2020年活跃高危安全漏洞盘点.pdf

2020 年活跃高危安全漏洞盘点 安恒应急响应中心 2021 年 1 月 目录 1. 漏洞公告 . 1 1.1. 漏洞跟踪 . 1 1.2. 漏洞关注 . 2 2. 威胁态势 . 3 2.1. 社工行为 . 3 2.2. 边界突破 . 4 2.3. 高级威胁 . 5 3. 活跃 漏洞 . 6 3.1. 第一季度 . 6 3.2. 第二季度 . 7 3.3. 第三季度 . 9 3.4. 第四季度 . 12 4. 安全建议 . 14 4.1. 漏洞缓解 . 14 4.2. 关于我们 . 15 1 1. 漏洞公告 1.1. 漏洞跟踪 2020 年 1 月到 12 月 ， 安恒应急响应中心公众号发布了超过 70 篇高危安全漏洞和 高级攻击事件风险提示，包含了 50 家以上软件产品和厂商的安全公告解读，预警的安 全漏洞主要为远程代码执行漏洞或远程命令执行漏洞，此类漏洞成功利用能直接远程获 取目标系统管理权限或服务运行权限。 在 70 多篇风险提示中，超过 30%的漏洞提供了可利用性的验证，并同步更新了检 测类产品（漏洞扫描器）和防御类产品的检测规则，同时我们对超过 30%的漏洞提供了 全球受影响资产范围的数据分析。 在攻击事件方面，主要为年底曝出的供应链攻击事件。此类攻击隐蔽性极高，成功 实施后能长时间建立隐蔽通道获取目标系统敏感数据，应急响应中心第一时间对获取的 漏洞情报进行跟踪，分析研判影响范围，验证其具体可利用性，并快速输出风险提示（预 警），及时提醒使用该产品的用户关注该厂商发布的安全更新补丁，采取临时可用的缓 解措施避免遭受恶意攻击者的第一波攻击。 2020 年活跃漏洞产品或所属厂商简约统计如下图： 2 1.2. 漏洞关注 安恒应急响应中心主要针对高危及以上级别的漏洞或是安全事件进行风险提示。具 体定级参考包括 CVSS3.0 版本风险矩阵基本分数（ Base Score）为 10 或接近于 10 （ 9.8/9.9）的漏洞或 9.5 以上漏洞，同时分析综合漏洞严重程度、漏洞利用效果、利用 代码公开程度、漏洞利用难度、黑客攻击行为、威胁情报样本、 APT 秘密泄露、威胁场 景推演等，应急响应中心研判标准示例： 定级参考 描述 CVSS分数 10或接近于 10（ 9.8/9.9）的漏洞，能导致系统遭受严重攻击威胁，一些例外：分数较低，但实际可利用的漏洞也会纳入预警 严重程度 标记为 Critical、严重、紧急、高危、版本覆盖率高或全版本、核心服务和模块，即使厂商还未出公告，也会考虑纳入预警 漏洞利用 远程代码执行、远程命令执行、 本地代码执行或提权、漏洞利用不影响服务正常运行、可多次利用、或对关键服务有拒绝服务利用效果也会考虑纳入预警 公开程度 已经有详细漏洞利用分析（比如漏洞触发点）、 POC、 Exploit代码、 Python脚本、其他利用工具等公开 利用难度 使用现有漏洞框架包执行（比如反序列化工具）、构造 Java或 PHP代码执行、基于代理 3 工具抓包构造参数、内存攻击代码方式等 攻击行为 基于字典密码爆破密码成功后自动植入恶意程序、基于漏洞利用成功后自动植入恶意程序、针对供应链攻击等 情报样本 基于公开的 APT攻击链中样本模 块、攻击手法、钓鱼行为等 TTPs,以及攻击团伙活跃情况 秘密泄露 标记为 NSA、方程式组织（ Equation Group）等国家级攻击团队信息泄露 威胁推演 该漏洞或事件可导致产生大范围僵尸肉鸡、大范围篡改攻击、大范围蠕虫爆发、因供应链 攻击的关联攻击 未知威胁 分子实验室和研究院、产品平台捕获的未公开漏洞和攻击链样本 2020 年，安恒应急响应中心更聚焦可利用性的漏洞关注。固定关注超过 50 个全球 主流安全或软件厂商的安全公告发布通道、包括商业软件厂商、开源软件代码更新发布 等，超过 80 组动态情报来源、 0day、 APT 样本等，覆盖攻击生命周期、供应链攻击生 命周期等用于边界突破的高危安全漏洞和内网攻击行为的事件分析和快速响应。 另外，安恒应急响应中心除了跟踪全球最新漏洞情报，还主动出击挖掘漏洞，比如 报告了 Weblogic、 Jackson 等产品漏洞，并向产品厂商提供安全建议等。 2. 威胁态势 2.1. 社工行为 2020 年初，由于新冠疫情（ COVID-19）因素，网络上出现多起 恶意攻击者利用社 交网络上的，新冠病毒疫情讨论群组传播恶意附件的行为 ， 应急响应中心监测发现在 Telegram上相关“武汉肺炎疫情”、“新型冠状病毒”、 “实时疫情真相”、“防范知 识”等新冠病毒疫情交流讨论群里，有人恶意投放包含这些关键词的文件附件，诱骗用 户打开从而感染电脑病毒和植入木马程序，发现的样本主要以诱骗用户主动下载运行的 可执行文件为主，有明显带 .exe可执行文件后缀的恶意文件（比如：冠状病毒 .exe、逃 离武汉 .exe），也有带 .zip的压缩包诱导用户解压执行（比如：中国新型冠状病毒已经 出现 4000 多 .zip）等，安恒威胁情报中心和应急响应中心及时对截获的恶意样本进行 了分析并发布预警。 截获的部分样本分析示例如下图： 4 2.2. 边界突破 2020 年全年，应 急响应中心监测发现偏 Web 类的云管理平台、 Web 应用服务、中 间件组件的远程代码执行漏洞，以及虚拟机本地权限提升的逃逸漏洞等依然是出现较多 的高危风险点。这些应用服务和中间件组件漏洞通常直接用于网络边界突破，同时在年 中攻防演练的场景中，发现大量用于边界防御的安全设备也被曝安全漏洞，从而受到直 接攻击。在此期间，应急响应中心报告的漏洞和验证的漏洞主要为此类用于边界突破的 漏洞，其中 Web 类漏洞又以反序列化漏洞为主，同时安恒信息海特实验室报告了基站 前台命令执行漏洞，应急响应中心第一时间进行漏洞验证。 报告示例如下图： 同时，安恒 SUMAP 平台对全球网络空间的资产进行快速测绘，并输出受漏洞影 5 响产品的资产范围和数据， SUMAP 影响数据报告示例如下图： 2.3. 高级威胁 2020 年底， SolarWinds Orion Platform 软件被曝在 2020 年 3 月到 6 月发布的版本 中，发现遭受了国家级别的高度复杂的供应链攻击事件（ SUNBURST 后门）。根据公 告，此次攻击是软件源码级别的寄生污染，由于该软件客户众多，其中包括很多国际大 型企业和政府机构，对安装和部署了受污染软件的企业和机构，面临着被隐蔽攻击的巨 大风险，安恒威胁情报中心和 应急响应中心对此次供应链攻击事件的生命周期进行复盘 和持续跟踪，并第一时间进行了预警，针对供应链生命周期的技战术进行了快速分析。 复盘的简约示例如下图： 6 近年来，从供应链攻击趋势来看，攻击者选取的寄生污染目标和技战术越来越隐蔽， 驻留目标系统后静默时间更长，代码、 C2 域名、后门流量等都高仿宿主软件代码风格 和特征，这对依赖黑名单规则和已知威胁情报的检测方式提出了更高挑战，建议依赖非 黑名单的分析模型进行针对高级威胁的防御能力建设，比如通过大数据综合分析来识别 和发现此类隐蔽的 APT 攻击行为。 3. 活跃 漏洞 3.1. 第一季度 2020 年一季度（ 1 月 -3 月），安恒应急响应中心公众号共发了 15 篇高危漏洞风 险提示，其中 3 篇提供了漏洞验证截图， 3 篇提供了全球网络空间受影响资产测绘数 据。年初，由于新冠疫情（ COVID-19）因素，网络上出现多起 恶意攻击者利用社交 网络上的，新冠病毒疫情讨论群组传播恶意附件的行为 ， 应急响应中心监测发现在 Telegram上相关疫情、新冠病毒等交流讨论群里，有人恶意投放包含这些关键词的文 件附件，诱骗用户打开从而感染电脑病毒和植入木马程序。安恒威胁情报中心和应急 响应中心及时对截获的恶意样本进行了分析并发布预警，同时 提供了专用邮箱便于接 收用户反馈的恶意和可疑文件。 漏洞方面， 一季度验证 可利用的漏洞主要包括： Citrix ADC（ Application Delivery Controller）和 NetScaler （ Citrix Gateway） 10.*到 13.*的版本存在远程代码执行漏洞 ，该漏洞能实现路径遍历效果，导致信息泄 露； Apache Tomcat AJP 协议存在不安全权限控制，可通过 AJP Connector 直接操作内 部数据从而触发的文件包含漏洞，该漏洞能获取目标系统敏感文件，或在控制可上传 文件的情况下执 行恶意代码获取管理权限； Apache ShardingSphere 未限制的 YAML 解析可能导致不安全反序列化漏洞，恶意 攻击者可以通过默认用户名和密码： admin/admin 登录后，构造特定的 YAML语句达到 命令执行的效果。 安恒应急响应中心在产品厂商漏洞公告后，第一时间验证漏洞的可利用性并发布 预警，一季度发布的其他漏洞预警包括： 7 月份 预警公告 漏洞验证说明 资产影响范围统计 1 月 Citrix ADC 和 NetScaler 漏洞风险提示 有 有 Windows CryptoAPI ECC 欺骗漏洞修复提 示 无 无 Oracle WebLogic 多个安全漏洞提示 无 无 利用新冠病毒疫情讨论群组传播恶意附件风险提示 无 无 2 月 Cisco 2 月安全公告修复多个漏洞风险提示 无 无 SQL Server Reporting Services 高危漏洞风险提示 无 无 Apache Tomcat AJP 协议高危漏洞风险提示 有 有 VMware vRealize Operations for Horizon Adapter 高危安全漏洞风险 提示 无 无 3 月 pppd 使用的 EAP 协议高危漏 洞风险提示 无 无 Apache ShardingSphere 高危漏洞风险提示 有 无 Windows 10 和 Server 版本 SMBv3 协议高危漏洞风险提示 无 无 VMware Workstation 等多个产品高危漏洞风险提示 无 无 通达 OA 高危漏洞可能感染勒索病毒的风险提示 无 有 Fastjson 高危漏洞风险提示 无 无 Windows 字体解析高危漏洞风险提示 无 无 3.2. 第二季度 2020 年二季度（ 4 月 -6 月），安恒应急响应中心公众号共发了 22 篇高危漏洞风 险提示，其中 8 篇提 供了漏洞验证截图， 6 篇提供了全球网络空间受影响资产测绘数 据。 4 月，网络上有多个用户反馈中了名为“ WannaRen”勒索病毒，加密后的文件 扩展名为 *.WannaRen，并索要比特币才能解密，安恒应急响应中心和威胁情报中心 对抓取的勒索病毒样本进行了综合分析，发现黑产团伙此次攻击链如下： 当用户使用了非官方渠道下载精心打包的恶意程序，恶意程序即执行捆绑的 PowerShell 脚本进一步下载后续恶意文件包，其中使用了白加黑技术加载恶意的加 8 密模块 wwlib.dll，并设置服务态启动，使得勒索实际过程在重启之后触发， 重启之后 加密勒索程序被注入到 cmd.exe（ mmc.exe、 svchost.exe 等），等待加密完成后， 释放解密器和勒索信，针对该恶意攻击样本，安恒应急响应中心根据分析结果第一时 间发布风险提示，提醒用户注意规避和防范。 漏洞方面， 二季度验证 可利用的漏洞主要包括： Oracle WebLogic Server 的 Core 组件、 T3 协议远程代码执行高危漏洞，成功利 用该漏洞可以达到命令执行的效果，甚至获取 WebLogic Server的服务运行权限 ； vBulletin前台 SQL 注入漏洞，该漏洞由安恒 Zionlab团队分析报告并提供验证； Apache Tomcat 反序列化漏洞， Tomcat 在开启 Session 持久化配置和业务系统存 在上传漏洞等场景下，恶意攻击者可以通过反序列化漏洞实现远程代码执行攻击，从 而获取系统权限； spring-cloud-config-server模块的目录遍历漏洞，可以直接通过构造 URL触发， 读取配置文件获取到配置敏感信息； 用友 NC 产品反序列化漏洞，通过 JNDI 注入利用成功后，恶意攻击者可获取目标 系统管理权限； Apache Dubbo Provider 默认使用的反序列化工具和补丁绕过漏 洞，攻击者通过发 送精心构造的恶意 RPC 请求来触发漏洞，当传入的恶意参数被反序列化时，达到代 码执行效果。 安恒应急响应中心在产品厂商漏洞公告后，第一时间验证漏洞的可利用性并发布 预警，二季度发布的其他漏洞预警包括： 月份 预警公告 漏洞验证说明 资产影响范围统计 4 月 深信服 SSL VPN 设备被 APT 攻击利用风险提示 无 有 通过捆绑 PowerShell 脚本和污染下载站点传播恶意软件风险提示 有 无 Oracle WebLogic 多个高危安全漏洞风险提示 有 无 微软 4 月安全更新补丁和高危漏洞 风险提示 无 无 Autodesk FBX-SDK 库高危漏洞风险提示 无 无 Juniper HTTP HTTPS 高危漏洞风险提示 . 无 有 5 月 SaltStack 高危安全漏洞风险提示 无 无 VMware vRealize Operations Manager 高危安全漏洞风险提示 无 无 vBulletin5 _=5.6.1 SQL 注入漏洞风险提示 有 无 Apache Tomcat 反序列化漏洞风险提示 有 无 Fastjson 高危漏洞风险提示 无 无 6 月 Fastjson（ autoType 绕过）漏洞风险提示 无 无 9 Spring-Cloud-Config 目录遍历漏洞风险提示 有 无 用友 NC 远程命令执行漏洞风险提示 有 有 WebSphere 远程代码执行漏洞风险提示 无 无 微软 6 月安全更新补丁和 SMB高危漏洞风险提示 无 无 Apache Spark 高危漏洞风险提示 无 无 Apache Dubbo 高危漏洞风险提示 有 有 Treck TCP IP 协议库高危漏洞风险提示 无 无 VMware 多个产品高危漏洞风险提示 无 无 Apache Dubbo 补丁绕过高危漏洞风险提示 有 有 PAN-OS(Palo Alto)SAML 身份验证漏洞风险提示 无 有 3.3. 第三季度 2020 年三季度（ 7 月 -9 月），安恒应急响应中心公众号共发了 21 篇高危漏洞风 险提示，其中 8 篇提供了漏洞验证截图， 8 篇提供了全球网络空间受影响资产测绘数 据。三季度 验证 可利用的漏洞主要包括： F5 TMUI（流量管理用户界面，也称为配置实用程序）在未公开的页面中存在远程 代码执行漏洞，恶意攻击者可以未经身份验证或身份验证后通过 BIG-IP管理端口和 / 或配置的自身 IP对 TMUI进行攻击，实现任意代码执行； Oracle WebLogic Server 10.3.6.0.0、 12.1.3.0.0、 12.2.1.3.0、 12.2.1.4.0、 14.1.1.0.0 版本中，默认开启的 IIOP、 T3 协议再次发现反序列化漏洞，恶意攻击者 可通过该漏洞进行远程代码执行攻击，从而获取目标系统管理权限 ； Apache Shiro 1.6.0之前的版本，攻击者使用特制的 HTTP请求可绕过 Apache Shiro 的身份验证； 宝塔面板 Liunx 版 7.4.2 版本和 windows 版 6.8 版本默认开放的 888 端口运行的 phpmyadmin存在未授权访问漏洞，可能导致数据库被恶意修改或删除风险； FasterXML jackson-databind 2.9.10.6 之 前 版 本 的 .anteros:Anteros-DBCP 、 org.arrahtec:profiler-core 、 com.nqadmin.rowset:jdbcrowsetimpl 等多个组件库存在反序列化漏洞，应急响应中 心对其漏洞的验证效果如下图： 10 phpStudy V8.1.0.7 之前 Windows版本中，自带的 Nginx + PHP FastCGI组合存在 不安全配置的，古老的文件解析漏洞，恶意攻击者可以利用该漏洞结合网站其他文件 上传功能进行 PHP 代码执行，从而获得通过上传带有 Webshell 代码的图片文件即可 直接执行 PHP代码的效果； Apache Cocoon 中的 StreamGenerator 组件中，该组件将会解析用户提交的 XML 格式的数据，攻击者会通过发送精心构造的 XML格式的恶意数据来触发漏洞，当传入 的参数存在敏感操作时，达到获取目标系统敏感文件及服务器权限，应急响应中心对 其漏洞的验证效果如下图： Windows Server Netlogon权限提升漏洞，未通过身份验证的恶意攻击者，在使用 Netlogon 远程协议 (MS-NRPC)连接到域控制器的场景下，通过该漏洞能获得域管理员 访问权限，应急响应中心对其漏洞的验证效果如下图： 11 安恒应急响应中心在产品厂商漏洞公告后，第一时间验证漏洞的可利用性并发布 预警，三季度发布的其他漏洞预警包括： 月份 预警公告 漏洞验证说明 资产影响范围统计 7 月 Apache Dubbo 补丁再次绕过漏洞风险提示 无 有 Apache Guacamole 高危漏洞风险提示 无 无 F5 BIG-IP 远程代码执行漏洞风险提示 有 有 Treck TCPIP 协议 Ripple20 漏洞更新提示 无 无 Citrix 多个安全漏洞风险提示 无 无 SAP NetWeaver AS Java 高危安全漏洞风险提示 无 有 微软 7 月安全更新补丁和 DNS高危漏洞风险提示 无 无 WebLogic Server 高危安全漏洞风险提示 有 无 8 月 Nexus Repository Manager 高危漏洞风险提示 无 有 微软 8 月安全更新补丁和高危漏洞风险提示 . 无 无 Apache Struts 2 高危漏洞风险提示 无 无 Apache Shiro 身份验证绕过漏洞风险提示 有 无 宝塔 Linux 及 Windows 面板安全更新提示 有 有 QEMU 越界读写高危漏洞风险提示 无 无 FasterXML jackson-databind 高危漏洞风险提示 有 无 9 月 phpStudy Nginx 文件解析漏洞风险提示 有 有 WordPress File Manager 插件高危漏洞风险提示 无 有 微软 9 月安全更新补丁和高危漏洞风险提示 无 无 Apache Cocoon 高危漏 洞风险提示 有 无 Windows Server Netlogon 权限提升漏洞风险提示 有 无 WebSphere Application Server 高危安全漏洞风险提示 无 有 12 3.4. 第四季度 2020 年四季度（ 10 月 -12 月），安恒应急响应中心公众号共发了 18 篇高危漏洞风 险提示，其中 7 篇提供了漏洞验证截图， 11 篇提供了全球网络空间受影响资产测绘数 据。 12 月， SolarWinds 公告在 SolarWinds Orion Platform 的 2019.4 HF5 到 2020.2.1 及其相关补丁包的受影响版 本中，存在高度复杂后门行为的恶意代码（ SUNBURST 后 门），从而导致安装了被污染包的用户系统存在直接被植入后门的巨大风险，通过安恒 SUMAP 平台对暴露在互联网上的 SolarWinds Orion Platform 进行统计，当时查询分布 情况如下，全球分布： 四季度验证 可利用的漏洞主要包括： Apache Solr 在 使用 Configsets API 时，在未进行身份验证或授权的情况下，可以 通过结合使用 UPLOAD 或 CREATE 进行任意文件上传，达到远程 代码 执行 效果； 当 MyBatis 服务中使用二级缓存，进行 Mapper 的 xml 中配置时，恶意攻击者将会 利用二级缓存序列化数据，配合恶意的参数载荷，对目标机器进行攻击， 远程 代码 执行 效果 ； 在禅道开源版低于 12.4.3 中存在任意文件读取和任意文件上传漏洞，恶意攻击者可 以通过 fopen/fread/fwrite 方法结合 file、 http、 ftp 等协议，读取或上传任意敏感文件， 成功利用漏洞可获得目标系统中敏感文件及系统管理权限， 应急响应中心对其漏洞的验 证效果如下图： 13 在业务系统使用 XXL-JOB = 2.2.0 版本的场景中，恶意攻击者可以构造特殊 HTTP 请求来命令执 行，从而获得服务器权限； 通过 Oracle WebLogic Server HTTP（ Console）、 IIOP、 T3 协议漏洞，恶意攻 击者能实现远程代码执行效果，从而获取目标系统管理权限； 用友 NC 产品存在文件上传漏洞，恶意攻击者可以通过该漏洞上传任意文件，从 而可能导致获取到目标系统管理权限， 应急响应中心对其漏洞的验证效果如下图： 安恒应急响应中心在产品厂商漏洞公告后，第一时间验证漏洞的可利用性并发布 预警，四季度发布的其他漏洞包括： 月份 预警公告 漏洞验证说明 资产影响范围统计 10 月 Apache Solr 文件上传漏洞风险提示 有 无 14 MyBatis 反序列化高危漏洞风险提示 有 无 微软 10 月安全更新补丁和 TCPIP 高危漏洞风险提示 无 无 SAP 10 月安全更新补丁和高危漏洞风险提示 无 无 WebLogic Server 高危安全漏洞风险提示 无 有 VMware ESXi OpenSLP 高危漏洞风险提示 无 有 禅道开源版高危漏洞风险提示 有 有 XXL-JOB 远程命令执行漏洞风险提示 有 有 致远 OA 更新安全补丁和高危漏洞风险提示 无 有 WebLogic 高 危安全漏洞补丁绕过风险提示 有 有 11 月 Apache Shiro 身份验证绕过漏洞风险提示 无 有 Drupal 高危安全漏洞风险提示 无 有 VMware 多个产品高危漏洞风险提示（ 11 月） 无 有 Drupal core 高危漏洞风险提示 v1.0 无 有 12 月 用友 NC 文件上传漏洞风险提示 有 无 Apache Struts 2 高危漏洞风险提示 无 无 Apache APISIX Admin API 默认访问令牌漏洞风险提示 有 无 SolarWinds Orion Platform 软件供应链攻击风险更新提示 无 有 4. 安全建议 4.1. 漏洞缓解 2020 年安恒应急响应中心主要提供高危以上级别的安全漏洞和高级攻击事件风险 预警，发布风险提示时，优先推荐涉及漏洞产品官方提供的安全更新补丁、漏洞已经修 复的新版本、官方提供的临时缓解措施、具体影响的版本范围等，最后才是安恒应急响 应中心和 SUMAP（全球资产测绘）结果匹配影响区域范围和临时缓解措施，这些措施 包括安全加固配置、推荐的安全产品部署等多种灵活的安全加固方案，最小程度减少用 户在缓解安全漏洞的同时对系统正常运行的影响。 应急响应中心建议用户 根据漏洞实际可利用指数，以及对业务的具体影响实施安全 加固的措施参考如下： 安全漏洞加固建议（仅针对高危、严重漏洞说明） 操作系统 根据漏洞的严重等级和可利用指数建议先测试、后安装官方推荐的安全更新补丁（可能需要 重启系统生效、内核补丁是一定要重启才生效），或采用临时关闭该项服务，禁止端口访问 等措施缓解 15 应用服务 根据漏洞的严重等级、情报来源、可利用指数等建议先测试、后安装官方推荐的安全更新补 丁和更新版本（一般需要重启应用服务程序生效），或采用临时关闭该项功能模块，或限制 端口访问等措施缓解 漏洞影响 能直 接获取核心系统权限的漏洞（服务器权限、数据库权限），直接导致业务拒绝服务，或严重的敏感信息泄漏以及逻辑设计缺陷等漏洞建议立即部署补丁或采用可靠的解决方案 可利用指数 根据对漏洞的分析，明确能实现远程代码执行、本地代码执行或提权等方式利用，或利用工具已公开建议立即部署补丁或采用可靠的解决方案 严重等级 参考可利用指数和情报来源定，紧急漏洞需要立即部署补丁或采用可靠的解决方案 情报来源 根据内部、外部等情报来源建议先测试漏洞可利用指数再结合漏洞影响级别，捕获到漏洞利用代码需要立即部署补丁或采用可靠的解决方 案 威胁场景推演 结合实际业务场景下的危害，如果已爆发攻击活动或爆发蠕虫可能性很高，需要立即进行阻断和同步补丁部署 威胁风险等级 综合判断高风险的漏洞建议立即部署补丁或采用可靠的解决方案 安全更新等级 紧急补丁需要立即优先部署 漏洞历史 已经多次爆发漏洞的组件需要考虑淘汰和替换 风险说明 暴露在互联网上的主机容易遭到第一波攻击，需要优先部署补丁 安恒应急响应中心还提供常态化的缓解建议，主要是安全开发生命周期建议、安全 运营、反入侵威胁防御能力建设等，同时还提供必要的远程和现场应急响应支持，帮助 用 户第一时间解决紧迫的网络攻击事件和溯源反制、分析和应对 APT 级别的高级威胁。 4.2. 关于我们 安恒信息应急响应中心是专注于对全网重要网络安全漏洞、安全事件等威胁情报进 行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验 的资深安全技术专家组成，联动安恒威胁情报中心，共同针对最新威胁情报主动发现， 重大安全漏洞和安全事件进行深度挖掘、分析、溯源，并结合自主研发的网络空间测绘 系统 -全球网络空间超级雷达梳理全网受影响程度。第一时间通过多渠道对客户进 行安全预警通知，并向国家有关部门通报，同时在有关 部门的指导下，对影响面极广的 漏洞对外发布安全预警和应急措施建议，为安全中国，营造健康、安全的数字化经济环 境助力。