首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2024 > 正文

《2024年度漏洞態(tài)勢(shì)分析報(bào)告》重磅出爐！文末掃碼下載

閱讀量：次 文章來源：安恒信息

隨著網(wǎng)絡(luò)空間應(yīng)用的普及，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)也日益復(fù)雜且嚴(yán)峻。安恒研究院基于對(duì)2024年度漏洞數(shù)據(jù)的全面統(tǒng)計(jì)與深入分析，傾力推出《2024年度漏洞態(tài)勢(shì)分析報(bào)告》（以下簡(jiǎn)稱“報(bào)告”）。該漏洞報(bào)告全面回顧全年漏洞數(shù)據(jù)的關(guān)鍵特征，全方位解析網(wǎng)絡(luò)漏洞的發(fā)展趨勢(shì)以及潛在風(fēng)險(xiǎn)點(diǎn)。

2024年度漏洞數(shù)據(jù)統(tǒng)計(jì)與分析

報(bào)告從主流漏洞庫(kù)入手，對(duì)公開披露的漏洞數(shù)據(jù)進(jìn)行系統(tǒng)梳理，包括總體數(shù)量、各危害等級(jí)漏洞數(shù)據(jù)統(tǒng)計(jì)、廠商分布等內(nèi)容，揭示漏洞數(shù)量的變化趨勢(shì)，以及漏洞等級(jí)分布情況、漏洞產(chǎn)生原因以及漏洞背后可能帶來的安全隱患。

已公開披露漏洞數(shù)據(jù)等級(jí)分布

通過對(duì)漏洞產(chǎn)生原因數(shù)據(jù)的統(tǒng)計(jì)與分析，安恒研究院發(fā)現(xiàn)隨著軟件系統(tǒng)復(fù)雜性和規(guī)模的增加，安全問題會(huì)更多地出現(xiàn)在設(shè)計(jì)階段，設(shè)計(jì)錯(cuò)誤的比例可能進(jìn)一步上升。

2024年度漏洞產(chǎn)生原因分布（注：數(shù)據(jù)來源CNVD）

從上述漏洞產(chǎn)生原因分布圖中可以得出設(shè)計(jì)階段問題占主導(dǎo)，設(shè)計(jì)錯(cuò)誤占比高反映出系統(tǒng)在早期設(shè)計(jì)階段缺乏全面考量，導(dǎo)致系統(tǒng)開發(fā)階段未對(duì)安全問題進(jìn)行重視出現(xiàn)較多漏洞。

其次輸入問題較多，開發(fā)人員在編碼過程中對(duì)用戶輸入缺乏嚴(yán)格處理，而這類輸入問題漏洞通常是攻擊者的突破口。報(bào)告在基于這些已公開披露的漏洞數(shù)據(jù)的基礎(chǔ)上，對(duì)未來可能面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行了預(yù)測(cè)與漏洞趨勢(shì)分析。

2024年度CWE排行榜解讀

報(bào)告中對(duì)2024年度CWE Top25榜單進(jìn)行了深度解讀，從各漏洞類型的排名浮動(dòng)出發(fā)，對(duì)當(dāng)下網(wǎng)絡(luò)安全的威脅分布進(jìn)行了詳盡分析。

2024年度CWE Top25排行榜單

2024年度漏洞預(yù)警回顧

報(bào)告對(duì)安恒信息CERT2024年度漏洞預(yù)警數(shù)據(jù)進(jìn)行回顧與統(tǒng)計(jì)，并從中提取出年度嚴(yán)重漏洞。

1.GitLab存在任意密碼重置漏洞（CVE-2023-7028|DM-202312-003214）

用戶帳戶密碼重置電子郵件可以發(fā)送到未經(jīng)驗(yàn)證的電子郵件地址，攻擊者可將重置帳戶密碼的郵件發(fā)送到未經(jīng)驗(yàn)證的郵箱，在無需用戶交互的情況下通過密碼重置進(jìn)行帳戶接管。

2.GeoServer存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-36401|DM-202405-004663）

由于不安全地將屬性名稱評(píng)估為XPath表達(dá)式，多個(gè)OGC請(qǐng)求參數(shù)允許未經(jīng)身份驗(yàn)證的用戶通過針對(duì)默認(rèn) GeoServer 安裝的特制輸入執(zhí)行任意代碼。

3.VMware vCenter Server堆溢出漏洞（CVE-2024-37079|DM-202406-000059）

具有vCenter Server網(wǎng)絡(luò)訪問權(quán)限的攻擊者能夠通過發(fā)送特制的數(shù)據(jù)包來觸發(fā)該漏洞，從而可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

......

基于上述數(shù)據(jù)對(duì)預(yù)警漏洞類型的分布進(jìn)行統(tǒng)計(jì)與趨勢(shì)預(yù)測(cè)，并總結(jié)了未來需要著重關(guān)注的漏洞利用類型。

2024年攻防演練高危漏洞回顧

2024年攻防演練期間，安恒信息CERT對(duì)在野漏洞進(jìn)行了全面監(jiān)測(cè)，新增在野漏洞檔案共計(jì)227條，其中一級(jí)漏洞檔案114條，二級(jí)漏洞檔案111條，經(jīng)研判后，累計(jì)對(duì)111個(gè)漏洞發(fā)布漏洞預(yù)警，報(bào)告基于上述數(shù)據(jù)整理了2024年度攻防演練期間常見的漏洞類型分布概況。

2024年度攻防演練在野漏洞預(yù)警類型分布

AI安全隱患與未來趨勢(shì)分析

近年來，人工智能技術(shù)以飛快的步伐不斷進(jìn)步，以大模型為基礎(chǔ)的各種技術(shù)應(yīng)用的興起，也為計(jì)算機(jī)安全領(lǐng)域帶來了諸多新的風(fēng)險(xiǎn)和挑戰(zhàn)，模型安全性也因此成為了人工智能安全的關(guān)鍵構(gòu)成部分。

本報(bào)告對(duì)2024年度較為高危的LLM漏洞進(jìn)行了整理，并對(duì)OWASP LLM Top10安全威脅展開詳盡解讀與舉例，羅列了LLM應(yīng)用過程中可能面臨的風(fēng)險(xiǎn)場(chǎng)景，并給出了可靠的LLM安全治理框架建設(shè)建議供用戶參考。