际安全漏洞治理动向我国在安全漏洞管理方面的发展现状概述安全漏洞总体情况漏洞公开披露情况漏洞利用情况年度热点漏洞分析Atlassian Confluence 权限提升漏洞(CVE-2023-22515)Oracle WebLogic Server 远程代码执行漏洞（CVE-2023-21931）Apache ActiveMQ 远程命令执行漏洞(CVE-2023-46604)Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)Apache Struts2 文件上传漏洞安全漏洞态势小结二、0day漏洞趋势分析

4、0day漏洞态势分析0day漏洞概况0day勒索利用0day在野利用周期0day变体与Nday利用攻防场景下的0day漏洞趋势攻防场景0day漏洞概况攻防场景漏洞攻击手法01010102030305070710131518222323232426262727280day猎捕案例某帆报表反序列化漏洞某安防平台文件上传漏洞某户OA远程代码执行漏洞0day漏洞趋势小结三、开源软件安全趋势分析开源软件安全漏洞趋势开源软件安全风险开源软件漏洞案例Apache ActiveMQ 远程命令执行漏洞(CVE-2023-46604)Apache Struts2远程代码执行漏洞（CVE-2023-50164）li

5、bcurl Socks5堆缓冲区溢出漏洞(CVE-2023-38545)HTTP/2协议拒绝服务漏洞(CVE-2023-44487)开源软件漏洞趋势小结四、深信服漏洞防护解决方案0day漏洞检测与防护虚拟补丁(HIPS)防御漏洞修复优先级&知识图谱传统漏洞评估的现状先进合理的优先级技术未来趋势五、参考链接29293233363737394040414143444545474848485051安全漏洞态势（1）美国相关政策强化漏洞共享与治理能力：美国始终将“协调”与“共享”作为其网络安全战略的核心。2021 年 5 月，拜登政府颁布了旨在打破政府与私营部门间信息壁垒的改善国家网络安全的行政命令。

6、美国网络安全与基础设施安全局（CISA）致力于推动漏洞管理的协同工作，通过实施协同漏洞披露（CVD）、漏洞披露策略（VDP）以及发布约束性操作指令（BOD），加强了联邦政府与私营部门之间的合作，确保了对关键基础设施的安全威胁能够及时被发现和有效控制。这些措施显著提高了漏洞资源的共享和共治能力，从而增强了美国在国家层面上的网络安全漏洞管理能力。（2）CISA 发布新战略计划，聚焦关键基础设施脆弱性:2022 年 9 月，CISA 推出了“2023-2025 年战略计划”，这是自 2018 年成立以来的首个全面战略规划。该计划强调了识别对国家安全至关重要的系统和资产的重要性，以及发现并管理关键信息