本篇为《报告》解读系列的第一篇,将从探究2022年漏洞威胁的现状及发展趋势,为广大企事业客户、安全运维人员等应对漏洞威胁提供指导。
2022年新增漏洞26431个,同比2021年增加25.87%
根据NVD数据库已收录的公开发布漏洞数目进行观察,截至2022年底,2022年新增加的漏洞数量为26431个,相比2021年增加了25.87%。
根据告警监测数据,盘点了与漏洞利用相关的攻击事件,并筛选出了告警数量最高的10个漏洞,如表1.1所示。
表 1.1 2022年漏洞利用告警数量TOP10
从表中数据可以发现,具有10年以上的高龄漏洞仍然活跃,告警次数高达三十多万。这说明企业内部依然存在大量长期未更新的软件和系统,如在隔离网络中的操作系统、应用软件、数据库等。由于漏洞披露时间较长,对应的漏洞利用也更为成熟,攻击者一旦进入内网就可以利用这类漏洞发起有效攻击。
Web服务器依旧是漏洞重灾区
绿盟科技威胁情报中心根据监测数据统计了各类服务器在漏洞利用中的占比,如图1.2所示。其中,Web服务器受到的攻击最多,占比达70.81%。
图1.2 服务器漏洞利用统计
漏洞挖掘者瞄准Chrome浏览器
如图1.3所示,2022年度Google Chrome浏览器漏洞披露最多,共计303个,其累计漏洞总数达到3159个,例如CVE-2022-3318、CVE-2022-3314、CVE-2022-3311、CVE-2022-3309和CVE-2022-3307,这些漏洞均可导致内存损坏。Mozilla Firefox浏览器漏洞居第二,共出现117个漏洞;其次是Microsoft Edge,共有漏洞103个,相比2021年全年新增了61%。综上所述,Chrome浏览器成为了漏洞挖掘者主要目标之一。
图1.3 2022年浏览器漏洞数
开源框架组件面临重重危机
开源软件中的安全漏洞为攻击者提供了新的攻击思路,拓展了攻击面,并降低了攻击难度。攻击者通过开源软件漏洞可引发软件供应链全过程的“链式反应”,直接或间接关联的系统均会受到影响,甚至可能会出现“网状蔓延”态势,攻击影响可成倍甚至呈爆炸式增长。
表 1.2 2022年涉及开源框架组件重点漏洞
OA系统漏洞管理机制亟待加强
OA系统融合了企业运作及生产经营,更甚至承载企业大量敏感信息,使得OA系统逐渐成为攻击者重点关注对象。2022年披露的OA系统漏洞数量较2021年呈明显上升趋势,国内多款OA系统被爆出高危漏洞,主要涉及远程代码执行、文件上传及反序列化漏洞等。
目前国内很多OA系统厂商还没有健全的漏洞管理机制,缺乏正式的漏洞收录渠道与征集奖励计划,当开发的产品被爆出安全漏洞时,往往无法及时进行修复并对外发布安全风险通告,导致相关用户很难有效检测和防护。
同时,OA系统的使用方也因为在需求设计和开发测试阶段未引入安全开发生命周期(SDL),导致企业漏洞预防、检测和修补的成本日渐增加。
AD和Exchange漏洞倍受攻击者青睐
2022年1月,微软Exchange惊现2022“新年虫”,官方发布了紧急修复程序,该漏洞会破坏本地Exchange服务器上的电子邮件传递。2022年2月,勒索软件Cub利用Exchange漏洞进入企业网络并对设备进行加密。而在2022年5月更新中,微软修复了AD的一个重要漏洞,即Active Directory域服务权限提升漏洞 (CVE-2022-26923),攻击者可利用该漏洞在内网进行横向移动。
远程办公类软件漏洞关注度剧增
受疫情影响,人们对远程办公、会议类软件需求剧增,大量攻击者将此类软件作为攻击跳板,通过软件漏洞,攻击者可绕过企业相关防护体系,直接进入企业内部网络。针对2022年重点漏洞如表1.3。
表1.3 2022年远程办公及会议软件重点漏洞
边界设备成为网络攻防“双刃剑”
近几年,随着各行业对安全的日益重视,企业逐步增加了网边界安全设备的规划与部署,以进一步提高安全防护能力。尽管安全设备可以抵御内外部威胁,但其自身也是由代码开发而成,不可避免的会产生漏洞,若边界设备被攻击者控制,可能为攻击者打开通向内网的大门,实现更深层次的渗透攻击。
好文章,需要你的鼓励
Docker公司通过增强的compose框架和新基础设施工具,将自己定位为AI智能体开发的核心编排平台。该平台在compose规范中新增"models"元素,允许开发者在同一YAML文件中定义AI智能体、大语言模型和工具。支持LangGraph、CrewAI等多个AI框架,提供Docker Offload服务访问NVIDIA L4 GPU,并与谷歌云、微软Azure建立合作。通过MCP网关提供企业级安全隔离,解决了企业AI项目从概念验证到生产部署的断层问题。
中科院联合字节跳动开发全新AI评测基准TreeBench,揭示当前最先进模型在复杂视觉推理上的重大缺陷。即使OpenAI o3也仅获得54.87%分数。研究团队同时提出TreeVGR训练方法,通过要求AI同时给出答案和精确定位,实现真正可追溯的视觉推理,为构建更透明可信的AI系统开辟新路径。
马斯克的AI女友"Ani"引爆全球,腾讯RLVER框架突破情感理解边界:AI下半场竞争核心已转向对人性的精准把握。当技术学会共情,虚拟陪伴不再停留于脚本应答,而是通过"心与心的循环"真正理解人类孤独——这背后是强化学习算法与思考模式的化学反应,让AI从解决问题转向拥抱情感。
PyVision是上海AI实验室开发的革命性视觉推理框架,让AI系统能够根据具体问题动态创造Python工具,而非依赖预设工具集。通过多轮交互机制,PyVision在多项基准测试中实现显著性能提升,其中在符号视觉任务上提升达31.1%。该框架展现了从"工具使用者"到"工具创造者"的AI能力跃迁,为通用人工智能的发展开辟了新路径。