新华三安全攻防实验室持续关注国内外网络安全漏洞和态势，协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布《2022年网络安全漏洞态势报告》。报告开篇概述了2022年漏洞和攻击的总体趋势，正文从Web应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析2022年网络安全领域新增漏洞情况以及演变趋势，希望为各行业网络安全建设者提供参考和帮助。

1、概述

1.1 漏洞增长趋势

      2022年新华三安全攻防实验室漏洞知识库收录的漏洞总数为24892条，比2021年增长23.2%，增幅较大。其中超危漏洞4086条，高危漏洞9958条，如图1所示，超危与高危漏洞占比56.4%，如图2所示，高危以上漏洞比2021年增长14.3%。安全漏洞数量仍在快速增长，严重和高危性漏洞的数量占比进一步提升。2017年至2022年漏洞总体呈逐年增长趋势，其中高危以上漏洞逐年增长比例超过10%。

图1   2017-2022年新增漏洞总趋势

图2  2022年不同危险级别漏洞占比图

1.2 攻击总体态势

      将2022年漏洞按照影响对象进行统计，Web应用类漏洞占比最高，达到41.6%，其次是应用软件、网络设备漏洞，分别占比22.3%、10.5%，如图3所示。网络设备漏洞已经超过传统的操作系统漏洞数量，成为排名第三的漏洞类别，其对网络空间安全的影响也越来越突出。智能终端（IOT设备）漏洞占比相比去年也有所提高，移动设备、物联网漏洞也引起黑客持续的关注。

图3   2022年漏洞影响对象占比图

      将2022年漏洞按照攻击分类进行统计，如图4所示，排名前三的漏洞为缓冲区溢出、跨站脚本、SQL注入，分别占比14.6%，13.3%和8.0%。输入验证错误与权限许可与访问控制问题也较突出，输入验证错误是由于产品不验证或错误的验证输入控制流或数据流，导致系统的某些部分接收到意外输入，可能会导致控制流改变、资源的任意控制或任意代码执行。权限许可和访问控制问题是由于权限限制不正确，或者访问控制设置错误，导致远程攻击者可以绕过身份验证因素或者访问控制设置，达到获取敏感信息，读写任意文件或者权限提升的目的。

图4   2022年漏洞攻击分类占比

      近年来，许多公司通过采用数字技术来改变其现有的业务模式、流程和公司文化，以此应对数字化转型的挑战。这种转变创造了更广泛的数字攻击面，涵盖更广泛的领域，包括电子邮件收件箱、物联网设备、移动应用程序、网站、公共云服务，甚至供应链基础设施。2022年，针对各个领域网络资产的攻击进一步加剧，根据对2022年漏洞及网络攻击进行的观察，我们得出一些结论：

1.供应链漏洞攻击加剧，供应链恶意软件数量上升

      自2020年末发现SolarWinds供应链攻击以来，2021年引起网络空间更大安全恐慌的Log4j漏洞又汹汹来袭，2022年出现了类似的严重漏洞Spring4Shell，供应链漏洞已成为网络空间的主要风险之一。随着开源、云原生等技术的大范围应用，以及全球对开源代码的旺盛需求，导致供应链攻击进一步成熟，范围扩大，并且更加复杂，使用恶意软件进行供应链攻击的数量不断攀升。供应链攻击显著特点是刻意针对“上游”开源组件，进行更主动的攻击，攻击者会在为供应链提供支持的开源项目中主动注入新的漏洞。因此，新一代供应链攻击将更加隐蔽，也将有更多的时间对下游企业展开攻击，危险性将更高。

2.勒索软件攻击变得更加智能化和多样化

      勒索软件攻击仍是2022年一年中最具威胁性的侵害事故，勒索软件攻击被黑客组织认为是“低成本、高效率”的攻击方式，“勒索软件即服务”等攻击方式也呈现出有组织、智能化的趋势。此外，随着通过暗网进行勒索软件和“窃取个人信息”交易的增加，以及针对元宇宙虚拟商品、非同质化代币（NFT）等新型勒索攻击的出现，勒索软件攻击范围进一步扩大。

3.攻击者加强0day漏洞侦查能力，内网威胁防护不足

      企业内网的安全漏洞数量不断增加，甚至变得越来越复杂。由于内网保护严重不足，攻击者利用安全漏洞的攻击行为变本加厉，尤其借助自动化的工具，在短时间内以更高效、隐蔽的方式对内网漏洞进行扫描和探测，使得企业面临更为严重的安全风险和损失。同时，攻击者进一步加大事前的努力，在攻击准备阶段花费更多的时间和精力来搜寻0day漏洞，并利用新的技术将攻击扩展到更广泛的网络环境，无疑加大了企业应用防护的难度。

4.机器学习和人工智能等最新技术被应用于黑客攻击

      机器学习和人工智能正在成为新一代威胁检测和响应工具的核心技术，帮助网络安全团队增强了动态学习和自动适应不断变化的网络威胁的能力。然而，一些攻击者也在使用机器学习和人工智能来增强网络攻击能力，逃避安全防御系统，并以前所未有的速度发现新的漏洞，引发严重的后果。例如黑客可以利用机器学习和人工智能更方便的创建网络钓鱼电子邮件、进行密码猜解、绕过网络安全设备、探测网络漏洞、生成恶意程序、进行AI投毒等。

      2022年底，OpenAI发布了人工智能聊天机器人ChatGPT，ChatGPT亮相仅数周，安全研究人员就利用聊天机器人ChatGPT，生成了能携带恶意载荷、编写巧妙的网络钓鱼邮件。在地下黑客论坛上，网络攻击者展示如何使用ChatGPT创建新的木马。ChatGPT等人工智能工具以比人类黑客更快的速度制造出新的、日益智能的威胁。

5.数据泄露的规模更大、成本更高，数据安全面临更大挑战

      由于企业互联网化进程的不断深入，越来越多的业务被迁移到互联网上，大量的应用数据被产生、传输、公开、共享。与此同时，新一代应用通过Web、H5、App、API、微信小程序等多种业务渠道接入，导致应用敞口风险和链条管控难度加大，各类变化多端的撞库攻击、暴力破解、爬虫攻击、API接口滥用，也导致企业数据泄露风险加剧。2022年，数据泄露事件持续增加，规模更大，各国政府和企业付出更多的代价来进行恢复，损失的成本不仅限于事件响应成本、数据备份成本、系统升级成本，还包括声誉损失成本、法律风险成本等隐性成本。数据泄露的主要原因源于利用漏洞攻击、网络钓鱼和勒索软件。

      2022年国内发生多起严重数据泄露事件，例如：2022年2月，某公司2.1亿条简历数据被窃取；2022年6月，某教育软件数据库泄露，7亿数据被非法售卖；2022年7月，上海某机构数据库泄露10亿公民数据。数据安全面临更大挑战。

6.远程办公类软件漏洞热度增加

      新冠疫情的长期影响，客观上带动了全球范围内远程办公的普及。传统线下办公的网络边界逐渐模糊，通过VPN、虚拟化桌面或办公软件接入企业内网，文件共享、网络应用、视频会议和消息软件为企业带来了极大的安全隐患。远程办公增加的网络暴露面给黑客攻击带来了便利，办公软件漏洞利用、恶意程序、网络钓鱼、未经授权的用户或设备访问和未打补丁的系统是远程办公面对的主要攻击向量，远程办公类软件漏洞热度增加。远程办公的最大特点是接入系统和人员物理环境的不确定性。因此，远程办公所涉及的企业业务系统暴露、员工远程访问的身份识别、业务访问违规操作、员工终端设备的安全防护等问题，对公司的安全防护能力发起了极大的挑战。

7.物联网设备依旧是僵尸网络的主要载体

      随着物联网设备的激增，截止2022年有超过100亿个活跃的物联网设备。多数物联网设备没有太多的处理能力和安全功能，本身存在严重的安全问题，如弱密码、对管理系统的开放访问、默认管理凭据或弱安全配置，在边缘留下了大量易受攻击的网络入口点。使用默认凭证来破解物联网设备是黑客使用的主要攻击方式。黑客攻击物联网设备的用途主要分为以下几个方向：控制僵尸主机对目标执行DDoS攻击、作为跳板对内网进行攻击、通过网络设备对流量进行劫持、通过监控设备获取个人隐私信息等。虽然物联网僵尸网络可以窃取机密数据，如Torri僵尸网络，但大多数僵尸网络都用于DDoS攻击，物联网设备仍是僵尸网络的主要载体。

2、Web应用漏洞

2.1 新漏洞趋势

      针对Web应用的攻击依然是互联网的主要威胁来源之一，互联网时代，更多的流量入口和更易调用的方式在提高应用开发效率的同时也带来了更复杂的安全问题。2022年新华三漏洞知识库收录Web应用漏洞10488条，较2021年（9103条）增长15.2%。对比2021年和2022年每月Web应用漏洞变化趋势如图5所示：

图5   2021与2022年Web应用新增漏洞趋势

2.2 漏洞分类

      黑客普遍会利用Web应用漏洞对网络进行渗透，以达到控制服务器、进入内网、获取大量有价值信息的目的。可以看出2022年Web应用漏洞主要集中在跨站脚本、注入、权限许可和访问控制问题三种类型，占据全部漏洞类型的66.6%。跨站脚本与注入是Web应用最常见的漏洞，利用跨站脚本漏洞，黑客可以对受害用户进行Cookie窃取、会话劫持、钓鱼欺骗等各种攻击；利用注入漏洞，黑客可能窃取、更改、删除用户数据，或者执行系统命令等，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

图6   2022年Web应用漏洞类型占比图

2.3 重点漏洞回顾

表（1）   2022年Web应用漏洞类型占比

经典漏洞盘点：

• Oracle Coherence反序列化远程代码执行漏洞(CVE-2022-21350)

Weblogic是由美国Oracle公司出品的一款基于JAVAEE架构的中间件，主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器，在国内外应用十分广泛。该漏洞是由于 Oracle WebLogic Server的核心组件中存在输入验证问题，未经身份验证的恶意攻击者可以通过T3协议来破坏Oracle WebLogic Server，从而导致对Oracle WebLogic服务器访问数据的未授权更新、插入或删除，以及导致Oracle WebLogic Server的拒绝服务（部分DOS）。此外，该漏洞还可以使用类似CVE-2020-2555的利用方式，通过生成带有恶意命令的反序列化文件并利用T3协议发送至目标服务器，从而能够在目标服务器上执行任意命令。

• Spring Cloud Function SPEL表达式注入漏洞(CVE-2022-22963)

Spring是Java EE编程领域的一个轻量级开源框架，Spring Cloud Function 是基于 Spring Boot 的函数计算框架，其抽象出所有传输细节和基础架构，允许开发人员保留所有熟悉的工具和流程，并专注于业务逻辑。该漏洞是由于Spring Cloud Function的RoutingFunction类未能正确处理用户发送的数据，导致其apply方法错误地将请求头中”spring.cloud.function.routing-expression”的参数识别为SPEL表达式，未经身份验证的恶意攻击者通过发送带有恶意命令的请求数据，能够在目标服务器上执行任意代码。

• Spring Framework Spring-Bean远程代码执行漏洞(CVE-2022-22965)

Spring framework 是Spring里面的一个基础开源框架，提供了功能强大IOC、AOP及Web MVC等功能，其目的是用于简化 Java 企业级应用的开发难度和开发周期。2022年3月31日，VMware Tanzu发布漏洞报告，Spring Framework存在远程代码执行漏洞(CVE-2022-22965)，也被称为SpringShell或Spring4Shell。在JDK9及以上版本环境中，使用受影响的Spring框架及衍生框架会受该漏洞影响。该漏洞是由于Spring处理流程存在缺陷，在JDK9及以上版本的Spring框架环境中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值，触发pipeline机制，从而在任意路径下写入文件，导致远程代码执行。虽然Spring4Shell的利用难度相比Log4Shell较大，但由于影响范围较大，Spring4Shell漏洞被攻击者大肆利用，以此执行Mirai恶意软件，部署僵尸网络等。

• Atlassian Confluence远程代码执行漏洞(CVE-2022-26134)

Atlassian Confluence是Atlassian公司出品的专业wiki程序，可以作为一个知识管理的工具，通过它能够实现团队成员之间的协作和知识共享。2022年6月3日，Atlassian发布官方公告，披露Atlassian Confluence中存在CVE-2022-26134远程代码执行漏洞。一旦未经身份验证的远程攻击者成功利用该漏洞，就能够创建新的管理员帐户、执行命令并最终接管服务器，然后通过远程代码执行进而植入恶意软件，包括勒索软件。研究人员共观察到共有23个不同的、独立的IP地址对Atlassian漏洞进行了利用，包括勒索软件组织AvosLocker，CerberImposter等。

• ThinkPHP 6.0.13命令执行漏洞

Thinkphp是一个快速、兼容且简单的轻量级国产PHP开发框架，遵循Apache2开源协议发布，从Struts结构移植过来并做了改进和完善，同时也借鉴了国外很多优秀的框架和模式，使用面向对象的开发结构和MVC模式，融合了Struts的思想和TagLib（标签库）、RoR的ORM映射和ActiveRecord模式。Thinkphp支持Windows/Unix/Linux等服务器环境，支持MySQL、PgSQL、SQLite多种数据库以及PDO扩展。当ThinkPHP开启了多语言功能时，攻击者可以在未授权情况下，构造恶意参数并结合目录穿越实现文件包含，可以通过get、header、cookie等位置传入参数，在部分场景下通过进一步利用，包含其它php脚本文件实现远程代码执行，从而可以执行恶意代码、获取服务器控制权限。

2.4 攻击态势分析

1. API攻击加剧，成为攻击优先入口

      大多数现代Web应用程序都依赖API来运行，API应用的增速与其安全发展的不平衡，使其成为恶意攻击的优先入口。API承载了很多重要的业务，传输着大量敏感数据，而API允许外部各方对它进行访问，从而给应用程序带来了额外的风险。相比传统的Web攻击，针对API攻击多是模拟正常的业务调用，针对的是API业务设计层面上的漏洞，实现未授权、越权访问等，没有明显的攻击特征，识别起来难度很大。这类攻击难以通过传统Web防护规则进行识别，需要通过专业的API安全监测管理手段进行防护。加上很多单位对自身API资产情况并不掌握，API接口资产如影子API、僵尸API等存在导致难以管理，这也加剧了API的风险。

2. 针对OA系统的供应链攻击愈演愈烈

      OA系统作为办公平台类软件供应链上的一环，其开发阶段引入的安全风险可能会在使用交付阶段被放大数倍，例如使用了上游存在漏洞的组件库，或不良编码习惯造成自身代码存在缺陷等。随着供应链攻击在日趋常态化的攻防演练中受到越来越多的推崇，OA系统逐渐成为攻击者实施攻击、突破边界防护的首选目标，越来越多的黑客把研究目光投向这块沃土。加上部分OA系统受Log4j漏洞的波及，导致针对OA系统的攻击愈演愈烈。

3、操作系统漏洞

3.1 新增漏洞态势

      操作系统是构成网络信息系统的核心关键组件，其安全可靠程度决定了计算机系统的安全性和可靠性。操作系统作为传统的攻击目标，其漏洞占据着重要位置。2022年新华三漏洞知识库收录的操作系统漏洞总数为2603条，较2021年总数（2439条）稍有增长，对比2021年和2022年每月操作系统漏洞变化趋势如图7所示：

图7   2021与2022年操作系统新增漏洞趋势

3.2 漏洞分类

      操作系统是应用软件和服务运行的公共平台，其安全漏洞是网络安全的主要隐患和风险。对于操作系统，黑客最关注的是获得较高控制权限，进而为实施更深层次的网络渗透提供更大的便利和可能。2022年操作系统权限许可和访问控制问题突出，占比23.6%，超过缓冲区溢出漏洞成为排名第一的漏洞，同时信息泄露、输入验证错误等漏洞也是操作系统较为突出的问题，如图8所示：

图8   2022年操作系统漏洞种类占比图

3.3 重点漏洞回顾

表（2） 2022年操作系统重点漏洞

经典漏洞盘点：

• Microsoft Windows HTTP 协议栈远程代码执行漏洞(CVE-2022-21907)

Windows HTTP协议栈（HTTP.sys）是Windows操作系统中处理HTTP请求的内核驱动程序，常见于Web浏览器与Web服务器之间的通信，以及Internet Information Services (IIS)中，HTTP Protocol Stack 是全球使用广泛的系统组件。2022年1月12日，微软（Microsoft）发布了1月例行安全更新，修复了97个安全漏洞，其中包括一个HTTP协议栈远程代码执行漏洞，漏洞CVE编号为CVE-2022-21907，CVSS评分为9.8。该漏洞被微软提示为“可蠕虫化”，无需用户交互便可通过网络进行自我传播。该漏洞是由于HTTP协议栈(http.sys)中的HTTP Trailer Support功能中存在边界错误问题，未经过身份验证的恶意攻击者可以使用 HTTP 协议栈将特制的数据包发送到目标服务器，在服务器处理数据时触发缓冲区溢出漏洞，从而能够在目标服务器上执行任意代码甚至可能造成蠕虫攻击。

• Microsoft Remote Procedure Call Runtime远程代码执行漏洞(CVE-2022-26809)

Microsoft Windows Remote Procedure Call Runtime是美国微软（Microsoft）公司的一种用于创建分布式客户端/服务器程序的技术。RPC是一种通信机制，允许一个程序向网络（互联网和/或内部网络）上的另一个程序请求服务或功能。2022年4月13日Microsoft发布了四月安全更新补丁，修复了Microsoft中多个漏洞，其中，编号为CVE-2022-26809的Remote Procedure Call Runtime远程代码执行漏洞需特别关注，该漏洞无需身份认证和用户交互，攻击者通过构造特殊的RPC请求即可触发该漏洞，实现远程代码执行的目的。Remote Procedure Call可能会成为蠕虫级漏洞，445端口且运行了Windows RPC未安装补丁的Windows服务器都容易受到攻击。

• Microsoft Exchange远程代码执行漏洞 (CVE-2022-41040/ CVE-2022-41082)

Microsoft Exchange Server是微软公司的一套电子邮件服务组件。Exchange Server可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。2022年11月9日Microsoft发布了十一月安全更新补丁，其中修复了两个位于Exchange中的0day漏洞，编号为CVE-2022-41040和CVE-2022-41082，被统称为“ProxyNotShell”且已遭在野利用。攻击者可利用ProxyNotShell在存在漏洞的Exchange系统上运行PowerShell并执行任意代码。这两个漏洞于2022年9月首次被披露，据称被黑客利用了数月。微软证实，黑客们利用ProxyNotShell漏洞，在被攻击的Exchange服务器上部署webshell实现持久化和数据盗窃，并横向移动到受害者网络上的其他系统。

• Microsoft Exchange Server OWASSRF漏洞(CVE-2022-41080/ CVE-2022-41082)

Microsoft Exchange Server是微软公司的一套电子邮件服务组件。Exchange server可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。2022年12月27日，监测发现国外安全团队CrowdStrike公开了一种绕过Exchange Server ProxyNotShell缓解措施的新攻击方法，并将其命名为"OWASSRF"。其中涉及两个漏洞：经过身份认证的远程攻击者可利用Microsoft Exchange Server权限提升漏洞(CVE-2022-41080)在Outlook Web Application (OWA)端点获得在系统上下文中执行PowerShell的权限，获得执行PowerShell权限后可利用Microsoft Exchange Server远程代码执行漏洞(CVE-2022-41082)在受害主机上执行任意代码。组合这两个漏洞，经过身份认证的远程攻击者可通过Outlook Web Application (OWA)端点，最终执行任意代码。以上利用链可绕过微软官方为"ProxyNotShell"所提供的缓解措施。

3.4 攻击态势分析

1. 移动端零日漏洞增多，威胁个人隐私及数据安全

      移动终端作为互联网的重要入口之一，其安全问题会直接威胁个人隐私及数据安全。移动终端安全漏洞一直受黑客关注，尤其是系统层面的高价值漏洞。2022年操作系统漏洞，移动终端操作系统占比46.5%，如图9所示，Android系统漏洞超过Windows系统漏洞，排名第一。苹果、Android作为移动终端的两大主流操作系统，在2022年均曝露出0day漏洞及在野利用情况。例如苹果内核漏洞CVE-2022-32894、CVE-2022-32917、CVE-2022-42827，攻击者可能通过恶意应用程序获取内核权限并执行任意代码，这几个漏洞都被在野利用，甚至被武器化。2022年移动终端操作系统漏洞占比43.5%，Android操作系统漏洞超过Windows，成为漏洞最多的操作系统。

图9   2022年操作系统漏洞按系统分类占比图

2. 利用操作系统本身的脚本解释器实施恶意攻击行为逐渐流行

      操作系统内核及服务端软件的相关漏洞在扫描探测、漏洞利用、网络钓鱼等各攻击阶段均占据了极大比例。随着企业终端防护措施的加强，攻击者也在提升攻击技术，如结合防御规避技术与执行技术，实现高效的端点防护绕过，这也将是未来攻击技术演进的一个重要方向。据最新报告统计，大多数执行技术是利用本机命令和脚本解释器，其中主要是由于滥用Windows Management Instrumentation(WMI)导致，如通过PowerShell、Windows Script Host和Windows快捷方式文件来执行命令、脚本或二进制文件，从而尽量避免落地执行，躲避主流杀毒软件的检测，成为攻击者惯用的手段。

3. AD域和Exchange漏洞倍受勒索组织青睐

      勒索组织越来越多地选择滥用AD域和Exchange漏洞，以实现横向移动、特权提升、获取管理访问权限，最终实现文件加密和敏感数据的窃取的目的，如LockBit、BlackMatter、Conti、BumbleBee、Quantum等勒索团伙都对AD域表现出极高程度的利用偏向。2022年2月，勒索软件Cub利用Exchange漏洞进入企业网络并对设备进行加密。在2022年5月更新中，微软修复了AD的一个重要漏洞，即Active Directory域服务权限提升漏洞（CVE-2022-26923），攻击者可利用该漏洞在内网进行横向移动。2022年12月，勒索软件Play利用“OWASSRF”的漏洞利用链，由CVE-2022-41080和CVE-2022-41082组成的新漏洞利用方法，通过Outlook Web Access（OWA），来攻击微软Exchange服务器，以实现远程代码执行。

4、网络设备漏洞

4.1 新增漏洞趋势

      路由器、防火墙、交换机等设备作为关键信息基础设施，其自身安全性已成为世界各国密切关注的重点。网络设备存在软硬件漏洞可能导致设备被攻击入侵，进而导致设备数据和用户信息泄露、设备被控、感染僵尸木马程序、被用作跳板攻击内网主机和其他信息基础设施等安全风险和问题。2022年新华三漏洞知识库共收录网络设备类漏洞2650条，较2021年（2665条）基本持平，对比2021年和2022年每月网络设备类漏洞变化趋势如图10所示：

图10   2021与2022年网络设备新增漏洞趋势

4.2 漏洞分类

      随着各类新兴技术的发展，企业IT系统之间的相互连接使用了更多的网络设备，为网络物理系统安全带来了更多的风险，使得暴露在攻击者眼中的攻击面大幅增加。随着网络设备自身安全性得到越来越多的重视，在2021年排名第一的弱口令漏洞在2022年大幅减少，缓冲区溢出跃居第一位，占比31.2%。其次注入、权限许可和访问控制问题占比较大，分别为24.5%和16.1%，如图11所示：

图11   2022年网络设备漏洞类型占比图

4.3 重点漏洞回顾

表（3）    2022年网络设备重点漏洞

经典漏洞盘点：

• Cisco Small Business授权绕过漏洞(CVE-2022-20705)

Cisco Small Business是美国思科（Cisco）公司的一个交换机。Cisco Small Business RV 系列路由器存在缓冲区溢出错误漏洞，该漏洞是由于会话标识符生成函数使用了弱熵造成的。攻击者可以通过使用暴力破解来确定当前会话标识符，然后重新使用该标识符来接管正在进行的会话，或者通过制作新的有效会话标识符来绕过整个身份验证机制从而利用此漏洞。成功利用该漏洞能够允许攻击者在Web UI中以最高管理员级别的权限采取行动，并利用此通报中描述的其他漏洞发动进一步攻击。

• TP-LINK TL-WR840N 命令注入漏洞(CVE-2022-25060)

Tp-link TL-WR840N是中国普联（Tp-link）公司的一款无线路由器。TP-LINK TL-WR840N(ES) V6.20 180709版本存在安全漏洞，该漏洞源于组件oal_startPing缺少对于命令参数的过滤和转义，恶意攻击者通过发送带有特殊闭合符号的数据将原本的正常请求闭合，从而插入恶意命令并执行。

• F5 BIG-IP iControl REST未授权远程代码执行漏洞(CVE-2022-1388)

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。iControl REST是iControl框架的演变，使用REpresentational State Transfer (REST)能够让用户或脚本与 F5 设备之间进行轻量级、快速的交互。漏洞存在于iControl REST组件中，该漏洞允许未经身份验证的攻击者通过管理端口或自身IP地址对BIG-IP系统进行网络访问，从而执行任意系统命令、创建或删除文件以及禁用BIG-IP上的服务。由于F5 BIG-IP常用于企业级网络中，攻击者借此可以入侵企业网络，进行横向移动、深度渗透等危害行为。该漏洞POC及在野利用于2022年5月10日公开，美国CISA于5月18日专门针对此漏洞发布安全公告，对该漏洞风险进行告警。

• Fortinet FortiOS认证绕过漏洞(CVE-2022-40684)

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。在受影响的FortiOS、FortiProxy和FortiSwitchManager产品的管理界面中，恶意攻击者可以通过使用备用路径或通道绕过身份验证，并在未经身份认证的情况下通过特制的HTTP或HTTPS请求以管理员身份在控制面板中执行任意操作。

4.4 攻击态势分析

1. 网络设备漏洞被黑客组织针对性利用，成为渗透内网的跳板

      网络设备作为连接各种网络的关键节点，被黑客组织攻破之后，可能作为跳板攻击内网主机和其他信息基础设施，对关键基础设施安全、生产安全以及公民个人信息造成严重危害。2022年3月，多个华硕路由器型号受到与俄罗斯相关的Cyclops Blink恶意软件威胁，导致供应商发布一份警告，以缓解安全风险。2022年6月，Black Lotus Labs发现了一种名为ZuoRAT的新型远程访问木马（RAT），它通过SOHO设备针对远程工作人员，其活动复杂性以及攻击者的策略、技术和程序（TTP）是国家支持的威胁行为者的标志。2022年6月底，乌克兰IT军队OneFist声称与Anonymous Collective一起合作入侵了俄罗斯联邦的LTE路由器，成功破坏了俄罗斯88个政府和附属网站的连接。2022年9月，《西北工业大学遭受境外网络攻击的调查报告》对外发布，报告披露国内相关网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等）被长期控制，高价值数据被窃取。网络设备漏洞受到越来越多有背景黑客组织的关注，甚至成为地缘政治冲突的武器。

2. 网络安全产品漏洞高发，自身安全性成为短板

      网络安全产品用来保护计算机、网络、软件应用程序、关键系统和数据免受入侵或威胁，如果网络安全产品自身存在漏洞，被攻击者利用，成为攻击其他基础设施的跳板，则无法起到保护网络的作用。2017年至2022年网络安全产品漏洞趋势如图12所示，总体呈上涨趋势。2022年，多款网络安全设备被曝出严重安全漏洞，既有防火墙、安全网关、入侵检测产品，又有防病毒、终端安全的防护产品，影响范围覆盖了从互联网到企业内网、从服务器到终端设备。这些漏洞的共同特点就是影响范围广、危害严重，在公开后即被攻击者分析利用。例如Fortinet FortiOS认证绕过漏洞(CVE-2022-40684)，已经被黑客大肆利用，研究人员发现多起勒索事件和该漏洞相关，黑客利用该漏洞进入目标网络，而后加密文件，进行勒索。

图12   2017-2022年网络安全产品漏洞趋势

5、数据库漏洞

5.1 新增漏洞趋势

      随着云技术、数字化转型的蓬勃发展，数据库被企事业单位广泛使用到私有云、公有云、行业云等开放、半开放场景中。本地的数据库也逐渐跟随业务从幕后走向前台，从内网走向外网，从实体走向虚拟（云）。正因如此，数据库处于新的环境之中，给黑客带来了更多可以入侵的机会。2022年新华三漏洞知识库收录数据库漏洞总数337条，相比2021年（285条）增长18.2%，对比2021年和2022年每月数据库漏洞变化趋势如图13所示：

图13   2021与2022年数据库系统新增漏洞趋势

5.2 漏洞分类

      MySQL数据库作为传统的关系型数据库，由于代码开源、版本众多，2022年漏洞数量仍然位居第一，占据总漏洞的46.3%，如图14所示。MariaDB是一个采用Maria存储引擎的MySQL分支版本，2022年暴露漏洞较多，占比16.1%，排名第二。

图14   2022年各数据库系统漏洞占比图

      从漏洞类型分布上来看，主要集中在拒绝服务、输入验证错误、权限许可和访问控制问题三种类型，占据全部漏洞类型的53.7%，如图15所示。注入漏洞、缓冲区溢出漏洞相比2021年增幅较大，对于数据库，黑客正在积极挖掘可以直接远程利用的漏洞类型，使攻击成果最大化。

图15   2022年数据库漏洞类型占比图

5.3 重点漏洞回顾

表（4）   2022年数据库漏洞

经典漏洞盘点：

• Oracle MySQL堆栈缓冲区溢出漏洞(CVE-2022-21280)

Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。MySQL Server存在输入验证错误漏洞，该漏洞的存在是由于 MySQL Server中的component: Cluster: General组件中的输入验证不正确。远程认证用户可以利用此漏洞破坏或删除数据。该漏洞允许远程认证用户接管MySQL集群进而破坏或删除数据。

• Redis Lua沙盒绕过命令执行漏洞(CVE-2022-0543)

Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值（Key-Value）存储数据库，并提供多种语言的API。Redis嵌入了Lua编程语言作为其脚本引擎，可通过eval命令使用，Lua引擎是沙盒化的，即客户端可以与Lua中的Redis API交互。Debian、Ubuntu发行版的源在打包Redis时，在Lua沙箱中遗留了一个对象package，攻击者可利用这个对象提供的方法加载动态链接库liblua中的函数，进而达到逃逸沙箱执行任意命令的目的。

• Apache CouchDB 远程代码执行漏洞通告(CVE-2022-24706)

Apache CouchDB是美国阿帕奇（Apache）基金会的使用Erlang开发的一套面向文档的数据库系统。Apache CouchDB 3.2.2之前版本存在访问控制错误漏洞，未授权的远程攻击者可以通过访问特定端口，绕过权限验证并获得管理员权限，最终接管服务器。

• PostgreSQL JDBC Driver SQL注入漏洞(CVE-2022-31197)

PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统（ORDBMS），是以加州大学计算机系开发的POSTGRES。该系统支持大部分SQL标准并且提供了许多其他特性，例如外键、触发器、视图等。PostgreSQL JDBC Driver是一个用Pure Java（Type 4）编写的开源JDBC驱动程序，用于PostgreSQL 本地网络协议中进行通信。PostgreSQL JDBC Driver 42.2.x、42.3.x、42.4.x版本存在SQL注入漏洞，该漏洞源于包含语句终止符的恶意列名，攻击者利用该漏洞可以以应用程序的JDBC用户身份执行其他SQL命令。

• SQLite数组边界溢出漏洞(CVE-2022-35737)

SQLite是一个进程内的轻量级嵌入式数据库，它的数据库就是一个文件，实现了自给自足、无服务器、零配置的、事务性的SQL数据库引擎。当攻击者向SQLite的某些函数传递大量字符串输入且格式字符串包含%Q、%q或%w格式替换类型时，可能会造成缓冲区溢出，导致拒绝服务或任意代码执行。

5.4 攻击态势分析

1. 数据库自身漏洞频现，配置不当引发的漏洞居高不下

      近年来，数据隐私等敏感安全问题逐渐受到重视，数据库自身安全也引起关注。由于数据库本身漏洞频繁曝出，加上运维人员配置不当，导致数据库被攻破的风险加大。2022年1月，Website Planet网络安全人员发现一个配置错误的数据库，经详细分析后发现该数据库暴露了约82万条美国和加拿大民众的信息记录。企事业单位的数据库开发、维护人员安全意识不够强，对数据库配置时未充分考虑存在的攻击风险，导致恶意攻击者通过Web应用漏洞、网络钓鱼、投放恶意软件等方式拿下数据库，造成数据泄露，给企业带来重大损失。

2. 针对数据库的勒索软件攻击持续增长

      2022年针对数据库的勒索攻击持续增长，与传统的恶意软件在文件系统层面加密文件不同，数据库勒索软件能够在数据库内部加密数据。2022年5月，因为Elasticsearch数据库安全防护薄弱的缘故，导致其被黑客盯上，并被黑客用勒索信替换了其数据库的450个索引，如需恢复则需要每个索引支付赎金620美元，而总赎金加起来则达到了279,000美元。这意味着企业在及时发现数据库加密行为方面将面临严峻挑战，积极主动地保护数据将更加至关重要。

6、工控系统漏洞

6.1 新增漏洞趋势

      随着云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合，工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。在工业企业获得巨大发展动能的同时，也出现了大量安全隐患，针对工业控制系统的各种网络攻击事件逐步升级，尤其在电力、燃气、化工、石油、铁路、新能源、核应用等相关领域的关键网络一直都是全球攻击者的重要目标。2022年新华三漏洞知识库收录的工控漏洞总数为663条，总数比2021年（732条）下降10.4%，对比2021年和2022年每月工控系统漏洞变化趋势如图16所示：

图16    2021与2022年工控系统新增漏洞趋势

6.2 漏洞分类

      不同于传统的生产安全，工控系统网络安全要防范和抵御攻击者通过攻击行为制造的生产事故、系统损害或人员伤亡。工业设备的高危漏洞、后门、病毒、高级持续性威胁以及无线技术应用带来的风险，给工业控制系统的安全防护带来巨大挑战。根据统计，2022年缓冲区溢出、权限许可和访问控制问题、注入等是工控系统最为突出的问题，如图17所示：

图17  2022年工控系统漏洞种类占比图

6.3 重点漏洞回顾

表（5）   2022年工控系统重点漏洞

经典漏洞盘点：

• Delta Industrial Automation DIAEnergie SQL注入漏洞(CVE-2022-1367)

Delta Electronics DIAEnergie是一个工业能源管理系统，用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。Delta Electronics DIAEnergie存在SQL注入漏洞，该漏洞源于Handler_TCV.ashx存在SQL盲注注入点。攻击者利用该漏洞可以实现SQL查询、检索和修改数据库以及执行系统命令。

• Contec SolarView Compact操作系统命令注入漏洞(CVE-2022-29303)

Contec SolarView Compact是日本Contec公司的一个提供光伏发电测量的应用系统。Contec SolarView Compact 6.00 版本存在命令注入漏洞，该漏洞源于SolarView Compact中的conf_mail.php模块存在命令注入点，攻击者可利用该漏洞注入恶意命令。

• Advantech iView 命令注入漏洞(CVE-2022-2143)

Advantech iView是中国Advantech公司的一个基于简单网络协议（SNMP）来对B+B SmartWorx设备进行管理的软件。Advantech iView 5_7_04_64692之前版本存在命令注入漏洞，该漏洞源于命令中使用的特殊元素的不当校验，攻击者利用该漏洞可以远程执行任意代码。

6.4 攻击态势分析

1. 工控攻击事件层出不穷，勒索仍为主要攻击手段

      针对工业系统的攻击会破坏工业系统的正常运行，造成停产、停电等大规模的破坏性，不同于IT网络攻击，其破坏性更强，影响更大。在2022年全球重大工控安全攻击事件中，勒索攻击成为黑客组织主要攻击手段，用以索要赎金或达成某种政治目的，赎金动辄高达数千万美金，企业受损严重。2022年5月下旬，电子制造巨头富士康位于蒂华纳（墨西哥）的生产工厂遭受勒索软件攻击，被要求支付3400万美元的赎金；2022年9月，Bleeping Computer网站披露，黑山政府关键基础设施遭到了勒索软件攻击，黑客索要1000万美元巨款。勒索攻击不止带来赎金的经济损失，还使工厂公司面临停产停工，牵一发而动全身，造成其他损失。德国主要石油储存公司Oiltanking GmbH Group遭到网络攻击导致欧洲西北部地区馏分柴油价格上涨；西雅图的物流和货运代理公司Expeditors International遭到勒索软件攻击，迫使其关闭全球大部分业务，损失巨大。可见，工控系统一旦遭受攻击，影响面巨大，对国家安全、经济发展和社会稳定等造成严重影响。

2. 工控网络安全风险随着全球地缘政治冲突不断升级

      在2022年的全球工控网络攻击事件中，从俄罗斯石油公司遭受网络攻击、乌克兰能源公司遭受恶意软件攻击，到伊朗最大的钢铁生产商遭遇网络攻击、欧洲天然气管道遭遇勒索攻击等，均表示出了很明显的针对性与政治倾向，这也预示着未来工控网络安全风险将随着全球地缘政治冲突不断演化升级。2022年7月，美国发布的《2024财年网络安全预算备忘录》强调优先为关键基础设施安全相关技术的项目审查和评估提供资金，以应对网络安全威胁。2022年11月7日，我国关键信息基础设施安全保护要求国家标准（GB/T 39204-2022）发布，这是我国第一项关键信息基础设施安全保护的国家标准，同样表示了我国对关键信息基础设施保护的重视。工控系统是国家关键信息基础设施的重要组成部分，同时也是关键基础设施网络攻击的重点目标。

7、云计算平台漏洞

7.1 新增漏洞趋势

      随着5G、物联网、区块链等技术的迭代优化，边缘侧业务场景不断丰富，企业对算法处理能力、算法处理时效等需求不断增加，推动了传统相对独立的虚拟计算资源、边缘计算资源在部署架构上不断融合。随着云网边端一体化的发展，云计算的计算能力不断提高，应用场景更加广泛，同时攻击暴露面也随之增加。2022年新华三漏洞知识库收录云计算平台漏洞1353条，比2021年（总数1495条）稍有下降，近2年漏洞增长趋势如图18所示：

图18   2021与2022年云计算平台新增漏洞趋势

7.2 漏洞分类

      云计算安全是云时代企业数字化转型面临的最大挑战之一。根据2022年数据统计，云计算漏洞类型主要分布在权限许可和访问控制问题、信息泄露、输入验证错误等，如图19所示。身份验证、权限控制、凭证管理、密钥管理等不足是云计算最主要的安全隐患。

图19  2022年云计算平台漏洞类型占比图

7.3 重点漏洞回顾

表（6）  2022年云计算平台重点漏洞

经典漏洞盘点：

• Spring Cloud Gateway Actuator API表达式注入命令漏洞(CVE-2022-22947)

Spring Cloud Gateway是Spring Cloud的一个全新项目，该项目是基于Spring Framework和Spring Boot 构建的API网关，它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。CVE-2022-22947漏洞为当Spring Cloud Gateway启用和暴露不安全的Gateway Actuator 端点时，使用 Spring Cloud Gateway的应用程序可受到代码注入攻击。攻击者可以构造恶意请求对目标主机进行任意远程代码执行。由于API网关在云平台微服务架构中承担着守卫微服务应用入口的重要作用，其出现安全问题将使微服务曝露于风险之中。2022年4月，研究人员在对EnemyBot僵尸网络恶意样本进行分析时发现，该僵尸网络集成了此漏洞进行网络攻击。此外，还发现了Sysrv-hello挖矿僵尸网络利用此漏洞攻击用户服务器进行恶意挖矿，严重影响了正常用户活动。

• VMware Workspace多个高危漏洞(CVE-2022-22954/ CVE-2022-22957)

VMware软件原生集成计算、网络和存储虚拟化技术及自动化和管理功能，支持企业革新其基础架构、自动化IT服务的交付和管理及运行新式云原生应用和基于微服务应用。2022年4月，VMware官方发布了编号为VMSA-2022-0011和VMSA-2022-0012的漏洞风险通告，包含多个高危漏洞，受影响产品为VMware Workspace ONE Access、Identity Manager、vRealize Automation以及适用于 Linux 的 VMware Horizo​​n Client等。

CVE-2022-22954：VMware Workspace ONE Access Freemarker服务器端模板注入漏洞，由于VMware Workspace ONE Access 未能正确过滤用户发送的请求，恶意攻击者通过构造特殊的GET请求参数，使得服务器在实例化“AuthContext”对象时错误地将恶意命令传入“errorObj”变量中，导致恶意攻击者可以远程利用该漏洞在服务器上执行任意命令。

CVE-2022-22957：VMware Workspace ONE Access JDBC远程代码执行漏洞，VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中存在两个远程代码执行漏洞，具有管理员权限的恶意攻击者，可以通过发送恶意的 JDBC URI 触发不可信数据的反序列化，从而能在目标服务器上执行任意代码。

• Apache Spark Shell命令注入漏洞(CVE-2022-33891)

Apache Spark是美国阿帕奇（Apache）软件基金会的维护的一款支持非循环数据流和内存计算的大规模数据处理引擎。Spark优点在于能更好地适用于数据挖掘与机器学习等需要迭代的MapReduce算法。Apache Spark UI提供了通过配置选项Spark.acl.enable启用acl的可能性。使用身份验证过滤器，这将检查用户是否具有查看或修改应用程序的访问权限。如果启用了acl，HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。 恶意用户可能能够访问权限检查功能，该功能最终将根据他们的输入构建一个Unix shell命令并执行它，这将导致任意shell命令执行。

7.4 攻击态势分析

1. 针对云基础设施的挖矿攻击呈上升趋势

      疫情期间企业大量投资云端资源，新服务的部署导致云端设施增加，云端高扩展性这点吸引了众多黑客，越来越多的黑客组织投入云端挖矿行列，抢夺云端资源。目前云端挖矿的黑客组织主要包括Outlaw、TeamTNT、Kinsing、8220、Kek Security等。这些组织一般利用云端目标系统漏洞或组件漏洞及弱口令进行攻击，但不同黑客组织使用的攻击手段存在一些差异。如Outlaw偏好利用漏洞或暴力破解SSH入侵IoT装置及Linux云端服务器，之后植入IRC bot以远端控制。TeamTNT首选通过漏洞进入云端主机以窃取其他服务的密码，再横向移动到新的主机。Kek Security则利用IoT恶意程序建立僵尸网路传播挖矿软件及发动DDoS攻击，主要锁定Windows主机。

2. 配置错误仍然是云平台的主要威胁

      在大多数云平台环境中都可以找到公开访问的S3存储桶和Azure blob存储资产，这是一种高度可利用的错误配置，也是许多数据泄露的原因。身份管理、访问权限、安全配置、数据保护等方面的复杂性不断导致云平台的安全风险难以管控，最终导致数据泄露。2022年2月，跨国公司Securitas由于错误配置的Amazon S3存储桶导致3TB的机场数据（超过150万个文件）无需身份验证即可公开访问。2022年10月，微软承认由于公有云服务器端点配置错误，可能导致未经身份认证的访问行为，继而泄漏微软和客户之间的某些业务交易数据以及客户的个人信息，SOCRadar表示，该事件暴露了覆盖123个国家/地区超过15万家公司的信息。根据Red Hat对300多名DevOps、工程和安全专业人员的调查显示，53%的受访者检测到他们的容器或Kubernetes部署中存在错误配置，配置错误仍是云平台的主要威胁。

8、总结与建议

8.1 总结

      2022年，全球重大网络安全事件频发，供应链攻击、勒索软件攻击、业务欺诈、关键基础设施攻击、大规模数据泄露、地缘政治相关黑客攻击等网络犯罪威胁持续上升。同时，随着网络攻击的敏捷化和产业化，网络攻击成本在不断降低，攻击方式也更加先进，网络安全形势日趋严峻。

      Web类超高危漏洞数量持续攀升，利用难度低危害大的漏洞进行攻击仍是热点，其中开源组件漏洞波及范围广，容易造成危害较大的供应链安全危机，协同办公软件漏洞随着远程办公的流行对企业运行造成较大影响；操作系统及服务端漏洞使攻击者可以获得较高控制权限，AD域和Exchange漏洞受到勒索组织青睐，用来进行横向移动、权限提升进而达到加密文件及窃取数据的目的，而移动终端系统漏洞依然高发，多个在野0day被发现，威胁个人隐私及数据安全；网络边界设备漏洞被有组织的黑客武器化，成为攻击内网及其他基础设施的跳板；工控系统安全由于影响重大，不仅是勒索组织的头号目标，也随着全球地缘政治冲突在不断升级；云计算相关组件及引擎、虚拟化软件等均爆出多个关键漏洞，且相关漏洞利用代码被广泛传播，在多起网络安全事件中发现漏洞被利用，严重危害了相关云平台的安全。

      从攻击手段上看，黑客攻击已呈现出自动化、智能化的特点。通过借助自动化工具，漏洞利用攻击将不再是高级黑客组织的专属，而开始向低成本、高效率的趋势发展，网络罪犯可以在短时间内，以更高效、更隐蔽的方式对大量不同网站进行漏洞扫描和探测。机器学习和人工智能等最新技术被应用于黑客攻击，网络犯罪分子将有能力发起更具针对性、杀伤力更强的网络攻击、心理攻击甚至物理攻击，给个人、企业、行业、社会造成严重威胁。在这一趋势下，企事业单位需要认真考虑网络综合性安全防护方案及数据治理方案，部署正确的安全措施和策略，以保护其环境和系统能够应对不断提高的攻击技术及不断增大的网络攻击面。

8.2 安全建议

      在漏洞态势不断发生变化的大环境中，新华三秉承“主动安全”的核心理念，从漏洞的视角针对目前的安全建设提出建议，如及时安装系统和软件的更新补丁，隔离办公网和生产环境，主机进行集成化管理，配置防护系统实时对攻击进行阻断，禁止外部IP访问特殊端口（如139、445、3389端口），采用最小化端口与服务暴露原则等。具体细分领域的建议如下：

1. Web应用安全建议

      Web类应用系统的应用软件需要具备一定的安全功能，来保证系统本身不被攻击或破坏。能够通过某种形式的身份验证来识别用户，并确保身份验证过程是安全的。为了防止一些恶意输入，还要对输入的数据和参数进行校验。另外还要考虑Web系统的安全配置、敏感数据的保护、用户的权限管理以及所有操作的安全审计。因此Web应用系统本身安全建议如下：

• 身份验证：管理页面采取强口令策略。系统登录验证口令具备一定的复杂度。网页上的登录、认证表单加入强身份认证机制，如验证码、动态口令卡等。对于常见的敏感帐号，如：root、admin、administrator等，在系统安装完成之后修改为其它名称或者禁用。
• 会话管理：会话过程中不允许修改的信息，作为会话状态的一部分在服务器端存储和维护。不通过隐藏域或URL重写等不安全的方式存储和维护。不使用客户端提交的未经审核的信息来给会话信息赋值，防止会话信息被篡改。用户登录后分配新的会话标识，不能继续使用用户未登录前所使用的标识。
• 权限管理：用户权限最小化和职责分离。一个帐号只能拥有必需的角色和必需的权限。授权和用户角色数据存放在服务器端，鉴权处理也在服务器端完成。不将授权和角色数据存放在客户端中（比如Cookie或隐藏域中），以防止被篡改。拒绝用户访问Web服务器上不公开的内容，应对各种形式执行程序的访问进行控制。
• 敏感数据保护：敏感数据（比如密码、密钥等）加密存储、加密传输。隐藏域中不存放明文形式的敏感数据。采用安全的密码算法对敏感信息进行加密。
• 程序设计：不在程序中将密码、密钥等数据固化，不在代码中存储如数据库连接字符串、口令和密钥之类的敏感数据。
• 安全审计：对于业务运行异常、非法访问、非法篡改等异常行为应有完整的记录，包括事件的源IP、事件的类型、事件发生的动作、事件时间等。
• 代码安全：在开发过程中，注意代码安全，主要包括对SQL注入、用户输入脚本过滤、Cookie管理、信息泄露等常见威胁的预防。在代码注释信息中禁止包含数据库连接信息、SQL语句信息。
• 中间件安全：中间件版本、安全补丁及时更新，加强安全配置、安全加固，避免被黑客等利用攻击整个系统。
  

2. 操作系统安全建议

      操作系统是运行应用程序的物理环境，操作系统中的任何漏洞都可能危害应用程序的安全。通过保护操作系统安全，可以使环境稳定，控制资源的访问，以及控制环境的外部访问。

针对操作系统的安全策略和建议如下：

• 用户帐户策略：限制服务器计算机上的用户帐户数，减少不必要的和旧的用户帐户；确保仅一些可信用户具有对服务器计算机的管理访问权限，为运行应用程序的帐户分配所需的最低访问权限。
• 密码策略：开发和管理操作系统安全的密码策略，采用高强度密码规则。
• 文件系统策略：为用户授予所需目录的只读权限，缺省情况下，拒绝访问权限，除了被明确授予访问权限的用户，拒绝所有人对资源的访问。
• 网络服务策略：仅使用运行应用程序所需的服务，例如，可能不需要FTP、Rlogin或SSH服务；为网络服务用户减少访问权限的级别；确保具有Web服务器访问权限的用户帐户不可访问shell功能；确保未使用的服务没有运行，且它们没有在操作系统上自动启动；删除或注释掉未计划使用的端口，减少系统的可能入口点；保护系统免受与端口137、138和139相关联的NetBIOS威胁。
• 系统补丁策略：经常检查安全性更新，确保服务是最新的；为操作系统安装供应商建议的最新补丁。
• 操作系统最小化：除去不重要的应用程序来减少可能的系统漏洞。
• 记录和监控策略：记录安全性相关的事件，包括成功和失败的登录、注销和用户权限的更改；监视系统日志文件，通过限制对系统日志文件的访问权限，保护其安全；保护维护日志免受篡改；保护日志记录配置文件的安全。
• 定期备份系统资源。

3. 网络设备安全建议

      网络设备在网络中处于重要位置，网络安全产品属于企业边界防护的关键设施，当其产品出现漏洞时，将会对企业造成非常严重的安全威胁。

对于企业用户安全建议：

• 在购置设备前应对产品进行安全测试。
• 在部署时应严格设置设备的访问控制权限，避免当设备沦陷时攻击者获得较高权限访问敏感网段。
• 在设备运行时做好访问权限控制（如IP限制等），关闭不需要的服务。
• 在运营设备时应同样对设备进行日志记录和审计。
• 当漏洞出现时，及时联系厂商进行设备的更新及售后。

对于厂商安全建议：

• 在产品发布前应对产品进行严格的安全测试。
• 及时关注最新的安全技术，及时修补产品中存在漏洞的第三方库等外部依赖。

4. 数据库安全建议

数据库软件漏洞属于产品自身的缺陷，由数据库厂商对其修复，通常以产品补丁的形式出现。针对数据库漏洞攻击的数据库加固方式可以采用购买第三方产品，安全建议如下：

• 采取用户权限最小化原则，配置数据库帐号时，满足应用系统使用的最小权限的账号，任何额外的权限都可能是潜在的攻击点。
• 定期安装数据库厂商提供的漏洞补丁，即使由于各种原因无法及时打补丁，通过虚拟补丁等技术暂时或永久加固数据库。
• 对数据库进行安全配置，数据库默认安装下并不会开启所有安全配置，在充分考虑对应用的影响后，尽可能开启数据库自身提供的安全设置将会极大降低被不法分子攻击的成功率。
• 采取数据库功能最小化原则，对于用户来说，大部分数据库功能组件根本不会使用。在综合应用和运维后，划定一个使用组件的最小范围。删除数据库中不用的组件，减少数据库组件可以有效地减少用户面对的风险面。
• 配置高强度密码，杜绝弱口令或默认口令。

5. 工控系统安全建议

一般现代工业控制系统多由以下几个关键部分组成：人机界面HMI，远程终端单元RTU，综合监管系统和可编程逻辑控制器PLC。由上述部分组成的工业控制系统主要有以下几个风险点：病毒容易通过企业办公网感染综合监管系统，工控系统中多余的USB接口封闭不足，对远程维护通道未加严格限制，导致生产网直接暴露在互联网上。

因此，建议执行以下操作来加强工控系统运行安全：

• 分离工业控制系统的开发、测试和生产环境。
• 通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接。严格限制工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。
• 通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护，在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。
• 拆除或封闭工业主机上不必要的USB、光驱、无线等接口，若确需使用，通过主机外设安全管理技术手段实施严格访问控制。
• 在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理，对于关键设备、系统和平台的访问采用多因素认证。
• 合理分类设置账户权限，以最小特权原则分配账户权限。
• 强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码，避免使用默认口令或弱口令，定期更新口令。
• 对远程访问采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略，远程维护采用虚拟专用网络（VPN）等远程接入方式进行。
• 在工业控制网络部署网络安全监测设备，及时发现处理网络攻击或异常行为，在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。
• 保留工业控制系统的相关访问日志，并对操作过程进行安全审计。

6. 云计算安全建议

     云计算基于虚拟化和分布式计算技术，云计算服务已经不单单是一种分布式计算，而是分布式计算、效用计算、负载均衡、并行计算、网络存储、热备份冗杂和虚拟化等计算机技术混合演进并跃升的结果。云计算技术正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式，与此同时，它也引发了一系列新的安全威胁和挑战。云计算安全包括操作系统安全、数据安全、应用安全、网络控制安全等，对其安全建议如下：

云服务提供侧：

对于云服务商，需要构建安全稳定的基础设施平台，并且面向应用从构建、部署到运行时刻的全生命周期构建对应的安全防护手段：

• 云平台基础设施层的安全：基础设施主要包括支撑云服务的物理环境，以及运维运营包括计算、存储、网络、数据库、平台、应用、身份管理和高级安全服务等各项云服务的系统设施。云平台基础设施层是保障业务应用正常运行的关键，云服务商需要确保各项云技术的安全开发、配置和部署安全。
• 云服务的自身安全配置和版本维护：建立版本更新和漏洞应急响应机制，虚机OS的版本更新和漏洞补丁的安装能力也是保证基础设施安全的基本防护措施，除此之外如K8s等容器相关开源社区的风险漏洞，都可能成为恶意攻击者首选的攻击路径，需要厂商提供漏洞的分级响应机制并提供必要的版本升级能力。
• 平台的安全合规性：云服务商需要基于业界通用的安全合规标准，保证服务组件配置的默认安全性，同时面向平台用户和安全审计人员，提供完备的审计机制。
• 业务应用侧提供纵深防御能力：云服务商提供适合云场景下应用的安全防护手段，帮助终端用户在应用生命周期各阶段都能有对应的安全治理方案。

企业安全侧：

对于企业的安全管理和运维人员来说，首先需要理解云上安全的责任共担模型边界，究竟企业自身需要承担起哪些安全责任。对于企业安全管理人员来说可以参考关注如下方向加固企业应用生命周期中的生产安全：

• 应用制品的供应链安全：对于企业来说制品供应链环节的安全性是企业应用生产安全的源头，一方面需要在应用构建阶段保证制品的安全性；另一方面需要在制品入库，分发和部署时刻建立对应的访问控制，安全扫描、审计和准入校验机制，保证制品源头的安全性。
• 权限配置和凭证下发遵循权限最小化原则：对于企业安全管理人员来说，需要利用云服务商提供的访问控制能力，结合企业内部的权限账号体系，严格遵循权限最小化原则配置对云上资源的访问控制策略；另外严格控制资源访问凭证的下发，对于可能造成越权攻击行为的已下发凭证要及时吊销。
• 关注应用数据和应用运行时刻安全：除了配置完备的资源请求审计外，安全管理运维人员还需要保持对应用运行时安全的关注，及时发现安全攻击事件和可能的安全隐患。
• 及时修复安全漏洞和进行版本更新：无论是虚机系统，容器镜像或是平台自身的安全漏洞，都有可能被恶意攻击者利用成为入侵应用内部的跳板，企业安全管理运维人员需要根据云服务商推荐的指导方案进行安全漏洞的修复和版本更新。

9、结语

      2022年，网络空间与现实地缘政治融汇交织，网络空间对抗趋势更加突出，新技术的发展为犯罪分子提供新的攻击载体，网络攻击成本不断降低，攻击方式更加多样，各犯罪领域之间呈现出相互融合、相互支撑的发展态势。网络攻击事件持续影响网络空间安全、社会安全，甚至国家安全。在此形势下，各国对网络空间安全越来越重视，关基保护、数据安全、平台治理以及相关技术规范逐步落地。面对日益增长的网络空间安全威胁，新华三会秉承“主动安全”的核心理念，持续引入新兴技术研究成果，加强威胁漏洞情报积累，形成更加及时、精准有效、覆盖全面的网络空间安全态势感知体系，提升网络安全防护水平。

完整报告下载链接：https://www.h3c.com/cn/d_202303/1796824_30003_0.htm