SUMAP網絡空間測繪|2021年CVE漏洞趨勢安全分析報告

前 言

面對高速發展的今天，網際網路成為了聯結所有人信息的交匯點，同樣對於網際網路中的漏洞也在不斷的迭代更新。

傳統的網絡安全大多面向局部安全，未曾考慮整體全網環境下的網絡安全，這樣也造成了近年來攻擊者頻繁面向全網展開攻擊。數億的物聯網設備安全問題被大範圍的暴露出來。同時攻擊者在面向全網攻擊，既包括傳統攻擊方式WEB攻擊、緩衝區溢出攻擊、資料庫攻擊，也涵蓋了新型攻擊——重點針對物聯網設備和工控設備層面的攻擊，現階段也越發的頻繁。

對於今天的網際網路安全我們更需要通過模型監測方式來持續觀察漏洞趨勢和影響範圍，才能持續應對漏洞爆發之後的安全趨勢分析評估。

本文主要通過網絡測繪角度手機各種資產協議的版本號信息，通過比對cve漏洞影響範圍中的版本號方式進行安全風險趨勢分析，無任何實際危害網際網路行為。資產在攜帶版本中也會存在修復補丁後版本不變的情況。所以分析僅僅站在宏觀角度的全網安全風險趨勢出發，通過數據預測2021年安全漏洞趨勢和重點高風險資產預測。

（備註：全網——整體網際網路空間，包括ipv4,ipv6,域名信息等）

圖 :cvss漏洞等級

文中採用cvss3.0漏洞等級命名critical超危，high 高危，medium 中危，low 低危，none 無影響。

CVE影響範圍

本次分析主要針對2010年後的cve範圍，考慮到之前的cve相關資產和協議很大程度上已經被修復或者有同類型的軟體升級修復因此不在本文分析範圍之內。

圖 :cve 10年增長趨勢

通過圖1-1整體趨勢我們可以看出歷年漏洞數量整體還是持續增長，並且在10年中最明顯的變化2020年的cve數量已經超過2010年數量的5倍多。

我們以網際網路中2020年10月至11月監測到的全網資產數量（不包含歷史數據和重複數據）對比監測到的漏洞數量計算整體網際網路的漏洞比例為15%。

基於本次分析中前5 cve編號分別是：

CVE-2018-1303

特意製作的HTTP請求標頭可能導致2.4.30版之前的Apache HTTP Server崩潰，原因是讀取範圍超出限制。它可以用作對modcachesocache用戶的拒絕服務攻擊。

CVE-2018-1312

在Apache httpd 2.2.0至2.4.29中，當生成HTTP Digest身份驗證質詢時，使用偽隨機種子未正確生成為防止答覆攻擊而發送的隨機數。在使用通用Digest身份驗證配置的伺服器群集中，攻擊者可能會在未檢測到HTTP請求的情況下跨伺服器重播HTTP請求。

CVE-2017-9798

如果可以在用戶的.htaccess文件中設置Limit指令，或者httpd.conf有某些錯誤配置（也稱為Optionble），則Apache httpd允許遠程攻擊者從進程內存中讀取機密數據。這會影響通過2.2.34和2.4.x通過2.4.27的Apache HTTP Server。

CVE-2019-0217

在Apache HTTP Server 2.4版本2.4.38和更低版本中，在線程伺服器中運行時，modauthdigest中的爭用條件可能允許具有有效憑據的用戶使用其他用戶名進行身份驗證，從而繞過配置的訪問控制限制。

CVE-2017-9788

在2.2.34之前的Apache httpd和2.4.27之前的2.4.x中，類型'Digest'的[Proxy-] Authorization標頭中的值佔位符未在modauthdigest連續分配key = value之前或之間初始化或重置。提供沒有「 =」分配的初始密鑰可能反映先前請求使用的未初始化池內存的陳舊值，從而導致潛在機密信息的洩漏，以及在其他情況下的段錯誤（segfault），從而導致拒絕服務。

圖 : cve 影響資產數量

通過排名前5的cve漏洞的詳細描述，可發現主要漏洞安全風險影響集中在web中間件apache上。

CVE年份影響分布

cve歷年增長趨勢中我們可以看到2020年的漏洞統計數量上已經高居首位那麼應該2020年的漏洞影響範圍最廣。而實際情況更多的漏洞主要集中在2017年的cve編號上。說明了網際網路整體服務軟體更新相對要落後從而導致潛在安全隱患的軟體未能及時更新升級打補丁。

圖 :全球cve編號年份佔比

全球cve編號年份漏洞所影響全網資產數量統計比例，其中以cve2017年最高，cve2018年第二，cve2019年第三，但是整體平均值均在20%左右分布比較均勻。預測2021年的cve漏洞影響網際網路佔比會在20%-30%。

中國地區的cve年份主要集中在cve2018年第一，cve2019年第二，cve2017第三年其中相比圖2-1中的cve2017年第一下落到第三，相對國內地區軟體更新速度比網際網路整體的趨勢要快一些。預測在2021年國內地區受cve漏洞影響資產範圍佔比在20%-30%區間。

CVE地區分布影響

圖 :全球地區cve top 20

全球地區cve漏洞風險影響主要集中在美國，中國，德國、法國和日本。

圖 :國內地區cve top 20

國內地區主要集中在北京，廣東，浙江，香港，上海。

圖 :國內地區cve等級分布

國內地區主要以為中危漏洞為主佔比50%，高危漏洞38%，超危漏洞8%。

圖 :超危等級漏洞分布

其中單獨以超危漏洞地區分布以美國，中國，德國佔據前三。

CVE漏洞主要影響軟體類型

根據全網cve漏洞影響範圍中對應軟體統計主要以apache， mysql，nginx，tomcat，openssh為主，也是網際網路中最常見的中間件軟體和資料庫以及遠程管理協議。

安全建議

我國近些年網際網路行業飛速發展，伺服器大量部署，軟體大量應用，但高速發展必然會有一些後遺症。從安全的角度看來，由於網際網路從業人員很少涉及安全這一塊，導致了漏洞也程爆發式增長，不管是從總計的CVE數量還是從嚴重類型的CVE數量，都遠超其他國家。並且，隨著5G、物聯網設備的發展，網際網路又會進入到另一個騰飛的階段，但由於安全人員的短缺，我國的網絡安全又將面臨嚴峻的形勢。一方面對於網絡安全人才培訓的加大投入，同時對於網際網路應用軟體能夠及時迭代更新打補丁同樣至關重要。