本篇为《报告》解读系列的第一篇,将从探究2022年漏洞威胁的现状及发展趋势,为广大企事业客户、安全运维人员等应对漏洞威胁提供指导。
2022年新增漏洞26431个,同比2021年增加25.87%
根据NVD数据库已收录的公开发布漏洞数目进行观察,截至2022年底,2022年新增加的漏洞数量为26431个,相比2021年增加了25.87%。
根据告警监测数据,盘点了与漏洞利用相关的攻击事件,并筛选出了告警数量最高的10个漏洞,如表1.1所示。
表 1.1 2022年漏洞利用告警数量TOP10
从表中数据可以发现,具有10年以上的高龄漏洞仍然活跃,告警次数高达三十多万。这说明企业内部依然存在大量长期未更新的软件和系统,如在隔离网络中的操作系统、应用软件、数据库等。由于漏洞披露时间较长,对应的漏洞利用也更为成熟,攻击者一旦进入内网就可以利用这类漏洞发起有效攻击。
Web服务器依旧是漏洞重灾区
绿盟科技威胁情报中心根据监测数据统计了各类服务器在漏洞利用中的占比,如图1.2所示。其中,Web服务器受到的攻击最多,占比达70.81%。
图1.2 服务器漏洞利用统计
漏洞挖掘者瞄准Chrome浏览器
如图1.3所示,2022年度Google Chrome浏览器漏洞披露最多,共计303个,其累计漏洞总数达到3159个,例如CVE-2022-3318、CVE-2022-3314、CVE-2022-3311、CVE-2022-3309和CVE-2022-3307,这些漏洞均可导致内存损坏。Mozilla Firefox浏览器漏洞居第二,共出现117个漏洞;其次是Microsoft Edge,共有漏洞103个,相比2021年全年新增了61%。综上所述,Chrome浏览器成为了漏洞挖掘者主要目标之一。
图1.3 2022年浏览器漏洞数
开源框架组件面临重重危机
开源软件中的安全漏洞为攻击者提供了新的攻击思路,拓展了攻击面,并降低了攻击难度。攻击者通过开源软件漏洞可引发软件供应链全过程的“链式反应”,直接或间接关联的系统均会受到影响,甚至可能会出现“网状蔓延”态势,攻击影响可成倍甚至呈爆炸式增长。
表 1.2 2022年涉及开源框架组件重点漏洞
OA系统漏洞管理机制亟待加强
OA系统融合了企业运作及生产经营,更甚至承载企业大量敏感信息,使得OA系统逐渐成为攻击者重点关注对象。2022年披露的OA系统漏洞数量较2021年呈明显上升趋势,国内多款OA系统被爆出高危漏洞,主要涉及远程代码执行、文件上传及反序列化漏洞等。
目前国内很多OA系统厂商还没有健全的漏洞管理机制,缺乏正式的漏洞收录渠道与征集奖励计划,当开发的产品被爆出安全漏洞时,往往无法及时进行修复并对外发布安全风险通告,导致相关用户很难有效检测和防护。
同时,OA系统的使用方也因为在需求设计和开发测试阶段未引入安全开发生命周期(SDL),导致企业漏洞预防、检测和修补的成本日渐增加。
AD和Exchange漏洞倍受攻击者青睐
2022年1月,微软Exchange惊现2022“新年虫”,官方发布了紧急修复程序,该漏洞会破坏本地Exchange服务器上的电子邮件传递。2022年2月,勒索软件Cub利用Exchange漏洞进入企业网络并对设备进行加密。而在2022年5月更新中,微软修复了AD的一个重要漏洞,即Active Directory域服务权限提升漏洞 (CVE-2022-26923),攻击者可利用该漏洞在内网进行横向移动。
远程办公类软件漏洞关注度剧增
受疫情影响,人们对远程办公、会议类软件需求剧增,大量攻击者将此类软件作为攻击跳板,通过软件漏洞,攻击者可绕过企业相关防护体系,直接进入企业内部网络。针对2022年重点漏洞如表1.3。
表1.3 2022年远程办公及会议软件重点漏洞
边界设备成为网络攻防“双刃剑”
近几年,随着各行业对安全的日益重视,企业逐步增加了网边界安全设备的规划与部署,以进一步提高安全防护能力。尽管安全设备可以抵御内外部威胁,但其自身也是由代码开发而成,不可避免的会产生漏洞,若边界设备被攻击者控制,可能为攻击者打开通向内网的大门,实现更深层次的渗透攻击。
好文章,需要你的鼓励
数据分析平台公司Databricks完成10亿美元K轮融资,公司估值超过1000亿美元,累计融资总额超过200亿美元。公司第二季度收入运营率达到40亿美元,同比增长50%,AI产品收入运营率超过10亿美元。超过650家客户年消费超过100万美元,净收入留存率超过140%。资金将用于扩展Agent Bricks和Lakebase业务及全球扩张。
Meta与特拉维夫大学联合研发的VideoJAM技术,通过让AI同时学习外观和运动信息,显著解决了当前视频生成模型中动作不连贯、违反物理定律的核心问题。该技术仅需添加两个线性层就能大幅提升运动质量,在多项测试中超越包括Sora在内的商业模型,为AI视频生成的实用化应用奠定了重要基础。
医疗信息管理平台Predoc宣布获得3000万美元新融资,用于扩大运营规模并在肿瘤科、研究网络和虚拟医疗提供商中推广应用。该公司成立于2022年,利用人工智能技术提供端到端平台服务,自动化病历检索并整合为可操作的临床洞察。平台可实现病历检索速度提升75%,临床审查时间减少70%,旨在增强而非替代临床判断。
上海AI实验室发布OmniAlign-V研究,首次系统性解决多模态大语言模型人性化对话问题。该研究创建了包含20万高质量样本的训练数据集和MM-AlignBench评测基准,通过创新的数据生成和质量管控方法,让AI在保持技术能力的同时显著提升人性化交互水平,为AI价值观对齐提供了可行技术路径。