2018年Q1季度漏洞观察报告.pdf

季度漏洞观察报告2018/第一季度Quarterly Vulnerability Observation Report研究简介尽管网络安全已经从国家意志普及到全民意识，品类繁多的网络安全产品防护范围业已从“中枢神经”延伸至“毛细血管”，然而，安全事件爆发却依然呈现势不可挡的趋势。世界范围内，导致用户信息泄露、经济损失等攻击事件频发，漏洞数量激增。漏洞作为“泄密之源”，对其进行日常观测和分析意义重大。此外，安全事件也越来越多的呈现“全球化”趋势，从2017年的WannaCry波及全球150多个国家，到今年的Facebook泄露事件起源于英国肇事企业，却可能影响了美国大选。尽管对漏洞的利用源于“无国界”的技术，但网络安全却更多的具备了国家属性。将漏洞的技术属性和安全事件的社会属性进行结合， 在相对长期的观察中，逐渐清晰的判断才能更好的指导安全工作的完善，以更战略的眼光布局网络安全。长亭科技安全服务团队对工作和研究过程中积累的大量案例数据进行分析，定期输出漏洞观察报告，为相关从业者提供一定的工作参考依据。一季度漏洞威胁分析核心结论：/41.18%的企业面临丢失系统控制权限的风险。/44.12%的企业的业务稳定性受到威胁。/91.18%的企业可能会发生数据泄露。/跨站脚本攻击漏洞、越权漏洞以及SQL注入漏洞是 本季度出现最频繁的漏洞类型。/尽管金融企业机构的整体安全建设略优于全行业平均水平，但由于其业务逻辑漏洞危害明显，潜在风险仍不可轻视。一季度国家漏洞收录 031/1 漏洞危害评级 041/2 漏洞影响对象分布 041/3 漏洞类型分布 05一季度漏洞威胁分析 062/1 企业高危漏洞分布 072/2 季度重点漏洞详述 082/3 金融垂直行业概览 11一季度安全事件杂评 133/1 特别整理：数字货币相关 143/2 特别整理：信息泄露相关 143/3 产品漏洞类 153/4 攻击事件类 163/5 攻防技术研究类 17CONTENT目录010203一季度国家漏洞收录 Overview of Vulnerabilities011/1 漏洞危害评级2018年第一季度，国家级漏洞库采集安全漏洞约三、四千个。具体，国家信息安全漏洞库（以下简称CNNVD）共采集3035个 ，国家信息安全漏洞共享平台（以下简称 CNVD）共收集、整理4118个 。CNNVD采集的本季度新增漏洞中，超危漏洞占比2.64%，高危漏洞占比7.12%，中危漏洞占比75.29%，低危漏洞占比14.96%；其中，合计2216个漏洞已有修复补丁发布，本季度整体修复率73.01%。CNVD收集、整理的信息安全漏洞中，本季度高危漏洞占比32.93%，中危漏洞占比58.52%，低危漏洞占比8.55%；上述漏洞中，可被利用实施远程网络攻击的漏洞3544个，占季度漏洞总数的86.06%。1/2 漏洞影响对象分布CNVD统计的全部漏洞中，应用程序漏洞超过半数，比例达58.45%；Web应用漏洞数量次之，占比17.80%。数据来源：CNVD漏洞信息月度通报图1 漏洞影响对象分布及比例季度漏洞观察报告Quarterly Vulnerability Observation Report04应用程序漏洞Web应用漏洞操作系统漏洞网络设备漏洞安全产品漏洞数据库漏洞58.45%8.06%17.80%1.34%3.75%10.60%1.数据来源：此数据与后续相关数据均摘自CNNVD信息安全漏洞月通报。2.数据来源：此数据与后续相关数据均摘自CNVD漏洞信息月度通报。12季度漏洞观察报告Quarterly Vulnerability Observation Report051/3 漏洞类型分布据CNNVD发布的漏洞类型分布统计，本季度新增漏洞中，跨站脚本类漏洞所占比例最大，约为13.94%；缓冲区错误类漏洞数量次之，占比8.80% 。134134跨站脚本缓冲区错误信息泄漏权限许可和访问控制输入验证SQL注入跨站请求伪造路径遍历13.94%8.80%6.85%6.26%4.48%3.43%2.70%1.91%数据来源：CNNVD信息安全漏洞月通报图2 漏洞类型分布及比例3.类型划分依据CNNVD信息安全漏洞月通报直接摘录，与后文维度有所不同。3一季度漏洞威胁分析 Facing Security Threats022.1 企业高危漏洞分布图3 存在高中低危漏洞的企业比例2018年第一季度，长亭科技安全服务团队研究和服务的项目数据显示，存在高危漏洞的企业机构占总数的88.24%，存在中危漏洞的企业机构占比87.56%，存在低危漏洞的企业机构占比76.47%。4.按照行业标准，漏洞危害评级由漏洞类型、影响程度、利用难度等多个因素决定。理解每个漏洞，乃至多个漏洞间的组合利用方式，往往可以将中低危漏洞升级为高危等级。5.威胁业务稳定在本报告中指线上代码、数据库、服务进程等权限可被获取，核心业务数据与用户数据等可被非授权人员增删改查，或是由于严重逻辑设计缺陷和流程缺陷，导致业务不能稳定运转，形成系列后果。可获取最高权限型影响本季度，41.18% 的模拟入侵实现了获取业务操作系统最高权限。攻击者可以在获取其服务器主机的系统权限后，进一步获取其服务器主机上的如业务代码、敏感数据、网络流量等业务资源，甚至以此为跳板获取更多资产数据，最终造成信息泄露、网站宕机、客户端无法使用等后果。威胁业务稳定 型影响本季度，业务稳定性可能受到威胁的企业占总数的44.12%。威胁业务稳定型影响可能导致的后果包括业务中断、系统不可用、数据丢失、信息泄露等，如SQL注入漏洞、命令执行漏洞、任意文件上传漏洞等，可通过操纵数据库数据、操作业务代码、执行系统命令等方式影响业务稳定性。细分存在此类问题的企业，58.82%存 在SQL注入漏洞，25.49%存在任意文件操作漏洞，27.45%存在命令执行漏洞，部分企业多类漏洞共存。图4 成功获取最高权限的企业比例图5 业务稳定性受到威胁的企业比例41.18%存在高危漏洞的企业存在中危漏洞的企业存在低危漏洞的企业88.24%87.56%76.47%4544.12%季度漏洞观察报告Quarterly Vulnerability Observation Report07数据泄露风险 型影响本季度存在明显数据泄露风险的企业占总数比例高达91.18%。此类风险如备份文件泄漏、绝对路径泄漏、git&svn泄漏、配置文件泄漏、密钥泄漏等，可直接导致包括系统源码、业务系统配置信息、业务系统账号密码等在内的数据泄露。图7 存在业务逻辑漏洞的企业比例2/2 季度重点漏洞详述41.19%58.82%图6 存在信息泄露风险的企业比例91.18%纵观本季度，如下漏洞类型值得特别重视：业务逻辑漏洞本季度存在业务逻辑漏洞的企业占总数的41.19%。业务逻辑漏洞在本报告中指程序开发过程中由于考虑不全或处理不当导致的一类漏洞，主要集中在验证码绕过、账单金额修改、任意密码重置、认证绕过等方面。在众多常见的漏洞类型中，业务逻辑漏洞因其检测难、对业务影响大而应受到格外重视。攻击者可以利用业务逻辑的缺陷，实施欺诈行为，导致企业的运营效果大打折扣，资金投入收不到应有的成效。不同于其他漏洞可通过自动化工具发现，业务逻辑漏洞大部分需要人工分析以确定是否存在风险，故测试团队的水平在很大程度上决定了最终效果。越权漏洞本季度存在越权漏洞的企业占总数的58.82%。越权漏洞在本报告中指可以让攻击者获取多于当前身份应有权限的一类漏洞，常见的越权漏洞分为水平越权、垂直越权、上下文越权，给用户的资金和隐私带来了较为严重的安全隐患。利用垂直越权漏洞，普通用户可以获得管理员的操作权限；利用水平越权漏洞，用户A可以对用户B的信息进行增删改查。另一种较为常见的越权方式是上下文越权，较为典型的业务场景是：为获取他人账户控制权，攻击者可以先利用正常的信息通过验证，之后非法修改某些参数，重置别人密码以达到目的。越权漏洞的出现通常是因为程序开发人员在对数据进行增删改查时没有对当前用户身份进行鉴权，且用于查询的参数可以在数据请求包中被控制，通过渗透测试发现并修复漏洞是有效的解决办法。图8 存在越权漏洞的企业比例SQL注入漏洞本季度存在SQL注入漏洞的企业占总数的58.82%。SQL注入漏洞的危害通常表现在数据库中的敏感信息失窃，在某些条件下，还可被攻击者写入恶意文件，造成操作系统权限丢失。该类漏洞存在的主要原因是开发人员没有严格审查客户端传输到服务器端的参数，同时该参数被当做逻辑语句执行。当采用字符串拼接的方式执行语句时，攻击者就有机会在参数中插入恶意的SQL查询语句，达到攻击目的。跨站脚本攻击漏洞本季度存在跨站脚本攻击漏洞的企业占总数的70.59%。跨站脚本攻击漏洞是最常见又最能被灵活利用的一类漏洞，其主要利用方式是：恶意攻击者利用网站本身的设计缺陷，在Web页面嵌入恶意Script代码。当来访用户浏览此页面时，恶意指令会自动执行，致使来访用户的Cookie被窃取，身份被冒用，最终导致信息泄露、金钱损失。命令执行漏洞本季度发现存在命令执行漏洞的企业占总数的29.41%，问题主要集中在反序列化、沙盒逃逸、中间件、任务分发等业务中。命令执行漏洞的出现通常源于程序直接或间接地调用了系统函数或系统命令。与其他漏洞相比，通过命令执行漏洞攻击者可以更加直接地获取目标操作系统权限。此类漏洞的利用方式通常是：攻击者通过66.数据泄露风险在本报告中指核心业务数据、业务系统代码、系统口令、密钥等敏感信息以及用户信息存在被非授权人员获取的可能，操作包括但不限于对数据库信息进行增删改查。7.越权漏洞被特别列出，不统计在此类别下。8.分类说明：本质上，越权漏洞也是业务逻辑漏洞中的一种，但由于其漏洞影响较为明确且出现频率较高，故特别列出。控制命令执行函数中的参数，将恶意系统命令注入到正常命令中，造成命令执行攻击。利用此种漏洞，攻击者可以直接获取Web容器权限，进而获取企业线上业务代码、敏感数据或进行深入的内网渗透。任意文件操作漏洞本季度存在任意文件操作漏洞的企业占总数的23.53%。任意文件操作漏洞包括任意文件上传、读取、删除、下载和任意文件包含等，其中任意文件上传是渗透测试中最常遇到的安全问题。多数业务系统都有上传文件的功能，当没有对上传文件进行校验和过滤时，就可能导致攻击者直接上传的WebShell被放过，进而丢失服务器权限。弱口令本季度存在弱口令的企业占总数的53.85%。弱口令是指业务系统使用了默认口令或者过于简单的口令。相较于其他可以通过技术手段修复或减弱影响的漏洞类型，弱口令这种安全意识层面的不安全因素更难杜绝。弱口令的存在一般有如下原因：系统开发者为方便设置了默认账号，业务上线后却忘记修改和删除；系统使用者或管理员为方便记忆，使用了常用密码或弱密码；系统口令硬编码暴露在代码或相关配置文件中。对于企业来说，一个毫不起眼的弱口令有时却是致命的。敏感信息泄漏本季度存在敏感信息泄露漏洞的企业占总数的64.71%。敏感信息泄漏指企业机构有价值的用户信息或系统信息被外部人员收集。常见的信息泄漏类型包括：绝对路径泄漏、注释信息未删除、配置不当、代码泄漏、用户名密码泄漏、内网地址泄漏等。尽管单一漏洞很难造成严重危害，但结合其他不安全因素，又往往在渗透中发挥关键作用。解决敏感信息泄露问题的难点在于：漏洞分布较随机，泄露方式和泄露内容多样，很难有效预测此类问题的存在位置，并通过技术或管理手段将其根除。季度漏洞观察报告Quarterly Vulnerability Observation Report088758.82%29.41%纵观本季度，如下漏洞类型值得特别重视：业务逻辑漏洞本季度存在业务逻辑漏洞的企业占总数的41.19%。业务逻辑漏洞在本报告中指程序开发过程中由于考虑不全或处理不当导致的一类漏洞，主要集中在验证码绕过、账单金额修改、任意密码重置、认证绕过等方面。在众多常见的漏洞类型中，业务逻辑漏洞因其检测难、对业务影响大而应受到格外重视。攻击者可以利用业务逻辑的缺陷，实施欺诈行为，导致企业的运营效果大打折扣，资金投入收不到应有的成效。不同于其他漏洞可通过自动化工具发现，业务逻辑漏洞大部分需要人工分析以确定是否存在风险，故测试团队的水平在很大程度上决定了最终效果。越权漏洞本季度存在越权漏洞的企业占总数的58.82%。越权漏洞在本报告中指可以让攻击者获取多于当前身份应有权限的一类漏洞，常见的越权漏洞分为水平越权、垂直越权、上下文越权，给用户的资金和隐私带来了较为严重的安全隐患。利用垂直越权漏洞，普通用户可以获得管理员的操作权限；利用水平越权漏洞，用户A可以对用户B的信息进行增删改查。另一种较为常见的越权方式是上下文越权，较为典型的业务场景是：为获取他人账户控制权，攻击者可以先利用正常的信息通过验证，之后非法修改某些参数，重置别人密码以达到目的。越权漏洞的出现通常是因为程序开发人员在对数据进行增删改查时没有对当前用户身份进行鉴权，且用于查询的参数可以在数据请求包中被控制，通过渗透测试发现并修复漏洞是有效的解决办法。图9 存在SQL注入漏洞的企业比例图11 存在命令执行漏洞的企业比例SQL注入漏洞本季度存在SQL注入漏洞的企业占总数的58.82%。SQL注入漏洞的危害通常表现在数据库中的敏感信息失窃，在某些条件下，还可被攻击者写入恶意文件，造成操作系统权限丢失。该类漏洞存在的主要原因是开发人员没有严格审查客户端传输到服务器端的参数，同时该参数被当做逻辑语句执行。当采用字符串拼接的方式执行语句时，攻击者就有机会在参数中插入恶意的SQL查询语句，达到攻击目的。跨站脚本攻击漏洞本季度存在跨站脚本攻击漏洞的企业占总数的70.59%。跨站脚本攻击漏洞是最常见又最能被灵活利用的一类漏洞，其主要利用方式是：恶意攻击者利用网站本身的设计缺陷，在Web页面嵌入恶意Script代码。当来访用户浏览此页面时，恶意指令会自动执行，致使来访用户的Cookie被窃取，身份被冒用，最终导致信息泄露、金钱损失。命令执行漏洞本季度发现存在命令执行漏洞的企业占总数的29.41%，问题主要集中在反序列化、沙盒逃逸、中间件、任务分发等业务中。命令执行漏洞的出现通常源于程序直接或间接地调用了系统函数或系统命令。与其他漏洞相比，通过命令执行漏洞攻击者可以更加直接地获取目标操作系统权限。此类漏洞的利用方式通常是：攻击者通过控制命令执行函数中的参数，将恶意系统命令注入到正常命令中，造成命令执行攻击。利用此种漏洞，攻击者可以直接获取Web容器权限，进而获取企业线上业务代码、敏感数据或进行深入的内网渗透。任意文件操作漏洞本季度存在任意文件操作漏洞的企业占总数的23.53%。任意文件操作漏洞包括任意文件上传、读取、删除、下载和任意文件包含等，其中任意文件上传是渗透测试中最常遇到的安全问题。多数业务系统都有上传文件的功能，当没有对上传文件进行校验和过滤时，就可能导致攻击者直接上传的WebShell被放过，进而丢失服务器权限。弱口令本季度存在弱口令的企业占总数的53.85%。弱口令是指业务系统使用了默认口令或者过于简单的口令。相较于其他可以通过技术手段修复或减弱影响的漏洞类型，弱口令这种安全意识层面的不安全因素更难杜绝。弱口令的存在一般有如下原因：系统开发者为方便设置了默认账号，业务上线后却忘记修改和删除；系统使用者或管理员为方便记忆，使用了常用密码或弱密码；系统口令硬编码暴露在代码或相关配置文件中。对于企业来说，一个毫不起眼的弱口令有时却是致命的。敏感信息泄漏本季度存在敏感信息泄露漏洞的企业占总数的64.71%。敏感信息泄漏指企业机构有价值的用户信息或系统信息被外部人员收集。常见的信息泄漏类型包括：绝对路径泄漏、注释信息未删除、配置不当、代码泄漏、用户名密码泄漏、内网地址泄漏等。尽管单一漏洞很难造成严重危害，但结合其他不安全因素，又往往在渗透中发挥关键作用。解决敏感信息泄露问题的难点在于：漏洞分布较随机，泄露方式和泄露内容多样，很难有效预测此类问题的存在位置，并通过技术或管理手段将其根除。图10 存在跨站脚本攻击漏洞的企业比例70.59%季度漏洞观察报告Quarterly Vulnerability Observation Report09