2023漏洞威胁分析报告.docx

2023漏洞威胁分析报告

2023VULNERABILITYTHREATANALYSISREPORT

千里目-深瞳漏洞实验室

引言

漏洞危害程度趋向高危化，未修补的漏洞依然是黑客利用的最主要攻击载体。

在国家级漏洞库披露的漏洞中，高危和超危漏洞占比超过50%，根据已知被利用漏洞（KEV）目录收录标准及近10年已知被漏洞利用情况分析总结，95%以上被利用漏洞是2023年以前漏洞。

2023年0day漏洞利用数量明显攀升，网络安全形势日益严峻。

从2014年到2023年，在野利用的0day数量整体呈上升趋势，近三年在野利用的0day漏洞数量占比为近十年在野利用的0day数量的50%。

热门漏洞逐渐趋向围绕开源软件漏洞。

2023年较为热门的漏洞多数为Apache开源软件，高危的开源软件漏洞危害大，且造成的影响范围更广，更易受到业内的关注。

本次报告将介绍2023年的整体漏洞态势，并从0day漏洞、开源软件漏洞、漏洞治理等三个方向展开谈一谈漏洞未来的演变趋势。

本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深瞳漏洞实验室，目的仅为帮助客户及时了解中国或其他地区漏洞威胁的最新动态和发展，仅供参考。

本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。

录目

录

引言

一、安全漏洞态势 01

安全漏洞治理情况 01

国际安全漏洞治理动向 01

我国在安全漏洞管理方面的发展现状概述 02

安全漏洞总体情况 03

漏洞公开披露情况 03

漏洞利用情况 05

年度热点漏洞分析 07

AtlassianConfluence权限提升漏洞(CVE-2023-22515) 07

OracleWebLogicServer远程代码执行漏洞（CVE-2023-21931） 10

ApacheActiveMQ远程命令执行漏洞(CVE-2023-46604) 13

ApacheOFBiz远程代码执行漏洞(CVE-2023-51467) 15

ApacheStruts2文件上传漏洞 18

安全漏洞态势小结 22

二、0day漏洞趋势分析 23

0day漏洞态势分析 23

0day漏洞概况 23

0day勒索利用 24

0day在野利用周期 26

0day变体与Nday利用 26

攻防场景下的0day漏洞趋势 27

攻防场景0day漏洞概况 27

攻防场景漏洞攻击手法 28

0day猎捕案例 29

某帆报表反序列化漏洞 29

某安防平台文件上传漏洞 32

某户OA远程代码执行漏洞 33

0day漏洞趋势小结 36

三、开源软件安全趋势分析 37

开源软件安全漏洞趋势 37

开源软件安全风险 39

开源软件漏洞案例 40

ApacheActiveMQ远程命令执行漏洞(CVE-2023-46604) 40

ApacheStruts2远程代码执行漏洞（CVE-2023-50164） 41

libcurlSocks5堆缓冲区溢出漏洞(CVE-2023-38545) 41

HTTP/2协议拒绝服务漏洞(CVE-2023-44487) 43

开源软件漏洞趋势小结 44

四、深信服漏洞防护解决方案 45

0day漏洞检测与防护 45

虚拟补丁(HIPS)防御 47

漏洞修复优先级知识图谱 48

传统漏洞评估的现状 48

先进合理的优先级技术 48

未来趋势 50

五、参考链接51

五、参考链接

022023

02

2023漏洞威胁分析报告

2023漏洞威胁分析报告01

2023漏洞威胁分析报告

01

安全漏洞态

安全漏洞态势

安全漏洞治理情况

安全漏洞治理情况

国际安全漏洞治理动向

国际安全漏洞治理动向

（1）美国相关政策强化漏洞共享与治理能力：

美国始终将“协调”与“共享”作为其网络安全战略的核心。2021年5月，拜登政府颁布了旨在打破政府与私营部门间信息壁垒的《改善国家网络安全的行政命令》。美国网络安全与基础设施安全局（CISA）致力于推动漏洞管理的协同工作，通过实施协同漏洞披露（CVD）、漏洞披露策略（VDP）以及发布约束性操作指令（BOD），加强了联邦政府与私营部门之间的合作，确保了对关键基础设施的安全威胁能够及时被发现和有效控制。这些措施显著提高了漏洞资源的共享和共治能力，从而增强了美国在国家层面上的网络安全漏洞管理能力。

CISA发布新战略计划，聚焦关键基础设施脆弱性:

2022年9月，CISA推出了“2023-2025年战略计划”，这是自2018年成立以来的首个全面战略