新华三攻防实验室长期对国内外网络安全漏洞进行监测，通过对2020年漏洞进行全面的收集和分析，由高级威胁分析团队、漏洞分析团队、威胁情报团队联手，总结出2020年网络安全漏洞态势报告。报告从漏洞总体趋势、Web应用漏洞、操作系统漏洞、网络设备漏洞、数据库漏洞、工控系统漏洞、云计算漏洞多个方面对漏洞趋势进行分析与总结，以观察者的视角尝试剖析2020年网络安全形势及其变化，希望以此为各行业以及相关企事业单位提供网络安全建设和策略的参考。

一、 概述

1.1、漏洞增长趋势

2020年新华三收录的漏洞总数为17907条，其中超危漏洞2418条，高危漏洞7231条，超危与高危漏洞占比50%以上，高危以上漏洞比2019年增长10.8%。2015年至2020年漏洞总体呈逐年增长趋势，其中高危以上漏洞逐年增长比例超过10%。

图1 2015-2020年新增漏洞总趋势

图2 2020年根据危险级别漏洞占比

1.2、总体攻击态势

新华三攻防实验室在2020年根据跟踪的热门及严重漏洞，新增2020年漏洞的防御规则520多条，其中超危漏洞占比24.1%，高危漏洞占比48.3%，两者占比高达72.3%，含有CVE的漏洞为460条，占比84%。将新增漏洞规则按照攻击对象进行统计，Web应用程序类漏洞占比最高，达到53.6%，Web应用程序类包括通达OA、宝塔控制面板、泛微OA等漏洞，最近两年OA系统、CMS系统漏洞被大量爆出，且利用起来较容易，给企业造成较大损失；另外FasterXML Jackson-databind、XStream漏洞2020年呈高发态势，在这个后面是反序列化漏洞的大量应用。Web服务器类漏洞占比达到10.4%，像Apache、Weblogic、WebSphere漏洞仍然高发。网络设备类漏洞占比高达14%，近两年利用网络设备、安全设备进行内网攻击的事件屡见不鲜，网络设备自身安全不容忽视。

图3 2020年新增规则保护对象占比

将新增漏洞规则按照攻击分类进行统计，远程代码执行类占比最高，达到34%，SQL注入、命令注入占比也较高，分别为9.9.%和8.8%。远程代码执行、命令注入为高风险漏洞，如果攻击成功可以直接执行攻击者注入的代码或命令。

图4 2020年新增规则攻击种类占比

根据对2020年攻击进行的观察，我们得出一些结论：

（1）远程办公的激增，导致信息技术服务业攻击事件急剧上升

2020由于疫情原因，许多企业开始远程办公，导致远程办公的激增，攻击者瞄准了IT相关的各个部分。企业VPN、视频会议软件、内部通信平台等都成为了恶意攻击者所关注的重要目标。攻击者通过注册假域名冒充远程办公软件的官网传播恶意软件，随着RDP和VPN等远程访问技术使用频率的增加，RDP爆破攻击的数量也急剧上升。

（2）工业互联网或成网络安全下一个焦点

工业互联网包含了工业控制系统、工业网络、大数据存储分析、云计算、商业系统、客户网络等各种网络基础设施。其同时融合了云计算、物联网、大数据、5G通信、边缘计算等新一代信息通信技术，多元技术融合必然会带来多种隐患。工业互联网打破了传统工业控制系统相对封闭的生产环境，其暴露面大大增加。

工业互联网与普通信通网的一个关键不同点在于其中包含对工业控制、生产运营有直接影响的OT网络，其中有很多非常敏感的核心数据，涉及企业机密乃至国家安全，这些信息是不能进行公开或共享的。2020年工控安全事件呈高发趋势，除了恶意攻击和勒索之外，攻击者还可能实施知识产权的盗窃活动，这些活动除了经济利益驱动之外，还可能受政府资助，实现政治目的。

（3）云原生漏洞成为安全研究员和黑产关注重点

前些年，业界关注的很多的云计算漏洞更多是虚拟化底层软件的逃逸，在各类大赛上，安全研究员挖掘和展示了对底层技术缺陷的攻击，一次又一次逃逸了各路虚拟机的束缚。近年来云计算领域又诞生了一个新的概念，云原生技术，相关漏洞逐渐成为安全研究员和黑产关注重点。

云原生技术，目的在于进一步利用云的弹性、敏捷、资源化的优势，解决应用在持续集成方面的困境，实现高度自动化的开发、集成、发布、运行等全生命周期管控。作为云原生技术的关键，编排系统Kubernetes和容器Docker，近年也是漏洞频出。并且由于这两者配置问题导致的未授权访问漏洞，成为了黑客攻击和挖矿牟利的突破口。

二、 Web应用漏洞

2020年的“全面推进互联网+，打造数字经济新优势”背景下，数字化经济发展促进了基于互联网的数字化系统和创新应用程序的快速增长。同时由于网络攻击技术和目标类型的更新，数字化转型后业务安全面的挑战也日益严峻，其中Web应用程序漏洞仍然是网络攻击的主要入口。2020年新华三共收录Web应用漏洞6067个，较2019年同期（3837个）增长58.1%，对比2019年和2020年每月Web应用漏洞变化趋势如下图：

图5 2020与2019年Web应用新增漏洞趋势

2.1、漏洞分类

参照OWASP TOP10对 2020年Web应用漏洞进行分类统计，可以看出Web应用漏洞主要还是集中在跨站脚本、注入、无效的身份验证、敏感数据泄露四种类型，占据全部漏洞类型的80%。

图6 2020年Web应用漏洞类型占比

2.2、重点漏洞回顾

经典漏洞盘点：

CVE-2020-2551 Oracle Weblogic远程代码执行漏洞：

2020年1月15日，Oracle官方发布了2020年1月关键补丁更新，包含了家族多个产品的安全漏洞公告。其中Oracle Weblogic Server产品有高危漏洞，漏洞编号CVE-2020-2551，CVSS评分9.8分，漏洞利用难度低，可基于IIOP协议执行远程代码。该漏洞主要是因为Webloigc默认开放IIOP协议，并且未对JtaTransactionManager做黑名单过滤导致的，而JtaTransactionManager类存在jndi注入。

Fastjson<=1.2.62远程代码执行漏洞

Fastjson是阿里巴巴的一款开源JSON解析库，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用范围较为广泛。Fastjson在低于1.2.62的版本中使用了org.apache.xbean.propertyeditor.JndiConverter类，当服务端加载了受漏洞影响的xbean-reflect依赖并开启了Fastjson的autotype时，精心构造好的payload会进入到xbean-reflect依赖中并由指定的org.apache.xbean.propertyeditor.JndiConverter类处理，导致绕过Fastjson的黑名单。

CVE-2020-9484 Apache Tomcat反序列化漏洞

Apache Tomcat是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，是目前比较流行的Web 应用服务器。当部署tomcat时配置启用了session持久化功能FileStore，且同时存在任意文件上传漏洞，攻击者可以上传指定后缀（.session）的文件，利用可能存在的gadget反序列化，将能造成服务端远程代码执行。原因在于FileStore类读取文件时，使用了JSESSIONID的名称，没有过滤目录穿越符号，导致攻击者可以穿越到任意目录去读取后缀为.session的序列化数据进行反序列化。

CVE-2020-4450 WebSphere IIOP远程代码执行漏洞

IBM WebSphere Application Server（WAS）是美国IBM公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。IBM WAS 9.0版本和8.5版本中存在安全漏洞，未经身份认证的远程攻击者可以通过IIOP协议远程攻击WAS服务器在目标端执行任意代码。WAS对于IIOP的数据由com.ibm.ws.Transaction.JTS.TxServerInterceptor#receive_request方法处理，在处理过程中， com.ibm.ws.Transaction.JTS.TxInterceptorHelper#demarshalContext被调用，进入反序列化的执行流，最终调用com.ibm.rmi.io.IIOPInputStream#invokeObjectReader通过反射调用readObject方法进行反序列化。

CVE-2020-1948 Apache Dubbo反序列化漏洞

Apache Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架，实现了高性能的RPC(远程过程调用)功能。Dubbo协议实现了一种远程方法调用的框架，在传参的过程中，会涉及到数据的序列化和反序列化操作。如果不做严格校验，在反序列化构建参数对象时，有可能会用到JNDI接口功能，而使服务端去加载远程的Class文件，通过在Class文件的构造函数或者静态代码块中插入恶意语句从而达到远程代码执行的攻击效果。

CVE-2020-24616 Jackson-databind远程代码执行漏洞

Jackson是美国FasterXML公司的一款适用于Java的数据处理工具，jackson-databind是其中的一个具有数据绑定功能的组件。2020年8月27日，jackson-databind官方发布了jackson-databind反序列化漏洞的风险通告，漏洞编号为CVE-2020-24616。该漏洞是由于Jackson黑名单过滤不完整而导致，当项目包中存在下面几个类时可以进行JNDI注入。服务端在反序列化传入的恶意json数据时，会触发远程JNDI注入，将远程类加载到本地执行，最终实现远程代码执行。黑名单类如下：org.arrahtec:profiler-core，br.com.anteros:Anteros-DBCP，com.nqadmin.rowset:jdbcrowsetimpl，com.pastdev.httpcomponents:configuration。

2.3、攻击态势分析

（1）漏洞组合利用Getshell效果的组合拳

2020年Weblogic仍然爆出多个高危漏洞，除了针对T3和IIOP协议的反序列化黑名单的绕过利用漏洞，Console组件的漏洞值得关注，由于Weblogic T3反序列化漏洞的频发很多用户面向互联网已经禁用了T3协议导致攻击者利用T3协议反序列化漏洞的难度增大，导致攻击者更多的投入到使用HTTP协议的Console组件漏洞利用当中。在2020年10月Weblogic补丁修复了Console组件命令执行的漏洞CVE-2020-14883，但是此Console组件漏洞的需要登录认证后才能利用，远程攻击者组合利用CVE-2020-14882漏洞可绕过Console组件中的身份验证最终执行命令接管Weblogic服务器。

在Web应用程序软件的安全迭代更新和用户的安全防护情况下，想要利用一个漏洞的直接获取服务器的控制权限将会变的越来越困难，那么针对Web应用程序的漏洞组合利用将会持续增多。

（2）功能性API认证缺陷带来的威胁

随着REST API的日益普及，REST已然成为最流行的提供外界服务API的方式，而且越来越多的应用程序对外开放API接口为提供功能调用，但是由于API接口的设计存在缺陷也可能会带来较大的安全隐患。2020 SolarWinds Orion API远程代码执行漏洞(CVE-2020-10148) 攻击者绕过认证访问功能性API导致远程代码执行，最终目标环境中部署 SUPERNOVA 恶意软件、Apache Solr文件上传漏洞（CVE-2020-13957）等漏洞的利用，表明功能性API未经身份验证或者认证被绕过带来的安全威胁不容忽视。

三、 操作系统漏洞

操作系统漏洞一直是黑客工具的重灾区。2020新华三收录的操作系统漏洞总数为2343条，较2019年总数（1996）增长17.38%，对比2019年和2020年每月操作系统漏洞变化趋势如下图。

图7 2020与2019年操作系统新增漏洞趋势

3.1、漏洞分类

操作系统最担心的漏洞是缓冲区错溢出漏洞，而缓冲区溢出排名一直靠前，如果被黑客利用，容易直接控制目标系统。同时权限提升、信息泄露、拒绝服务等安全漏洞问题也不容忽视。2020年操作系统相关漏洞中缓冲区溢出、信息泄露、权限提升等是操作系统最为突出的问题。

图8 2020年操作系统漏洞种类占比

3.2、重点漏洞回顾

经典漏洞盘点：

Windows核心加密库Crypt32.dll验证绕过漏洞（CVE-2020-0601）

2020 年1月15日，微软例行公布了1月的安全更新，其中包含Windows核心加密库 CryptoAPI.dll椭圆曲线密码(ECC)证书检测绕过的漏洞，编号为CVE-2020-0601，该漏洞由NSA独立发现，并汇报给微软。该漏洞位于Windows的加密组件CryptoAPI，CryptoAPI是微软提供给开发人员的Windows安全服务应用程序接口，可用于加密的应用程序，实现数据加密、解密、签名及验证等功能。

攻击者可以利用伪造证书对恶意可执行文件进行签名，使文件看似来自受信任的合法源。但用户将无法知道该文件是恶意的，因为数字签名来自受信任的提供程序。此外由于ECC证书还广泛的应用于通信加密中，攻击者成功利用该漏洞可以实现对应的中间人攻击，解密与受影响软件的用户连接的机密信息。

Windows SMBv3代码执行高危漏洞 (CVE-2020-0796)

SMB(Server Message Block)协议是微软实现的Windows系统下文件、打印机共享功能的协议，是一种远程文件系统调用。2020年3月12日，微软官方公布了CVE-2020-0796的安全公告（ADV200005，MicrosoftGuidance for Disabling SMBv3 Compression），公告表示在Windows SMBv3版本的客户端和服务端中存在远程代码执行漏洞。

2020年6月2日，国外安全研究人员在github上公开了此漏洞的远程代码执行利用源码，攻击者修改该源码就能利用此漏洞达到远程代码执行的目的。由于此漏洞影响范围巨大，且仍然存在大量用户未对此漏洞进行修复，一旦被黑客成功利用，其危害不亚于“永恒之蓝”。

Windows TCP/IP远程执行代码漏洞

2021年2月10日，Microsoft在2月例行补丁日发布了一组Windows TCP/IP远程代码执行漏洞/拒绝服务的修复程序，其中涉及到三个Windows TCP/IP漏洞，分别为：Windows TCP/IP远程代码执行漏洞（CVE-2021-24074、CVE-2021-24094）以及Windows TCP/IP拒绝服务漏洞（CVE-2021-24086）。这些漏洞被利用可能性极大。未经身份验证的攻击者可远程触发漏洞，成功利用这些漏洞可导致在目标机器上执行任意代码或者系统崩溃蓝屏。漏洞根源在于Microsoft实现TCP/IP协议的缺陷，这点也可以从补丁中看出，如下图所示，微软此次补丁对Windows TCP/IP模块的修改包括IPv4、IPv6的包重组、分片处理部分都进行了处理，该漏洞几乎影响所有现有主流操作系统，甚至可能会被蠕虫化方式利用。

CVE-2020-1472 NetLogon权限提升漏洞

2020年8月13日，微软发布补丁修复了NetLogon权限提升漏洞(CVE-2020-1472，Zerologon)，漏洞等级为严重级别 ，CVSS漏洞评分10分。未经身份认证的攻击者可通过NetLogon远程协议（MS-NRPC）建立与域控制器连接的NetLogon安全通道，该操作存在权限提升漏洞。此漏洞利用了加密身份验证协议中的缺陷，该缺陷向域控制器证明了加入域的计算机的真实性和身份。由于身份验证时不正确地使用AES加密模式，因此有可能伪装成任何计算机帐户的身份（包括域控本身的身份），并为域中的该帐户设置空密码。成功利用此漏洞的攻击者可以在网络的设备上运行经过特殊设计的应用程序程序，可获得域控制器的管理员权限。

Windows NFS远程代码执行漏洞(CVE-2020-17051)

NFS（Network File System ，网络文件系统）是一种文件共享解决方案，可以在运行Windows和其他非Windows操作系统（例如Linux或UNIX）的计算机之间传输文件。2020年11月11日，microsoft发布了Windows 网络文件系统远程代码执行漏洞的风险通告，该漏洞编号为CVE-2020-17051，漏洞等级为严重。未授权的攻击者通过发送恶意的NFS数据包，可以在目标Windows中的网络文件系统（NFSv3）造成内存堆溢出，进而实现远程代码执行。

3.3、攻击态势分析

（1）操作系统漏洞中，高危以上漏洞占比较高

通过对已获悉的2020年操作系统安全事件的威胁级别分布分析发现，由于操作系统漏洞一般影响较大，导致操作系统漏洞中高危以上漏洞占比高达61%。

图8 2020年操作系统漏洞危害级别占比

（2）针对手机操作系统的攻击呈高发态势，Android手机操作系统首当其冲

近年来由于智能手机的逐步普及和线上生产和生活方式的迅速发展，智能终端设备的安全性和重要性逐渐增加，手机作为人们进入互联网世界的重要接口，与个人隐私信息和金融资产紧密相关，其已然成为了具备极高风险的攻击目标。

图9 2020年操作系统漏洞系统分类占比

手机操作系统主要有Android和IOS两种，其中Android系统的手机由于品牌众多、市场占有率高以及开源等特性导致Android设备的安全风险远高于IOS设备。Android本身潜在的漏洞风险，加上用户缺乏必要的安全意识导致大量Android机器处于“无补丁”、“无防护”的脆弱状态。近年来主流品牌厂商都已经开始积极部署相关安全防护工作，通过成立安全部门、网络安全应急响应中心等手段来保证自己的手机系统尽可能远离风险，Android系统的安全性也在逐步提高。

（3）Windows等PC操作系统安全问题仍然严重

在互联网+的时代背景下，计算机已经成为人们不可或缺的办公用品，但Windows和linux等操作系统的安全情况仍不乐观，其中仅windows的漏洞就占系统漏洞的33.6%。虽然随着官方的不断更新和新版本发布，修复了众多漏洞，但新的漏洞及攻击手段仍然层出不穷，黑客已经从原来单一漏洞的利用逐步发展成多个漏洞组合利用，通过将多个危害较小的漏洞进行组合，产生巨大的效果。

四、 网络设备漏洞

路由器、防火墙、交换机等网络设备是整个互联网世界的联系纽带，占据着非常重要的地位，一旦控制网络设备，其连接的各种终端设备都将暴露在攻击者的面前，导致重要数据和资料泄漏，造成严重的网络安全事件。

2020年新华三共收录网络设备类漏洞1912个，较2019年同期（1251个）增长53.5%，对比2019年和2020年每月网络设备类漏洞变化趋势如下图：

图10 2020与2019年网络设备新增漏洞趋势

4.1、漏洞分类

网络设备漏洞类型分布较分散，主要集中在缓冲区溢出、命令注入、跨站脚本、拒绝服务、信息泄露等类型。网络设备的安全措施相对于PC非常的简单，高端的设备才逐渐的增加上，低端设备可以说有了漏洞，利用起来就非常简单了。对于网络设备而言提权漏洞非常少见，因为网络设备的管理命令行提供非常受限的输入接口。

图11 2020年网络设备漏洞类型占比

4.2、重点漏洞回顾

经典漏洞盘点：

CVE-2020-5902 F5 BIG-IP TMUI 远程代码执行

CVE-2020-5902是BIG-IP管理界面中称为“远程代码执行”漏洞，称为TMUI（流量管理用户界面)。未经身份验证的攻击者可以通过将恶意制作的HTTP请求发送到托管用于BIG-IP配置的流量管理用户界面（TMUI）实用程序的易受攻击的服务器来远程利用此漏洞。成功利用此漏洞可能使攻击者获得对该设备的完全管理员控制，例如创建或删除文件，禁用服务，拦截信息，执行任意系统命令和Java代码，从而破坏整个系统，并采取进一步的目标，如内部网络。BIP-IP是当今使用的最受欢迎的网络产品之一，它们被用于全球的政府网络，互联网服务提供商的网络，云计算数据中心内部以及整个企业网络中。

CVE-2020-2038 Palo Alto Networks管理接口命令注入漏洞

Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一套为其防火墙设备开发的操作系统。 Palo Alto Networks PAN-OS 存在命令操作系统命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行任意操作系统命令。

4.3、攻击态势分析

（1）网络设备类漏洞受攻击者青睐，安全形势严峻

最近几年，有关于网络设备的漏洞披露和攻击的报道日益增多，一方面是攻击者开始从网络设备入手进行攻击，另一方面人们逐渐开始重视网络设备的安全。

网络设备的漏洞和后门问题，是导致出现远程控制、拒绝服务、流量劫持等安全问题的重要原因之一。网络设备存在漏洞和后门可能导致严重后果，包括攻击者直接将设备下线使业务和网络中断，或者将经过设备的流量重定向到指定点，截获流量中携带的用户敏感信息等。

（2）网络设备逐渐成为攻防战场

网络设备无论是防火墙、网关集成管理平台、VPN还是IDS、旁路流量监测产品，其作为一个监管或远程接入节点，当其出现漏洞时，将会成为攻击者入侵的最好入口。从最近几年的发展趋势来看，攻防技术的热点逐渐从Windows操作系统、数据库软件系统、手机操作系统扩散到网络设备上。各种攻防演练中，攻击方如果掌握一种网络设备的0 day，并且利用成功，在演练中就可能取得突破性的战果，网络设备逐渐成为攻防战场。

五、 数据库漏洞

随着大数据的高速发展，各行业的数据量急速增长，数据库系统不可或缺，其存储了各类价值数据，已成为企业和组织重要的无形资产。与此同时，数据库也成为攻击者主要目标之一，一旦获得数据库权限，即可获得丰厚的利益。2020年新华三收录数据库漏洞总数266条，相比2019年多出10余条，同比增长5%，相较以往，大体持平。

图12 2020与2019年数据库系统新增漏洞趋势

5.1、漏洞分类

MySQL数据库由于代码开源、版本众多，加之使用量大，因此被发现的漏洞较多。2020年被确认的266个数据库漏洞中，MySQL漏洞130余个，占据总漏洞个数一半。

图13 2020年各数据库系统漏洞占比

从漏洞类型分布上来看，主要集中在拒绝服务、访问控制错误、权限提升三种类型，占据全部漏洞类型的80%。

图14 2020年数据库漏洞类型占比

5.2、重点漏洞回顾

经典漏洞盘点：

SQLite 资源管理错误漏洞（CVE-2020-11656）

SQLite是美国D.Richard Hipp软件开发者的一套基于C语言的开源嵌入式关系数据库管理系统。该系统具有独立性、隔离性、跨平台等特点。 SQLite 3.31.1及之前版本中的ALTER TABLE实现存在资源管理错误漏洞。攻击者可利用该漏洞造成拒绝服务。

Redis Labs Redis 输入验证错误漏洞（CVE-2020-14147）

Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值（Key-Value）存储数据库，并提供多种语言的API。 Redis Labs Redis 6.0.3之前版本中的lua_struct.c文件的‘getnum’函数存在输入验证错误漏洞。远程攻击者可通过发送大量的特制命令利用该漏洞造成拒绝服务。

PostgreSQL asyncpg 安全漏洞（CVE-2020-17446）

PostgreSQL是Postgresql组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性，例如外键、触发器、视图等。 asyncpg 0.21.0之前版本中存在安全漏洞，该漏洞源于程序访问了未初始化指针。攻击者可借助特制服务器响应利用该漏洞执行任意代码或导致崩溃。

5.3、攻击态势分析

（1）云环境导致数据库系统自身的设计缺陷成为可批量的漏洞利用方式

数据库系统漏洞属于软件漏洞，其引擎和组件的逻辑设计错误会造成安全漏洞的产生，而这些问题引起的漏洞往往会带来很严重的后果，不仅是数据被窃取，提权、缓冲区溢出等漏洞的利用可获取服务器权限，并进一步在内网扩散；拒绝服务漏洞的利用会导致服务拒绝访问，影响业务正常运转。通过对2020年数据库漏洞的数量统计，提权和拒绝服务漏洞占比超过60%。

而云计算和大数据的广泛应用，企业业务及系统架构也发生变化，各类系统和业务也逐渐迁移至云上部署，导致内外网界限不再清晰。而由此带来的问题是，数据库原本是应用于内网等相对隔离、安全的环境，且具备一定的安全防护措施，外部攻击者对数据库系统漏洞的利用难度较大，但业务系统上云后数据库面临的场景复杂、多变，云环境的公开属性导致数据库暴露面扩大，网络环境中的威胁会大大增加。相比较传统网络环境，旧版本的数据库系统漏洞修复不及时和新版本漏洞的爆发会导致漏洞利用更方便，且可在不同业务系统进行批量利用。

（2）针对系统配置不当的利用依然是未来最简单、常用的攻击手段

配置不当主要分为两个方面，一方面，弱口令配置，严格来说弱口令并不完全归属于漏洞，但由于其技术难度低和利用方式简单，针对弱口令的爆破却是攻击者最常用及行之有效的手段，获取到正确的密码后可直接拖取数据；另一方面，权限配置，未遵循最小权限原则，造成对账户权限的不合理划分，使之成为潜在的攻击点，通过盘点分析2020年信息泄露事件发现，其中多数是由于对外部人员账号权限设置不当，导致数据信息泄露。

六、 工控系统漏洞

随着工控设备对接互联网，越来越多的黑客开始将攻击目标转向工控设备。2020年新华三收录的工控漏洞总数为645条，总数比2019年（440）多出205条，即多出46%的比例，2020年工控漏洞较前几年呈高发态势。

图15 2020与2019年工控系统新增漏洞趋势

6.1、漏洞分类

工业企业最担心的严重后果是造成生产设备损坏、业务停滞，而拒绝服务漏洞排名一直靠前，如果被黑客利用，容易给企业造成较大影响。包括工控设备自身操作系统漏洞、应用软件漏洞及工业协议的安全性缺陷等工业系统自身的漏洞问题也不容忽视，其中缓冲区溢出、信息泄露、代码执行等是工控系统最为突出的问题。

图16 2020年工控系统漏洞种类占比

6.2、重点漏洞回顾

经典漏洞盘点：

Rockwell Automation FactoryTalk Diagnostics反序列化漏洞(CVE-2020-6967)

Rockwell Automation是全球较大的自动化和信息化公司之一，拥有众多的产品，涵盖高级过程控制、变频器、运动控制、HMI、马达控制中心、分布式控制系统、可编程控制器等。FactoryTalk服务平台是Rockwell Automation开发的，用于支持高级工业应用程序生态系统的软件，FactoryTalk Diagnostics软件是FactoryTalk服务平台的子系统。

该漏洞存在于RNADiagnosticsSrv端点，该端点默认监听TCP 8082端口。漏洞源于缺少对用户提供的数据的适当验证，导致反序列化不可信的数据。远程攻击者可利用该漏洞在系统的上下文中执行任意代码。所有版本的FactoryTalk Diagnostics软件都受到影响。

CoDeSys V3 CmpWebServerHandler整数溢出漏洞(CVE-2020-10245)

用于工程控制系统的CODESYS自动化软件Web服务器中被指存在一个严重漏洞(CVE-2020-10245)，可导致远程未认证攻击者使服务器崩溃或执行代码。该漏洞为堆溢出漏洞，CVSS v3 评分为满分10分，利用难度低。

该漏洞的问题在于，Web服务器库 CmpWebServerHandlerV3.dll（文件版本 3.5.15.20）未正确验证发送至 Web服务器 URL 端点的用户输入数据的有效性。因此攻击者可通过向 CmpWebServerHandlerV3组件发送WEB_CLIENT_OPENCONNECTION 信息，请求非常大的内存分配大小，利用该漏洞。

Advantech WebAccess NMS任意文件上传漏洞（CVE-2020-10621）

研华科技是一家智能系统产业厂商，主要业务范围为自动化、嵌入式电脑和智能服务。Advantech WebAccess/NMS 3.0.2之前版本存在文件上传漏洞，攻击者可利用该漏洞上传任意文件。该漏洞存在于调用端点的处理机制中，源于未正确验证用户提交的数据，导致允许上传任意文件。远程攻击者可利用该漏洞在System的上下文中执行任意代码。攻击者利用该漏洞无需身份认证。CVE-2020-10621涉及对多个端点的调用处理，包括DBBackup端点、importprofile端点、ConfigRestoreAction.action端点、DBBackupRestoreAction.action端点、SupportDeviceaddAction.action端点、FwUpgradeAction.action端点、extProgramAction.action端点、licenseImportAction.action端点、和saveBackground.action端点。

6.3、攻击态势分析

（1）针对工控环境的攻击涉及各个行业，智能制造业更易受攻击

通过对已获悉的2020年工业网络安全事件的行业分布分析发现，智能制造业更易受攻击，占比高达54.8%，同时能源、交通、水利、医疗、食品等重要行业也是重点攻击对象。

图17 2020年工控安全事件涉及行业

（2）针对工控环境的攻击呈高发态势，勒索攻击成为其首要威胁

工业领域因运营成本高、数据价值大、社会影响广，成为勒索病毒攻击的首选。通过对已获悉的2020年工业网络安全事件的攻击类型进行分析发现，针对工控系统的勒索软件攻击事件占比最高，高达62%。

工控环境里大量的工业主机都是通用的计算机设备，Windows操作系统仍然占据了工业企业服务器和工业内网主机中的绝大多数，其中Windows XP的使用比例依然超过40%，Windows 7数量占据首位。操作系统潜在的漏洞风险，加上内部安全意识的缺乏和安全管理措施的疏忽导致大量工业内网终端主机常常是处于“无补丁”“无防护”的脆弱状态，终端主机极容易受各类恶意软件或病毒的攻击，一旦感染将迅速蔓延至整个工业内网，造成工业企业的巨大损失。工业主机安全问题已经成为工控环境的首要安全风险。

（3）钓鱼邮件成为工控网络攻击常用手段，数据窃取为主要目的

为了进行更具有危害性的攻击或者行动，通常需要打开进入目标企业的“大门”，一般情况下都使用钓鱼邮件。尤其是2020年新冠疫情爆发，许多企业将业务转移至线上，视频会议、远程运维等办公模式给攻击者提供了可乘之机。恶意攻击者以COVID-19或冠状病毒大流行等标题为诱饵，向制造商发起钓鱼邮件攻击。进去内部系统之后，窃取企业机密数据是大多攻击者的目标，常常攻击者以窃取的数据公开为要挟进行勒索，获取利益。

七、 云计算漏洞

云计算发展已近20年，随着云计算技术日益成熟和应用，企业上云已成为长期趋势，随之而来的是人们对云相关漏洞的研究。2020年新增云计算漏洞1316个，比2019年同期（总数1144个）增长15%，近2年漏洞增长趋势见下图：

图18 2020与2019年云计算新增漏洞趋势

7.1、漏洞分类

当前正处于云计算蓬勃发展的时代，云计算的出现使得信息技术的成本降低，方便了用户的操作，可以随时随地使用云终端访问云端数据。因此，云计算涉及到的应用非常广泛，包括基础建设，平台软件，应用软件等。根据统计，其漏洞类型主要分布在配置缺陷和权限提升、内存损坏等。

图19 2020年云计算漏洞类型占比

7.2、重点漏洞回顾

经典漏洞盘点：

WMware DHCP 组件 UAF 漏洞(CVE-2020-3947)

CVE-2020-3947 是一个存在于Vmware Workstation 和Vmware Fusion DHCP组件（vmnetdhcp.exe）中的 UAF 漏洞，VMware官方评估这是一个CVSSv3 评分为 9.3 的严重漏洞。如果漏洞被成功利用，可能导致攻击者通过客户机在宿主机上执行任意代码，或者造成宿主机上 vmnetdhcp 服务的 DoS 情况。

VMware 权限提升漏洞(CVE-2020-3950)

3月17日，VMware官方发布编号为VMSA-2020-0005的安全公告，修复了存在于VMware Fusion，VMRC for Mac 和Horizon Client for Mac中的权限提升漏洞（CVE-2020-3950），由于VMware错误的使用了setuid，攻击者利用此漏洞可将目标系统中的普通用户权限提升至管理员权限。

Docker Runc 环境逃逸漏洞(CVE-2020-14298)

Docker是美国Docker公司的一款开源的应用容器引擎。该产品支持在Linux系统上创建一个容器（轻量级虚拟机）并部署和运行应用程序，以及通过配置文件实现应用程序的自动化安装、部署和升级。 Docker 1.13.1-108.git4ef4b30.el7版本中存在安全漏洞。攻击者可利用该漏洞入侵容器主机和在同一主机上运行的其他容器。

Kubernetes 本地主机边界绕过漏洞(CVE-2020-8558)

Kubernetes是一个开源系统，用于跨多台主机管理容器化的应用程序。它为应用程序的部署、维护和扩展提供了基本机制。kube-proxy组件存在漏洞，攻击者可能通过同一局域网下的容器，或在集群节点上访问同一个二层域下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务，从而获取接口信息。如果绑定在端口上的服务没有设置身份验证，就会导致该服务容易受到攻击。以下情况容易受到攻击：不受信任的主机与节点共享相同的第二层域（即相同的LAN）的环境中；集群允许不受信任的pods运行带有CAP_NET_RAW的容器(Kubernetes的默认设置是允许这个功能的)；节点(或主机网络pods)运行的本地服务没有身份验证。

QEMU 虚拟机逃逸漏洞(CVE-2020-14364)

QEMU作为云服务的基础软件设施，在KVM，libvit等技术的支持下能够实现搭建出快速高效的虚拟化云平台。而QEMU的本质是运行在物理系统上的一款高权限软件，一旦 QEMU 本身出现问题，导致攻击者直接进入真实系统，从而危害整个云体系的安全。该漏洞的影响后果非常严重，攻击者可以利用该漏洞实现任意地址读取和写入，从而获得qemu进程的所有权限从而实现虚拟机逃逸，实现恶意代码执行攻击。此外，如果qemu进程处于root用户组那么攻击者就可以完整获得操作系统的控制权进而执行任意linux系统命令。

7.3、攻击态势分析

（1）随着云计算市场的持续增长，云相关漏洞数量会持续逐年增加

随着云计算市场的持续增长，单个漏洞的影响面随之被放大，云服务厂商对云计算平台和组件漏洞的重视，以及赏金的投入增加，引导越来越多漏洞挖掘人员将目光投向了云计算。

（2）安全产品云化将成为趋势

业务可以上云，安全防护能力也可以上云。伴随云计算对计算和网络资源利用率的不断提升，传统安全产品云化将成为趋势。各类虚拟WAF，虚拟防火墙技术已经非常成熟，将安全设备软件化，并建立简单的虚拟化安全资源池属于第一层的安全云化，从逻辑控制层的角度出发，屏蔽底层技术细节，将各类安全能力从单纯的产品配置转变为服务化配置，将繁琐的安全业务重新进行定义，从用户业务的角度出发，抽象为必要的实现逻辑，则是第二层安全云化。

八、 总结与建议

8.1 总结

2020年对比2019年，网络安全漏洞数量和网络攻击数量都有增长。其中，Web类威胁告警中以远程代码执行漏洞利用攻击为主，相比原来的注入类攻击手段，门槛更低危害更大；操作系统类漏洞以远程代码执行与权限提升为主，操作系统类漏洞影响面大，利用成功容易爆发蠕虫病毒传播事件与勒索事件；网络设备类漏洞大幅增加，网络设备由于漏洞被攻击的事件越发频繁，其中安全厂商设备漏洞被利用逐渐成为焦点；工业互联网安全态势在2020年整体表现较为严峻，并且不乏一些工业云平台、工业管理平台暴露在互联网上且存在高危的漏洞；在云计算生态环境下，虚拟化技术、共享资源、相对复杂的架构、以及逻辑层次的增加，导致可利用的攻击面增加，攻击者可使用的攻击路径也大大增加。

当前互联网用户规模不断扩大，应用场景持续增多，金融、医疗、教育、交通等行业在产业互联网的高速发展过程中，面临的企业和个人敏感数据的泄露，非法交易，数据滥用等数据安全问题也愈发严峻。随着网络边界的不断扩大，跨境场景的网络威胁比重也将不断增加，各种攻击手段也将不断刷新人们的认知，未来的数据安全问题可能会直接影响到人们的生命安全、社会的经济发展、国家的长治久安，切实做好网络数据安全治理尤为重要。

8.2 安全建议

在漏洞态势不断发生变化的大环境中，新华三秉承维护计算机网络空间安全的核心理念，从漏洞的视角针对目前的安全建设提出一些建议。对于安全建设有一些建议，例如及时安装系统和软件的更新补丁，隔离办公网和生产环境，主机进行集成化管理，配置防护系统实时在网络传输层进行链路阻断，禁止外部IP访问特殊端口（如139、445、3389端口），采用最小化端口与服务暴露原则等。对于各个不同分类漏洞，安全建议不尽相同，具体如下：

（1）Web应用安全建议

Web类应用系统的应用软件需要具备一定的安全功能，来保证系统本身不被攻击或破坏。能够通过某种形式的身份验证来识别用户，并确保身份验证过程是安全的。为了防止一些恶意输入，还要对输入的数据和参数进行校验。另外还要考虑Web系统的安全配置、敏感数据的保护、用户的权限管理以及所有操作的安全审计。因此Web应用系统本身安全建议如下：

1、身份验证：管理页面采取强口令策略。系统登录验证口令具备一定的复杂度。网页上的登录、认证表单加入强身份认证机制，如验证码、动态口令卡等。对于常见的敏感帐号，如：root、admin、administrator等，在系统安装完成之后修改为其它名称或者禁用。

2、会话管理：会话过程中不允许修改的信息，作为会话状态的一部分在服务器端存储和维护。不通过隐藏域或URL重写等不安全的方式存储和维护。不使用客户端提交的未经审核的信息来给会话信息赋值，防止会话信息被篡改。用户登录后分配新的会话标识，不能继续使用用户未登录前所使用的标识。

3、权限管理：用户权限最小化和职责分离。一个帐号只能拥有必需的角色和必需的权限。授权和用户角色数据存放在服务器端，鉴权处理也在服务器端完成。不将授权和角色数据存放在客户端中（比如Cookie或隐藏域中），以防止被篡改。拒绝用户访问Web服务器上不公开的内容，应对各种形式执行程序的访问进行控制。

4、敏感数据保护：敏感数据（比如密码、密钥等）加密存储、加密传输。隐藏域中不存放明文形式的敏感数据。采用安全的密码算法对敏感信息进行加密。

5、程序设计：不在程序中将密码、密钥等数据固化，不在代码中存储如数据库连接字符串、口令和密钥之类的敏感数据。

7、安全审计：对于业务运行异常、非法访问、非法篡改等异常行为应有完整的记录，包括事件的源IP、事件的类型、事件发生的动作、事件时间等。

8、代码安全：在开发过程中，注意代码安全，主要包括对SQL注入、用户输入脚本过滤、Cookie管理、信息泄露等常见威胁的预防。在代码注释信息中禁止包含数据库连接信息、SQL语句信息。

9、中间件安全：中间件版本、安全补丁及时更新，加强安全配置、安全加固，避免被黑客等利用攻击整个系统。

（2）操作系统安全建议

操作系统是运行应用程序的物理环境，操作系统中的任何漏洞可危害应用程序的安全性。通过保护操作系统安全，可以使环境稳定，控制资源的访问，以及控制环境的外部访问。

针对操作系统的安全策略和建议如下：

1、 用户帐户策略：限制服务器计算机上的用户帐户数，减少不必要的和旧的用户帐户；确保仅一些可信用户具有对服务器计算机的管理访问权限，为运行应用程序的帐户分配所需的最低访问权限。

2、 密码策略：开发和管理操作系统安全的密码策略，采用高强度密码规则。

3、 文件系统策略：为用户授予所需目录的只读权限，缺省情况下，拒绝访问权限，除了被明确授予访问权限的用户，拒绝所有人对资源的访问。

4、 网络服务策略：仅使用运行应用程序所需的服务，例如，可能不需要 FTP、Rlogin 或 SSH 服务；为网络服务用户减少访问权限的级别；确保具有 Web 服务器访问权限的用户帐户不可访问 shell 功能；确保未使用的服务没有运行，且它们没有在操作系统上自动启动；删除或注释掉未计划使用的端口，减少系统的可能入口点；保护系统免受与端口137、138和139相关联的NetBIOS威胁。

5、 系统补丁策略：经常检查安全性更新，确保服务是新的；为操作系统运行供应商建议的最新补丁。

6、 操作系统最小化：除去不重要的应用程序来减少可能的系统漏洞。

7、 记录和监控策略：记录安全性相关的事件，包括成功和失败的登录、注销和用户权限的更改；监视系统日志文件，通过限制对系统日志文件的访问权限，保护其安全；保护维护日志免受篡改；保护日志记录配置文件的安全。

8、 定期备份系统资源。

（3）网络设备安全建议

网络设备在网络中处于重要位置，网络安全产品属于企业边界防护的关键设施，当其产品出现漏洞时，将会对企业造成非常严重的安全威胁。

对于企业用户安全建议：

1、在购置设备前应对产品进行安全测试；

2、在部署时应严格设置设备的访问控制权限，避免当设备沦陷时攻击者获得较高权限访问敏感网段；

3、在设备运行时做好访问权限控制（如IP限制等），关闭不需要的服务；

4、在运营设备时应同样对设备进行日志记录和审计；

5、当漏洞出现时，及时联系厂商进行设备的更新及售后。

对于厂商安全建议：

1、在产品发布前应对产品进行严格的安全测试；

2、及时关注最新的安全技术，及时修补产品中存在漏洞的第三方库等外部依赖。

（4）数据库安全建议

数据库软件漏洞属于产品自身的缺陷，由数据库厂商对其修复，通常以产品补丁的形式出现。针对数据库漏洞攻击的数据库加固方式可以采用购买第三方产品，安全建议如下：

1、采取用户权限最小化原则，配置数据库帐号时，满足应用系统使用的最小权限的账号，任何额外的权限都可能是潜在的攻击点。

2、定期安装数据库厂商提供的漏洞补丁，即使由于各种原因无法及时打补丁，通过虚拟补丁等技术暂时或永久加固数据库。

3、对数据库进行安全配置，数据库默认安装下并不会开启所有安全配置，在充分考虑对应用的影响后，尽可能开启数据库自身提供的安全设置将会极大降低被不法分子攻击的成功率。

4、采取数据库功能最小化原则，对于用户来说，大部分数据库功能组件根本不会使用。在综合应用和运维后，划定一个使用组件的最小范围。删除数据库中不用的组件，减少数据库组件可以有效的减少用户面对的风险面。

5、配置高强度密码，杜绝弱口令或默认口令。

（5）工控系统安全建议

一般现代工业控制系统多由以下几个关键部分组成：人机界面HMI，远程终端单元RTU，综合监管系统和可编程逻辑控制器PLC。由上述部分组成的工业控制系统主要有以下几个风险点：病毒容易通过企业办公网感染综合监管系统，工控系统中多余的USB接口封闭不足，对远程维护通道未加严格限制，导致生产网直接暴露在互联网上。

因此，建议执行以下操作来加强工控系统运行安全：

1、分离工业控制系统的开发、测试和生产环境。

2、通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接。严格限制工业控制系统面向互联网开通 HTTP、FTP、Telnet 等高风险通用网络服务。

3、通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护，在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。

4、拆除或封闭工业主机上不必要的 USB、光驱、无线等接口，若确需使用，通过主机外设安全管理技术手段实施严格访问控制。

5、在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理，对于关键设备、系统和平台的访问采用多因素认证。

6、合理分类设置账户权限，以最小特权原则分配账户权限。

7、强化工业控制设备、SCADA 软件、工业通信设备等的登录账户及密码，避免使用默认口令或弱口令，定期更新口令。

8、对远程访问采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略，远程维护采用虚拟专用网络（VPN）等远程接入方式进行。

9、在工业控制网络部署网络安全监测设备，及时发现处理网络攻击或异常行为，在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。

10、保留工业控制系统的相关访问日志，并对操作过程进行安全审计。

（6）云计算安全建议

云计算基于虚拟化和分布式计算技术，云计算服务已经不单单是一种分布式计算，而是分布式计算、效用计算、负载均衡、并行计算、网络存储、热备份冗杂和虚拟化等计算机技术混合演进并跃升的结果。云计算技术正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式，与此同时，它也引发了一系列新的安全威胁和挑战。云计算安全包括操作系统安全、数据安全、应用安全、网络控制安全等，对其安全建议如下：

云服务提供侧：

对于云服务商，需要构建安全稳定的基础设施平台，并且面向应用从构建、部署到运行时刻的全生命周期构建对应的安全防护手段：

1、云平台基础设施层的安全：基础设施主要包括支撑云服务的物理环境，以及运维运营包括计算、存储、网络、数据库、平台、应用、身份管理和高级安全服务等各项云服务的系统设施。云平台基础设施层是保障业务应用正常运行的关键，云服务商需要确保各项云技术的安全开发、配置和部署安全。

2、云服务的自身安全配置和版本维护：建立版本更新和漏洞应急响应机制，虚机OS的版本更新和漏洞补丁的安装能力也是保证基础设施安全的基本防护措施，除此之外如K8s等容器相关开源社区的风险漏洞，都可能成为恶意攻击者首选的攻击路径，需要厂商提供漏洞的分级响应机制并提供必要的版本升级能力。

3、平台的安全合规性：云服务商需要基于业界通用的安全合规标准，保证服务组件配置的默认安全性，同时面向平台用户和安全审计人员，提供完备的审计机制。

4、业务应用侧提供纵深防御能力：云服务商提供适合云场景下应用的安全防护手段，帮助终端用户在应用生命周期各阶段都能有对应的安全治理方案。

企业安全侧：

对于企业的安全管理和运维人员来说，首先需要理解云上安全的责任共担模型边界，究竟企业自身需要承担起哪些安全责任。对于企业安全管理人员来说可以参考关注如下方向加固企业应用生命周期中的生产安全：

1、应用制品的供应链安全：对于企业来说制品供应链环节的安全性是企业应用生产安全的源头，一方面需要在应用构建阶段保证制品的安全性；另一方面需要在制品入库，分发和部署时刻建立对应的访问控制，安全扫描、审计和准入校验机制，保证制品源头的安全性。

2、权限配置和凭证下发遵循权限最小化原则：对于企业安全管理人员来说，需要利用云服务商提供的访问控制能力，结合企业内部的权限账号体系，严格遵循权限最小化原则配置对云上资源的访问控制策略；另外严格控制资源访问凭证的下发，对于可能造成越权攻击行为的已下发凭证要及时吊销。

3、关注应用数据和应用运行时刻安全：除了配置完备的资源请求审计外，安全管理运维人员还需要保持对应用运行时安全的关注，及时发现安全攻击事件和可能的安全隐患。

4、及时修复安全漏洞和进行版本更新：无论是虚机系统，容器镜像或是平台自身的安全漏洞，都有可能被恶意攻击者利用成为入侵应用内部的跳板，企业安全管理运维人员需要根据云服务商推荐的指导方案进行安全漏洞的修复和版本更新。

九、 结语

从“互联网+”、大数据、“人工智能”到智慧城市，互联网对我国经济、社会、生活各方面的渗透与影响比以往更加深入。网络空间已经成为继陆地、海洋、天空、太空之后的“第五空间”。来自网络空间的威胁直接关系到社会安全、经济安全、基础设施安全乃至国家安全的重大问题。

我国是遭受网络攻击最严重的国家之一，现阶段我们仍然面临着工业控制系统网络安全保障体系不完善、网络安全自主创新能力有待提高、网络安全防护水平有待提升等不少亟待解决的网络安全问题，来自网络空间的各种挑战越来越严峻。但挑战与机遇并存，网络安全如今已上升为国家战略，网络安全产业已成为网络强国安全领域建设的重要基础。在网络安全需求的持续推动下，我国网络安全产业发展势头强劲，安全可控技术产品不断涌现，攻防技能得到进一步加强，网络安全形势整体向好。我们相信，在全社会的共同努力下网络安全保障体系必将不断健全。