2023漏洞威胁分析报告.pdf

《2023漏洞威胁分析报告.pdf》由会员分享，可在线阅读，更多相关《2023漏洞威胁分析报告.pdf（56页珍藏版）》请在咨信网上搜索。

1、2023漏洞威胁分析报告2023 VULNERABILITY THREATANALYSIS REPORT千里目-深瞳漏洞实验室引言漏洞危害程度趋向高危化，未修补的漏洞依然是黑客利用的最主要攻击载体。在国家级漏洞库披露的漏洞中，高危和超危漏洞占比超过 50%，根据已知被利用漏洞（KEV）目录收录标准及近 10 年已知被漏洞利用情况分析总结，95%以上被利用漏洞是 2023 年以前漏洞。2023 年 0day 漏洞利用数量明显攀升，网络安全形势日益严峻。从 2014 年到 2023 年，在野利用的 0day 数量整体呈上升趋势，近三年在野利用的 0day 漏洞数量占比为近十年在野利用的 0day

2、数量的 50%。热门漏洞逐渐趋向围绕开源软件漏洞。2023 年较为热门的漏洞多数为 Apache 开源软件，高危的开源软件漏洞危害大，且造成的影响范围更广，更易受到业内的关注。本次报告将介绍 2023 年的整体漏洞态势，并从 0day 漏洞、开源软件漏洞、漏洞治理等三个方向展开谈一谈漏洞未来的演变趋势。本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深瞳漏洞实验室，目的仅为帮助客户及时了解中国或其他地区漏洞威胁的最新动态和发展，仅供参考。本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此

3、构成提供任何专业建议或服务。目录引言一、安全漏洞态势安全漏洞治理情况国际安全漏洞治理动向我国在安全漏洞管理方面的发展现状概述安全漏洞总体情况漏洞公开披露情况漏洞利用情况年度热点漏洞分析Atlassian Confluence 权限提升漏洞(CVE-2023-22515)Oracle WebLogic Server 远程代码执行漏洞（CVE-2023-21931）Apache ActiveMQ 远程命令执行漏洞(CVE-2023-46604)Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)Apache Struts2 文件上传漏洞安全漏洞态势小结二、0day漏洞趋势分析

4、0day漏洞态势分析0day漏洞概况0day勒索利用0day在野利用周期0day变体与Nday利用攻防场景下的0day漏洞趋势攻防场景0day漏洞概况攻防场景漏洞攻击手法01010102030305070710131518222323232426262727280day猎捕案例某帆报表反序列化漏洞某安防平台文件上传漏洞某户OA远程代码执行漏洞0day漏洞趋势小结三、开源软件安全趋势分析开源软件安全漏洞趋势开源软件安全风险开源软件漏洞案例Apache ActiveMQ 远程命令执行漏洞(CVE-2023-46604)Apache Struts2远程代码执行漏洞（CVE-2023-50164）li

5、bcurl Socks5堆缓冲区溢出漏洞(CVE-2023-38545)HTTP/2协议拒绝服务漏洞(CVE-2023-44487)开源软件漏洞趋势小结四、深信服漏洞防护解决方案0day漏洞检测与防护虚拟补丁(HIPS)防御漏洞修复优先级&知识图谱传统漏洞评估的现状先进合理的优先级技术未来趋势五、参考链接29293233363737394040414143444545474848485051安全漏洞态势（1）美国相关政策强化漏洞共享与治理能力：美国始终将“协调”与“共享”作为其网络安全战略的核心。2021 年 5 月，拜登政府颁布了旨在打破政府与私营部门间信息壁垒的改善国家网络安全的行政命令。

6、美国网络安全与基础设施安全局（CISA）致力于推动漏洞管理的协同工作，通过实施协同漏洞披露（CVD）、漏洞披露策略（VDP）以及发布约束性操作指令（BOD），加强了联邦政府与私营部门之间的合作，确保了对关键基础设施的安全威胁能够及时被发现和有效控制。这些措施显著提高了漏洞资源的共享和共治能力，从而增强了美国在国家层面上的网络安全漏洞管理能力。（2）CISA 发布新战略计划，聚焦关键基础设施脆弱性:2022 年 9 月，CISA 推出了“2023-2025 年战略计划”，这是自 2018 年成立以来的首个全面战略规划。该计划强调了识别对国家安全至关重要的系统和资产的重要性，以及发现并管理关键信息

7、基础设施的脆弱性。其首要任务是构建国家层面的网络攻击防御和恢复能力。CISA 将与全球伙伴合作，共同构建国家级的威胁防御体系，以增强对国家级威胁的防御能力。（3）CISA 颁布指令加强漏洞修复，降低被利用风险:2021 年 11 月，CISA 发布了约束性操作指令（BOD）22-01，旨在减少已知被利用漏洞（KEV）带来的重大风险。该指令要求所有联邦民事行政部门（FCEB）在规定时间内修复 KEV 目录中列出的漏洞。CISA 鼓励所有相关方将 KEV 目录中的漏洞纳入其漏洞管理流程，并优先处理这些漏洞，以提高其安全防护和应对能力。国际安全漏洞治理动向安全漏洞治理情况012023漏洞威胁分析报告

8、（1）政策出台，强化国家网络安全防护:我国陆续推出相关政策，旨在确保国家网络安全和网络产品及关键系统的稳定运行。依据网络安全法的规定，工业和信息化部、国家互联网信息办公室、公安部联合发布了 网络产品安全漏洞管理规定。该规定的核心目标是规范漏洞的发现、报告、修补和发布流程，明确网络产品提供者、运营者及漏洞发现和发布相关方的责任与义务，并鼓励各方利用自身技术和机制优势，积极参与漏洞管理工作。（2）推进网络产品安全漏洞管理规定的实施:我国正从政策宣传、机制完善和平台建设等多个方面，全面推进网络产品安全漏洞管理规定的执行。首先，加强政策宣传和指导，为相关企业和机构提供政策咨询，引导漏洞收集平台依法运作

9、。其次，完善相关工作机制，确立漏洞评估、发布和通报的标准流程，并明确漏洞收集平台的备案和报告要求。最后，加强网络安全威胁和漏洞信息共享平台的建设，与国内外其他平台和数据库进行信息共享，提升平台的技术支撑能力。（3）信创安全建设的深化，推动漏洞管理规范化：随着信创建设的不断深入，信创安全问题也日益凸显。我国已出台 网络安全法、网络产品安全漏洞管理规定 等法律法规，并正在制定相关的信创漏洞国家标准，以推动漏洞管理工作向制度化、规范化和法治化方向发展，提升各责任主体的管理水平，为国家数字化建设打下坚实的安全基础。我国在安全漏洞管理方面的发展现状概述022023漏洞威胁分析报告安全漏洞总体情况漏洞收录

10、数量逐年增长，超危漏洞占比整体呈上升趋势。截止 2023 年 11 月 30 日，国家信息安全漏洞库（CNNVD）共收录 2023 年漏洞信息 25748 条，近 10 年漏洞收录情况如下图所示，可以看出，漏洞收录数量逐年增长，超危漏洞占比整体呈上升趋势，超危漏洞占比峰值为2022年（占比16.7%），按照历年收录漏洞数量及超危漏洞占比趋势推测，预计 2024 年漏洞收录数量和超危漏洞占比将进一步增长。漏洞公开披露情况近十年漏洞收录情况CNNVD近十年漏洞收录情况CNNVD近十年漏洞收录情况30000250002000015000100005000018.0%16.0%14.0%12.0%10

11、.0%2.0%4.0%6.0%8.0%0.0%2014年2015年2016年2017年2018年2019年2020年2021年2022年2023年82208.6%总数超危占比77359.1%862212.5%1467115.2%1630714.3%1783314.3%1904813.8%2082713.1%2492116.7%2574815.4%Web 应用漏洞占比逐年上升，应用程序漏洞占比逐年下降。截至 2023 年 11 月 30 日，根据国家信息安全漏洞共享平台（CNVD）的统计数据显示：在过去五年中，Web 应用漏洞的比例持续上升，而应用程序漏洞的比例则稳步下降，如下图所示。同时，网络

12、设备漏洞的比例略有增加，操作系统漏洞的比例则略有减少。Web 应用漏洞的增加主要源于安全意识的不足、输入验证的不当、访问控制的不精确以及编码的不安全性等因素。随着互联网的迅猛发展，Web 应用程序的使用变得越来越普遍，这也在一定程度上解释了 Web 应用漏洞比例的年增长。另一方面，应用程序漏洞的减少可以归因于应用程序结构的复杂性、新兴技术的持续出现以及编码问题等因素。随着 Web应用程序越来越多地取代传统的应用程序，应用程序漏洞的比例也随之降低。漏洞影响对象情况032023漏洞威胁分析报告从 2023 年 1 月至 11 月的统计数据来看，国家信息安全漏洞共享平台（CNVD）的分析显示，本年度

13、由安全漏洞引发的主要威胁是未经授权的信息泄露，如下图所示。此类泄露事件可能严重侵犯个人隐私，引发财务损失，损害商业信誉，甚至可能触发法律诉讼。此外，敏感信息如秘钥、令牌的泄露可能成为黑客攻击的跳板，使攻击者得以进一步利用这些信息访问受保护的资源或执行未授权操作。其次是管理员访问权限获取，一旦获得管理员权限，攻击者便能完全控制系统，访问敏感数据、更改系统设置、甚至进行其他恶意活动。黑客攻击手段通常可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击旨在扰乱系统运行，而破坏性攻击则以入侵系统、盗取机密信息、破坏数据为目的。我国网络攻击以破坏性攻击为主，可能导致系统崩溃、数据丢失、服务中断等严重后果，对

14、受害者造成极大损失。漏洞引发威胁情况CNVD近5年漏洞影响对象类型占比情况CNVD近5年漏洞影响对象类型占比情况操作系统智能设备应用程序Web应用安全产品数据库网络设备50.0%40.0%30.0%20.0%60.0%10.0%0.0%2019年2020年2021年2022年2023年2023年漏洞引发威胁情况2023年漏洞引发威胁情况管理员访问权限获取普通用户访问权限获取未授权信息修改未知其他拒绝服务未授权信息泄露管理员访问权限获取 27.3%未知0.1%其他0.3%拒绝服务11.0%未授权信息修改 6.8%普通用户访问权限获取 0.1%未授权信息泄露54.4%042023漏洞威胁分析报告近

15、 10 年，已知被利用漏洞（KEV）目录持续更新，目录当前维护了超过 1000 个已知被利用漏洞。该目录的收录标准包括漏洞已分配 CVE 编号、有可靠证据表明该漏洞在真实攻击中已被积极利用、漏洞已有明确的补救措施。针对已知被利用漏洞（KEV）分析显示，近 10 年真实漏洞利用数量总体呈现先上升后下降趋势，2021 年漏洞利用总数和被勒索软件利用数量分别达到了 118 个和 54 个的峰值。2021 年以前漏洞利用总数呈上升趋势，2021 年后呈下降趋势。CISA 将漏洞治理作为重要任务，通过协同漏洞披露、漏洞披露策略、相关约束性操作指令等措施取得了初步成效。特别值得注意的是，2021 年后被勒

16、索软件利用的 漏洞数量也呈下降趋势，这与西方国家开展的打击勒索软件活动密切相关。许多勒索软件事件是攻击者利用已知漏洞实施的，因此漏洞治理的成功对于减少勒索软件攻击具有重要意义。漏洞利用情况近十年总体情况KEV目录近十年漏洞利用情况KEV目录近十年漏洞利用情况CVE总数被勒索软件利用数量CVE-2014CVE-2015CVE-2016CVE-2017CVE-2018CVE-2019CVE-2020CVE-2021CVE-2022CVE-2023043255780188131108341311318854115251091528通过对已知被利用漏洞（KEV）目录的统计和分析，我们得到各大厂商的漏洞

17、分布及其增长情况，如下图所示。在已知被利用漏洞数量方面，Microsoft 以 275 个漏洞位居榜首，其次是 Cisco 和 Apple，均有 68 个漏洞。与 2022 年相比，各大厂商的已知被利用漏洞数量增长情况用黄色折线图表示。分析发现，Apache、Apple、Google、Oracle 等厂商的漏洞增长速度较高。基于当前的增长趋势，预计在未来一年中，这些厂商的已知被利用漏洞数量将会有显著的增加。这一分析结果强调了对于这些领先厂商的产品和服务，持续的安全监测和及时的漏洞修补工作尤为重要。用户和组织应当密切关注这些厂商发布的安全更新和补丁，以确保其系统和网络环境的安全性。同时，厂商也应

18、加大在产品安全设计和漏洞预防方面的投入，以减少漏洞的出现和利用。被利用漏洞主要厂商及产品情况052023漏洞威胁分析报告下图展示了已知被利用漏洞的产品分布情况，其中 Windows 操作系统受到的影响最为严重，占据了 10.4%的比例。作为一款全球广泛使用的操作系统，Windows 的用户群体分布极为广泛。根据深信服千里目安全技术中心的数据显示，全球Windows 公网资产超过 1.2 亿，而在中国，公网资产也超过了 2200 万。这一数据凸显了 Windows 操作系统的巨大影响力和安全防护的重要性。因此，建议国内用户特别关注 Windows 操作系统的漏洞评估，并及时进行补丁更新，以确保系

19、统安全。紧随 Windows 之后，排名第二的是 Internet Explorer，其占比为 3.0%。该产品的漏洞类型主要涉及远程代码执行和内存损坏问题。浏览器漏洞的潜在危害极大，攻击者可能通过这些漏洞执行恶意代码、窃取用户敏感信息等。特别是 APT 组织和黑灰产团伙，他们经常利用钓鱼链接触发浏览器漏洞来获取权限，这种攻击手法隐蔽性强，用户很难意识到自己正遭受攻击。攻击者还可能通过不断变化的攻击策略和手段来规避安全防护，这进一步增加了安全防护的难度。因此，用户需要保持高度警惕，并采取有效的安全措施来防范这类攻击。被利用漏洞主要厂商漏洞分布与增长情况已知被利用漏洞厂商漏洞分布与漏洞增长情况漏

20、洞数量增长率250503330200150100300500MicrosoftCiscoAdobeAppleGoogleOracleApache25.0%20.0%15.0%10.0%5.0%0.0%11.3%11.5%10.2%18.8%17.9%19.0%20.0%275656868KEV目录被利用漏洞产品分布情况已知被利用漏洞产品分布情况Internet ExplorerFlash PlayerOfficeIOS and IOS XE SoftwareExchange ServerWin32KChromium V8 EngineWindows其他KernelWindows 10.4%其他

21、 72.7%Internet Explorer 3%Flash Player 2.8%Chromium V8 Engine 2.4%Office 2.3%Win32K 2.4%Exchange Server 1.3%IOS and IOS XE Software 1.3%Kernel 1.3%062023漏洞威胁分析报告年度热点漏洞分析Atlassian Confluence 权限提升漏洞（CVE-2023-22515）漏洞简介由于 Atlassian Confluence 的用户权限控制存在问题，攻击者可利用该漏洞在未授权的情况下，通过创建管理员账号执行权限提升攻击，最终获取服务器权限。漏洞

22、描述漏洞名称：Atlassian Confluence 权限提升漏洞漏洞编号：CVE-2023-22515漏洞类型：权限许可和访问控制问题CVSS 评分：10漏洞危害等级：严重漏洞影响Atlassian Confluence 8.0.0-8.0.3Atlassian Confluence 8.1.0Atlassian Confluence 8.1.3-8.1.4Atlassian Confluence 8.2.0-8.2.3Atlassian Confluence 8.3.0-8.3.2Atlassian Confluence 8.5.0-8.5.1Atlassian Confluence 8

23、.4.0-8.4.2072023漏洞威胁分析报告Atlassian Confluence 在安装新的服务器时，会通过/setup/下的 URL 路径来配置服务器。其中/setup/setupadminis-trator.action 路由作用是创建第一个管理员账户。设置完成后，正常情况下将不再调用所有 setup 路由。例如，当直接通过 curl 执行创建管理员的请求时，会返回报错信息“Your confluence instance is already completely set up.”。在 com.atlassian.xwork.interceptors.XsrfTokenInter

24、ceptor 包中，设置了针对 csrf 的检查。但可以利用数据包中附带X-Atlassian-Token:no-check 头部可以绕过检查。分析 struts.xml 文件，该文件管理了 Confluence 的拦截器（Confluence 本身基 Apache Struts 框架搭建）。其中配置了路由并记录了对应的包名。因此锁定了漏洞点 actions.SetupCheckInterceptor。在 SetupCheckInterceptor 类中可以看到拦截器通过调用 BootstrapUtils.getBootstrapManager().isSetupComplete()方法来验证

25、 Confluence 服务器是否已经完成了初始设置过程。跟进到 isSetupComplete 的实现，调用了 this.applicationConfig.isSetupComplete 来判断设置是否已经完成。漏洞分析082023漏洞威胁分析报告进入 ApplicationConfig.isSetupComplete 方法，可以看到管理配置是否可访问根本取决于 bool 类型的参数setSetupComplete，如果 setSetupComplete 值为 false，则路由/setup/setupadministrator.action 将变得可访问。由技术背景可知，XWorks2

26、可以通过提供 HTTP 参数来调用对象上的 setter 方法。只需要找到一个能够调用到setSetupComplete 方法的路径就可以在前端修改 setSetupComplete 值。跟进到 ConfluenceActionSupport.getBootstrapStatusProvider 方法，返回了一个 BootstrapStatusProviderImpl 实例，而其中 getApplicationConfig 方法可以返回应用配置。因此我们就可以调用以下方法链来将 setupComplete 设置为 false。getBootstrapStatusProvider().getAp

27、plicationConfig().setSetupComplete(false);由于 XWorks2 特性，可以构造一个 HTTP 参数，在前端调用该链。bootstrapStatusProvid-er.applicationConfig.setupComplete=false。目前厂商已经发布修复方案，请及时关注厂商主页：https:/ WebLogic Server 远程代码执行漏洞（CVE-2023-21931）WebLogic 存在远程代码执行漏洞（CVE-2023-21931），该漏洞允许未经身份验证的攻击者通过 IIOP 协议网络访问并破坏易受攻击的 WebLogic Serv

28、er，成功的漏洞利用可导致 WebLogic Server 被攻击者接管，从而造成远程代码执行。漏洞名称：Oracle WebLogic Server 远程代码执行漏洞漏洞编号：CVE-2023-21931漏洞类型：代码注入CVSS 评分：7.5漏洞危害等级：高危漏洞影响Oracle WebLogic Server 12.2.1.3.0Oracle WebLogic Server 12.2.1.4.0漏洞简介漏洞描述Oracle WebLogic Server 14.1.1.0.0102023漏洞威胁分析报告跟进到 init 方法，通过调用 getDefaultInitCtx()方法，调用 N

29、amingManager.getInitialContext()获取一个初始化Context 值 defaultInitCtx。Weblogic.jndi.WLInitialContextFactory是WebLogic Server中的 Initial Context Factory类，它用于创建JNDI Context，以便在WebLogic Server中执行命名和查找操作。分析javax.naming.InitialContext类，该类读取了一个Hashtable类型的环境参数environment。我们首先构造一个Hasht-able类型的对象，将weblogic.jndi.WLI

30、nitialContextFactory和URL作为INITIAL_CONTEXT_FACTORY和PROVIDER_URL的参数传入。接着通过使用 InitialContext类的getInitialContext方法实例化InitialContext对象。漏洞分析112023漏洞威胁分析报告该漏洞触发点位于 WLNamingManager 类的 getobjectInstance()方法中。当传入的 boundObject 类型为 LinkRef 时，就会调用 getLinkName()方法来获取链接的名称，并将其存储在 linkName 变量中。跟 进 到 getLinkName()，方

31、 法 返 回 的 linkAddrType 地 址 即 可 作 为 远 程 JNDI 加 载。通 过 实 例 化 LinkRef 类，给linkAddrType 传入一个 JNDI 地址，通过 bind()和 lookup()方法对 JNDI 地址绑定并加载，导致了反序列化漏洞。目前厂商已经发布修复方案，请及时关注厂商主页：https:/ ActiveMQ 远程命令执行漏洞（CVE-2023-46604）Apache ActiveMQ 存在一个远程命令执行漏洞，攻击者可以通过默认的 61616 服务端口利用该漏洞执行恶意命令，导致服务器失陷。漏洞名称：Apache ActiveMQ 远程命令执

32、行漏洞漏洞编号：CVE-2023-46604漏洞类型：代码注入CVSS 评分：9.8漏洞危害等级：严重漏洞影响5.18.0Apache ActiveMQ 5.18.35.17.0Apache ActiveMQ 5.17.65.16.0Apache ActiveMQ 5.16.7Apache ActiveMQ 5.15.16分析补丁内容，在 BaseDataStreamMarshaller#createThrowable 方法中，可以调用指定类的参数类 型为 String 的构造方法。漏洞分析漏洞简介漏洞描述132023漏洞威胁分析报告private Throwable createThrowa

33、ble(String className,String message)try Class clazz=Class.forName(className,false,BaseDataStreamMarshaller.class.getClassLoader();Constructor constructor=clazz.getConstructor(new Class String.class);return(Throwable)constructor.newInstance(new Object message);catch(Throwable e)return new Throwable(c

34、lassName+:+message);protected Throwable tightUnmarsalThrowable(OpenWireFormat wireFormat,DataInput dataIn,BooleanStream bs)throws IOException if(bs.readBoolean()String clazz=tightUnmarshalString(dataIn,bs);String message=tightUnmarshalString(dataIn,bs);Throwable o=createThrowable(clazz,message);/1 /

35、.protected Throwable looseUnmarsalThrowable(OpenWireFormat wireFormat,DataInput dataIn)throws IOException if(dataIn.readBoolean()String clazz=looseUnmarshalString(dataIn);String message=looseUnmarshalString(dataIn);Throwable o=createThrowable(clazz,message);/2 /.该方法在 5.18.2 版本中的实现如下从补丁的注释描述和类名称可以看出

36、BaseDataStreamMarshaller 与 OpenWire 协议有关，用于对传输的数据进行Marshller/UnMarshaller 操作的。向上追溯在当前类的两个方法中 1 和 2 都能看到对 createThrowable 的调用。142023漏洞威胁分析报告public void tightUnmarshal(OpenWireFormat wireFormat,Object o,DataInput dataIn,BooleanStream bs)throws IOException super.tightUnmarshal(wireFormat,o,dataIn,bs);E

37、xceptionResponse info=(ExceptionResponse)o;info.setException(java.lang.Throwable)tightUnmarsalThrowable(wireFormat,dataIn,bs);/3方法名中的 tight 和 loose 对应 Openwire 中可用的编码格式。只要可以控制传入的 clazz 和 message 的内容，就可调用指定类的参数类型为 String 的构造方法，从而进行利用。BaseDataStreamMarshaller 只是抽象类，需要找到它具体的实现类，从补丁的描述看，相关的子类为 Exception

38、Re-sponseMarshaller，也可以找寻其它能够调用至 tightUnmarsalThrowable 或 looseUnmarsalThrowable 的非抽象子类，例如 ConnectionErrorMarshaller。ExceptionResponseMarshaller#tightUnmarshal 方法如下，可在 3 看到对父类方法的调用。但是 ConnectionError 或 ExceptionResponse 类型的消息，通常都是由服务端返回给客户端的，无法对服务端发送请求，因此需要使用到 ActiveMQSession#syncSendPacket 方法，用于发送

39、Command ConnectionError 和 ExceptionRe-sponse，都是 Command 的实现类，通过构造恶意对象，利用 ClassPathXmlApplicationContext 远程加载恶意 XML，实现攻击。更新至最新版版本：https:/activemq.apache.org/news/cve-2023-46604Apache OFBiz 远程代码执行漏洞（CVE-2023-51467）由于 Apache OFBiz 针对请求的鉴权存在错误，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击，最终获取服务器最高权限。漏洞名称：Apache O

40、FBiz 远程代码执行漏洞漏洞编号：CVE-2023-51467漏洞类型：代码注入CVSS 评分：9.8漏洞危害等级：严重漏洞影响Apache OFBiz getCanonicalName。此处对 和/进行了过滤。该漏洞利用HashMap和TreeMap大小写输出顺序绕过了该过滤。回到FileUploadInterceptor，在我们提交了恶意请求后，multiWrapper.getFileName 获取到的为请求包中的正常文件名即 2.txt。所以此处过滤/和 的操作只对 multiWrapper.getFileName 获取到的参数执行。随后我们找到从请求包中获取其他参数的地方即 Disp

41、atcher 中的 serviceAction 方法。设置断点后重新发包并进行 Debug。192023漏洞威胁分析报告观察堆栈发现在 parameter 中存储了文件名。继续跟进，在获取参数后新建了一个名为 acceptableParameters 的 TreeMap 并存入相关数据作为文件上传操作前的最终值。202023漏洞威胁分析报告观察源码结构发现在做最终赋值时用了 whlie 循环，我们在将 parameter 数据存储到 acceptableParameters 中时循环赋值，但因为两种类型的 Map 大小写输出顺序不同而造成了参数污染，即将已经通过拦截器检测的正常文件名覆盖。up

42、loadFileName 和 UploadFileName 的 key 并不相同，但在跟进时发现在 capitalizeBeanPropertyName 中会对 key的前两位字母进行判断若首字母为小写，第二个字母为大写直接返回，不然都会将第一个字符转换成大写，这样就造成了key 相同，从而实现覆盖。目前官方已修复该漏洞，受影响用户可以升级更新到安全版本。官方下载链接：https:/struts.apache.org/download.cgi/漏洞修复212023漏洞威胁分析报告安全漏洞态势小结（一）Web 应用漏洞比例持续增长，而应用程序漏洞比例则逐年减少。截至 2023 年 11 月 30

43、 日，根据国家信息安全漏洞共享平台（CNVD）的统计数据显示，近五年来，Web 应用漏洞的比例显著上升，而应用程序漏洞的比例则明显下降。同时，网络设备漏洞的比例也略有增加，而操作系统漏洞的比例则小幅减少。（二）近 10 年真实漏洞利用数量总体呈现先上升后下降趋势。针对已知被利用漏洞（KEV）进行分析，2021 年漏洞利用总数和被勒索软件利用数量均达到峰值，分别为 118 个、54 个。以 2021 年为分界线，2021 年以前漏洞利用总数呈上升趋势，2021 年后呈下降趋势。（三）Windows 系统漏洞是已知被利用漏洞（KEV）目录和谷歌跟踪 0day 漏洞利用名单的榜首。根据已知被利用漏洞

44、（KEV）目录和谷歌跟踪 0day 漏洞利用名单，2023 年被利用漏洞数量最多的产品是 Windows，截止 11 月 30 日，已知被利用漏洞（KEV）目录收录“CVE-2023”Windows 漏洞 18 个，谷歌跟踪 0day 漏洞利用名单收录“CVE-2023”Windows 漏洞 12 个。（四）热门漏洞逐渐围绕开源软件漏洞。2023 年较为热门的漏洞多数为开源软件，例如 Apache ActiveMQ 远程代码执行漏洞、Apache RocketMQ 远程代码执行漏洞、Apache OFBiz 远程代码执行漏洞等业内关注度较高，影响较大，危害较多的漏洞。222023漏洞威胁分析报

45、告day漏洞趋势分析0day漏洞态势分析0day 漏洞的在野利用案例正逐年增多，表明网络安全面临的挑战日益增加。谷歌团队对 0day 漏洞的利用情况进行了跟踪分析，结果显示在过去十年中，尤其是在最近三年，0day 漏洞的在野利用事件变得更加常见。这种明显增长的趋势主要归因于黑客利用 0day 漏洞进行攻击时能够有效规避现有的安全防护措施，从而大幅提升攻击的成功率。2023 年深信服千里目深瞳漏洞实验室猎捕 100+个 Web 场景下的在野利用 0day 漏洞，其中 50%以上的 0day 在野利用出现在攻防演练场景中。随着攻防常态化，将会有越来越多的 0day 被利用在网络攻击中，对于 0da

46、y 漏洞的发现与防护迫在眉睫。0day漏洞概况Google团队跟踪近十年在野利用0day数量20140101128252212202569415620304050607080201520162017201820192020202120222023数量线性（数量）232023漏洞威胁分析报告2023 年被在野利用的 0day 漏洞部分漏洞如下，其中部分漏洞被勒索软件利用。0day勒索利用软件名称Cisco IOS XEAtlassian ConfluenceAtlassian ConfluenceWS_FTP Server漏洞编号CVE-2023-20198CVE-2023-22515CVE-2

47、023-22518CVE-2023-40044CVE-2023-46604CVE-2023-41265CVE-2023-3519CVE-2023-24880CVE-2023-27351CVE-2023-27350CVE-2023-34362CVE-2023-35036CVE-2023-47246CVE-2023-4966CVE-2023-20269CVE-2023-21674CVE-2023-41266CVE-2023-28252CVE-2023-0669Apache ActiveMQQlik SenseCitrix NetScaler ADC and NetScaler GatewayWin

48、dows SmartScreenPaperCut MF/NGPaperCut MF/NGMOVEit Transfer WebMOVEit Transfer WebSysAid ServerCitrix NetScaler ADC and NetScaler GatewayCisco Adaptive Security ApplianceMicrosoft Windows ALPCQlik SenseMicrosoft Windows CLFSFortra GoAnywhere MFT漏洞类型权限升级漏洞访问控制漏洞访问控制漏洞反序列化漏洞反序列化漏洞隧道漏洞代码注入漏洞安全绕过漏洞代码注入漏

49、洞信息泄露漏洞SQL注入漏洞SQL注入漏洞路径遍历漏洞缓冲区溢出漏洞访问控制漏洞权限提升漏洞目录遍历漏洞权限提升漏洞反序列化漏洞242023漏洞威胁分析报告在野利用的广度意味着攻击者攻击范围也很大。其中许多漏洞无需物理访问目标系统就可以远程利用，攻击门槛较低。另外，部分漏洞允许攻击者绕过身份认证机制、访问控制策略或者能提升攻击者权限，扩大了应用攻击面，降低了系统入侵、获取机密数据的难度，给用户带来了很大的威胁。2023 年，LockBit 和 Clop 在勒索软件表现领域突出。LockBit 使用先进的勒索软件即服务模型，针对一系列组织，包括IT 和金融领域的组织。LockBit 利用了 Pa

50、perCut NG 中的 CVE-2023-27350 和 Google Chrome 中的 CVE-2023-0699 等漏洞，允许远程攻击者绕过身份验证并利用堆损坏。TA505（也称 CLOP 勒索软件团伙）也利用这些漏洞策划多起引人瞩目的网络攻击，特别是在金融、IT 和医疗保健领域。Clop 的活动包括利用 CVE-2023-27350、CVE-2023-34362、CVE-2023-0669 和 CVE-2023-35036 等漏洞。另外，还有一些不具备 CVE 编号的漏洞，如国产软件漏洞，并未列在其中，但都可以造成危害，并被勒索软件组织利用。2023 年，深信服千里目深瞳漏洞实验室持