关于网络安全:SUMAP网络空间测绘｜2021年CVE漏洞趋势安全分析报告

前 言 面对高速倒退的明天，互联网成为了联结所有人信息的交汇点，同样对于互联网中的破绽也在一直的迭代更新。 传统的网络安全大多面向部分平安，未曾思考整体全网环境下的网络安全，这样也造成了近年来攻击者频繁面向全网开展攻打。数亿的物联网设施平安问题被大范畴的裸露进去。同时攻击者在面向全网攻打，既包含传统攻击方式WEB攻打、缓冲区溢出攻打、数据库攻打，也涵盖了新型攻打——重点针对物联网设施和工控设施层面的攻打，现阶段也越发的频繁。

对于明天的互联网安全咱们更须要通过模型监测形式来继续察看破绽趋势和影响范畴，能力继续应答破绽暴发之后的平安趋势剖析评估。

本文次要通过网络测绘角度收集各种资产协定的版本号信息，通过比对cve破绽影响范畴中的版本号形式进行平安危险趋势剖析，无任何理论危害互联网行为。资产在携带版本中也会存在修复补丁后版本不变的状况。所以剖析仅仅站在宏观角度的全网平安危险趋势登程，通过数据预测2021年安全漏洞趋势和重点高风险资产预测。

（备注：全网——整体互联网空间，包含ipv4,ipv6,域名信息等） 图 :cvss破绽等级

文中采纳cvss3.0破绽等级命名critical超危，high 高危，medium 中危，low 低危，none 无影响。

CVE影响范畴

本次剖析次要针对2010年后的cve范畴，思考到之前的cve相干资产和协定很大水平上曾经被修复或者有同类型的软件降级修复因而不在本文剖析范畴之内。 图 :cve 10年增长趋势

通过上图整体趋势咱们能够看出历年破绽数量整体还是持续增长，并且在10年中最显著的变动是2020年，cve数量曾经超过2010年数量的5倍多。

咱们以互联网中2020年10月至11月监测到的全网资产数量（不蕴含历史数据和反复数据）比照监测到的破绽数量计算整体互联网的破绽比例为15%。

基于本次剖析中前5 cve编号别离是： CVE-2018-1303

特意制作的HTTP申请标头可能导致2.4.30版之前的Apache HTTP Server解体，起因是读取范畴超出限度。它能够用作对modcachesocache用户的拒绝服务攻打。

CVE-2018-1312

在Apache httpd 2.2.0至2.4.29中，当生成HTTP Digest身份验证质询时，应用伪随机种子未正确生成为避免回答攻打而发送的随机数。在应用通用Digest身份验证配置的服务器群集中，攻击者可能会在未检测到HTTP申请的状况下跨服务器重播HTTP申请。

CVE-2017-9798

如果能够在用户的.htaccess文件中设置Limit指令，或者httpd.conf有某些谬误配置（也称为Optionble），则Apache httpd容许近程攻击者从过程内存中读取秘密数据。这会影响通过2.2.34和2.4.x通过2.4.27的Apache HTTP Server。

CVE-2019-0217

在Apache HTTP Server 2.4版本2.4.38和更低版本中，在线程服务器中运行时，modauthdigest中的争用条件可能容许具备无效凭据的用户应用其余用户名进行身份验证，从而绕过配置的访问控制限度。

CVE-2017-9788

在2.2.34之前的Apache httpd和2.4.27之前的2.4.x中，类型'Digest'的[Proxy-] Authorization标头中的值占位符未在modauthdigest间断调配key = value之前或之间初始化或重置。提供没有“ =”调配的初始密钥可能反映先前申请应用的未初始化池内存的古老值，从而导致潜在机密信息的透露，以及在其余状况下的段谬误（segfault），从而导致拒绝服务。 图 : cve 影响资产数量

通过排名前5的cve破绽的详细描述，可发现次要破绽平安危险影响集中在web中间件apache上。

CVE年份影响散布

cve历年增长趋势中咱们能够看到2020年的破绽统计数量上曾经高居首位那么应该2020年的破绽影响范畴最广。而理论状况更多的破绽次要集中在2017年的cve编号上。阐明了互联网整体服务软件更新绝对要落后从而导致潜在安全隐患的软件未能及时更新降级打补丁。 图 :寰球cve编号年份占比

寰球cve编号年份破绽所影响全网资产数量统计比例，其中以cve2017年最高，cve2018年第二，cve2019年第三，然而整体平均值均在20%左右散布比拟平均。预测2021年的cve破绽影响互联网占比会在20%-30%。 中国地区的cve年份次要集中在cve2018年第一，cve2019年第二，cve2017年第三。其中相比图2-1中的cve2017年第一着落到第三，绝对国内地区软件更新速度比互联网整体的趋势要快一些。预测在2021年国内地区受cve破绽影响资产范畴占比在20%-30%区间。

CVE地区散布影响 图 :寰球地区cve top 20

寰球地区cve破绽危险影响次要集中在美国，中国，德国、法国和日本。

图 :国内地区cve top 20

国内地区次要集中在北京，广东，浙江，香港，上海。

图 :国内地区cve等级散布

国内地区中危破绽为主占比50%，高危破绽38%，超危破绽8%。

图 :超危等级破绽散布

其中超危破绽地区散布：美国，中国，德国占据前三。

CVE破绽次要影响软件类型 依据全网cve破绽影响范畴中对应软件统计次要以apache， mysql，nginx，tomcat，openssh为主，也是互联网中最常见的中间件软件和数据库以及远程管理协定。

平安倡议

我国近些年互联网行业飞速发展，服务器大量部署，软件大量利用，但高速倒退必然会有一些后遗症。从平安的角度看来，因为互联网从业人员很少波及平安这一块，导致了破绽也呈爆发式增长，不论是从总计的CVE数量还是从重大类型的CVE数量，都远超其余国家。并且，随着5G、物联网设施的倒退，互联网又会进入到另一个腾飞的阶段，但因为平安人员的短缺，我国的网络安全又将面临严厉的局势。一方面对于网络安全人才培训的加大投入，同时对于互联网应用软件可能及时迭代更新打补丁同样至关重要。

分割咱们：sumap@dbappsecurity.com.cn

sumap官网：https://sumap.dbappsecurity.com.cn/