前 言 面对高速发展的今天,互联网成为了联结所有人信息的交汇点,同样对于互联网中的漏洞也在不断的迭代更新。 传统的网络安全大多面向局部安全,未曾考虑整体全网环境下的网络安全,这样也造成了近年来攻击者频繁面向全网展开攻击。数亿的物联网设备安全问题被大范围的暴露出来。同时攻击者在面向全网攻击,既包括传统攻击方式WEB攻击、缓冲区溢出攻击、数据库攻击,也涵盖了新型攻击——重点针对物联网设备和工控设备层面的攻击,现阶段也越发的频繁。
对于今天的互联网安全我们更需要通过模型监测方式来持续观察漏洞趋势和影响范围,才能持续应对漏洞爆发之后的安全趋势分析评估。
本文主要通过网络测绘角度收集各种资产协议的版本号信息,通过比对cve漏洞影响范围中的版本号方式进行安全风险趋势分析,无任何实际危害互联网行为。资产在携带版本中也会存在修复补丁后版本不变的情况。所以分析仅仅站在宏观角度的全网安全风险趋势出发,通过数据预测2021年安全漏洞趋势和重点高风险资产预测。
(备注:全网——整体互联网空间,包括ipv4,ipv6,域名信息等) 图 :cvss漏洞等级
文中采用cvss3.0漏洞等级命名critical超危,high 高危,medium 中危,low 低危,none 无影响。
CVE影响范围
本次分析主要针对2010年后的cve范围,考虑到之前的cve相关资产和协议很大程度上已经被修复或者有同类型的软件升级修复因此不在本文分析范围之内。 图 :cve 10年增长趋势
通过上图整体趋势我们可以看出历年漏洞数量整体还是持续增长,并且在10年中最明显的变化是2020年,cve数量已经超过2010年数量的5倍多。
我们以互联网中2020年10月至11月监测到的全网资产数量(不包含历史数据和重复数据)对比监测到的漏洞数量计算整体互联网的漏洞比例为15%。
基于本次分析中前5 cve编号分别是: CVE-2018-1303
特意制作的HTTP请求标头可能导致2.4.30版之前的Apache HTTP Server崩溃,原因是读取范围超出限制。它可以用作对modcachesocache用户的拒绝服务攻击。
CVE-2018-1312
在Apache httpd 2.2.0至2.4.29中,当生成HTTP Digest身份验证质询时,使用伪随机种子未正确生成为防止答复攻击而发送的随机数。在使用通用Digest身份验证配置的服务器群集中,攻击者可能会在未检测到HTTP请求的情况下跨服务器重播HTTP请求。
CVE-2017-9798
如果可以在用户的.htaccess文件中设置Limit指令,或者httpd.conf有某些错误配置(也称为Optionble),则Apache httpd允许远程攻击者从进程内存中读取机密数据。这会影响通过2.2.34和2.4.x通过2.4.27的Apache HTTP Server。
CVE-2019-0217
在Apache HTTP Server 2.4版本2.4.38和更低版本中,在线程服务器中运行时,modauthdigest中的争用条件可能允许具有有效凭据的用户使用其他用户名进行身份验证,从而绕过配置的访问控制限制。
CVE-2017-9788
在2.2.34之前的Apache httpd和2.4.27之前的2.4.x中,类型'Digest'的[Proxy-] Authorization标头中的值占位符未在modauthdigest连续分配key = value之前或之间初始化或重置。提供没有“ =”分配的初始密钥可能反映先前请求使用的未初始化池内存的陈旧值,从而导致潜在机密信息的泄漏,以及在其他情况下的段错误(segfault),从而导致拒绝服务。 图 : cve 影响资产数量
通过排名前5的cve漏洞的详细描述,可发现主要漏洞安全风险影响集中在web中间件apache上。
CVE年份影响分布
cve历年增长趋势中我们可以看到2020年的漏洞统计数量上已经高居首位那么应该2020年的漏洞影响范围最广。而实际情况更多的漏洞主要集中在2017年的cve编号上。说明了互联网整体服务软件更新相对要落后从而导致潜在安全隐患的软件未能及时更新升级打补丁。 图 :全球cve编号年份占比
全球cve编号年份漏洞所影响全网资产数量统计比例,其中以cve2017年最高,cve2018年第二,cve2019年第三,但是整体平均值均在20%左右分布比较均匀。预测2021年的cve漏洞影响互联网占比会在20%-30%。 中国地区的cve年份主要集中在cve2018年第一,cve2019年第二,cve2017年第三。其中相比图2-1中的cve2017年第一下落到第三,相对国内地区软件更新速度比互联网整体的趋势要快一些。预测在2021年国内地区受cve漏洞影响资产范围占比在20%-30%区间。
全球地区cve漏洞风险影响主要集中在美国,中国,德国、法国和日本。
图 :国内地区cve top 20
国内地区主要集中在北京,广东,浙江,香港,上海。
图 :国内地区cve等级分布
国内地区中危漏洞为主占比50%,高危漏洞38%,超危漏洞8%。
图 :超危等级漏洞分布
CVE漏洞主要影响软件类型 根据全网cve漏洞影响范围中对应软件统计主要以apache, mysql,nginx,tomcat,openssh为主,也是互联网中最常见的中间件软件和数据库以及远程管理协议。
安全建议
我国近些年互联网行业飞速发展,服务器大量部署,软件大量应用,但高速发展必然会有一些后遗症。从安全的角度看来,由于互联网从业人员很少涉及安全这一块,导致了漏洞也呈爆发式增长,不管是从总计的CVE数量还是从严重类型的CVE数量,都远超其他国家。并且,随着5G、物联网设备的发展,互联网又会进入到另一个腾飞的阶段,但由于安全人员的短缺,我国的网络安全又将面临严峻的形势。一方面对于网络安全人才培训的加大投入,同时对于互联网应用软件能够及时迭代更新打补丁同样至关重要。
联系我们:[email protected]