截止 2019 年 11 月 27 日,NVD收录的 2019 年 CVE漏洞数目为 11633 个,其中高危漏洞 6549 个。 相较于 2017 年度的 15881 个和 2018 年的 15861 个,总体数量上有所下降,但是高危漏洞呈相对增长 趋势。
历年CVE漏洞数量变化
2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 漏洞总数 高危漏洞数
根据 CWE对漏洞类型的分类标准,2019 年排名前 10 的漏洞类型如下图所示:
2019年Top10漏洞类型
CWE-79 1231 CWE-20 1088
CWE-119 903
CWE-200 755
CWE-284 672
CWE-125 541
CWE-264 437
CWE-89 333
CWE-416 323
CWE-352 309
0 200 400 600 800 1
1200 1400
CWE-119(缓冲区溢出)、CWE-125(越界访问)以及 CWE-416(Use After Free)代表内存越界 操作漏洞,共 1767 条,通过此类漏洞攻击者可以获取任意代码执行权限。这类型的漏洞在浏览器和 Office 软件中比较常见,同时也是 APT攻击者的重要目标和武器。CWE-264 和 CWE-284 代表权限类型 的漏洞,共 1109 条,主要集中在服务器操作系统、
类的应用,以及部分应用较广的开源内容管 理系统中。传统的 Web 攻防技术也是屡见不鲜,CWE-79(XSS)、CWE-89(SQL 注入)、CWE-352 (CSRF)等常见于服务器及 Web 应用中,通过将恶意脚本嵌入到网页中,对网站数据造成危害。除此 之外漏洞类型较多的就是 CWE-200代表的信息泄露漏洞,攻击者通过触发漏洞能够导致敏感信息暴露, 比如系统配置信息,数据库信息等,可以为攻击者进一步的攻击行为提供帮助。提起今年的热点漏洞,毫不例外的会想到微软的远程桌面服务漏洞。5 月 14 日微软发布紧急安全 公告,公告称修复了 Windows 远程桌面协议(Remote Desk
Protocol,RDP)的一个高危漏洞 CVE- 2019-0708,无需身份验证且无需用户交互,可以被蠕虫类攻击利用。该漏洞是一个释放后使用(Use After Free)漏洞,当 RDP 连接建立时,RDP 服务端默认创建 MS_T120 静态虚拟信道,该信道对象会 被绑定到 0x1F 信道号中。此时 RDP 客户端若请求绑定名称为 MS_T120 的信道到指定信道号,那么 MS_T120 信道对象就绑定在两个不同的信道号下,得到两个独立的引用。这样当客户端要求释放 MS_ T120 信道时,将会删除引用,释放信道对象。但是在关闭 RDP 连接时也会释放 0x1F 的 MS_T120 信 道对象,由于该对象空间已经释放过,再次引用就会触发 UAF漏洞。9 月 7 日 Metasploit 团队公开发布了该漏洞的利用模块 cve_2019_0708_bluekeep_rce.rb,该模块以 64 位版本的 Windows 7 和 Windows Server 2008 R2 为目标,根据下图 options 的信息,攻击者需要提 供设置 RHOSTS、RPORT、target,可用于针对性的攻击。目前为止,我们的设备检测到的对该漏洞的 告警数据已达到 56827 次。
| 漏洞分类 | 告警数 |
|---|---|
| Netcore/Netis 路由器后门 | 5013213 |
| 大华监控设备非授权访问漏洞 | 169930 |
| D-Link DSL-2750B任意命令执行漏洞 | 140471 |
| TP-Link无线路由器 HTTP/TFTP 后门漏洞 | 55051 |
| 施耐德派尔高 Sarix enhanced 摄像头命令执行漏洞 | 29418 |
| 施耐德派尔高 Sarix Pro 摄像头 session.cgi 程序缓冲区溢出漏洞 | 28472 |
| 华为 HG532 路由器远程命令执行漏洞 (CVE-2017-17215) | 14730 |
| D-Link路由器 User-Agent 后门漏洞 | 9608 |
| Motorola 无线路由器 WR850G 认证绕过漏洞 | 4208 |
| 物联网设备的漏洞主要分布在 Web 应用、系统以及相关协议中。在 Web 应用方面,用户一般都会 使用默认配置、弱口令密码,使得 SQL注入、XSS这样的漏洞数不胜数。在系统层面上,就摄像头而言, ROM通常涉及的文件系统 SquashFS、JFFS2、UBIFS 等会存在一些安全漏洞,而且这些固件的更新除 了依赖于厂商的重,还关系到用户是否有更新的意愿。除此之外就是种类繁多的应用协议,比如摄像 头用到即插即用协议 UPnP、实时流传输协议 RTSP 以及 ONVIF规范协议等,那么与协议相关的未授权 访问漏洞就会引起黑客的关注。 |
其他 3.80%
告警数量
6000 4000 2000 0
5 6 7 8 9 10 11 12
月份
图 5.2 CVE-2019-0708 RDP 远程代码执行漏洞的攻击概况
5.1.2.3 应用类漏洞
应用类软件主要提供文档、多媒体、主机管理等功能,常见的包括各类客户端(例如浏览器、邮件 客户端)、杀软、Office 办公软件、Flash 播放器、PDF 阅读器等。这类漏洞主要是黑客利用钓鱼邮件, 通过恶意链接、恶意附件的形式投递恶意程序,在用户点击相关资源时,对应程序的漏洞会被触发,最 终导致感染和信息泄露。
其他 19%