新华三攻防实验室持续关注国内外网络的安全漏洞和态势，协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布《2021年网络的安全漏洞态势报告》。报告开篇概述了2021年漏洞和攻击的总体趋势，正文从Web应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析2021年网络的安全领域新增漏洞情况以及演变趋势，希望为各行业及相关企事业单位的网络的安全建设提供参考和帮助。

漏洞增长趋势

2021年新华三收录的漏洞总数为20203条，其中超危漏洞2591条，高危漏洞8451条。

其中，超危与高危漏洞占比50%以上，高危以上漏洞比2020年增长14.3%。2016年至2021年漏洞总体呈逐年增长趋势，其中高危以上漏洞逐年增长比例超过10%。

攻击总体态势

新华三攻防实验室在2021年根据跟踪的热门及严重漏洞，新增2021年漏洞的防御规则710多条，其中超危漏洞占比17.1%，高危漏洞占比53.2%，两者占比高达70.3%，含有CVE的漏洞为428条，占比60%，非CVE漏洞占比增加。

按照攻击对象统计：

将新增漏洞规则按照攻击对象进行统计，Web应用类漏洞占比较高，达到48.1%，Web应用类包括OA系统、CMS系统，2021年其漏洞仍然呈高发态势;网络设备类漏洞占比高达12.2%，近两年利用网络设备、安全设备漏洞进行内网攻击的事件屡见不鲜，网络设备自身安全不容忽视。

按照攻击分类进行统计：

将新增漏洞规则按照攻击分类进行统计，远程代码执行类占比较高，达到32.7%，命令注入、SQL注入占比也较高，分别为10.8%和8.0%。远程代码执行、命令注入为高风险漏洞，如果攻击成功可以直接执行攻击者注入的代码或命令。

WEB应用漏洞

Web应用由于其自身的公开属性，涉及的攻击面广且远程利用方式相对简单，一直都是网络攻击的重灾区。2021年新华三共收录Web应用漏洞9103条，较2020年(6145条)增长48.1%，漏洞数量大幅增长。对比2020年和2021年每月Web应用漏洞变化趋势如图所示：

Web应用由于其自身的公开属性，涉及的攻击面广且远程利用方式相对简单，一直都是遭受网络攻击的重灾区，可以看出Web应用漏洞主要集中在跨站脚本、注入、失效的身份验证、敏感数据泄露四种类型，占据全部漏洞类型的73.6%。

漏洞攻击态势分析：

1、组件漏洞波及范围广，从补丁通告到被绕过、再次修补愈发频繁;

2、为了对抗安全设备，黑客工具趋向加密。

操作系统漏洞

操作系统作为传统的攻击目标，其漏洞占据着重要位置。2021新华三收录的操作系统漏洞总数为2439条，较2020年总数(2343条)稍有增长，对比2020年和2021年每月操作系统漏洞变化趋势如图所示。

缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，它可被利用来执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。2021年缓冲区溢出漏洞占比20.8%，排名靠前，同时权限提升、信息泄露、拒绝服务等安全漏洞问题也是操作系统最为突出的问题。

漏洞攻击态势分析：

1、系统漏洞潜伏久，甚至可被蠕虫化利用，影响面扩大;

2、移动设备攻击面急剧扩大;

3、Linux成为针对Windows设备的潜在新攻击向量。

网络设备漏洞

路由器、防火墙、交换机等网络设备是整个互联网世界的联系纽带，占据着非常重要的地位，一旦控制网络设备，其连接的各种终端设备都将暴露在攻击者的面前，导致重要数据和资料泄漏，造成严重的网络的安全事件。2021年新华三共收录网络设备类漏洞2665条，较2020年同期(1912条)增长39.4%。

网络设备漏洞类型主要集中在弱口令、命令注入、缓冲区溢出、拒绝服务、授权问题等类型，如图11所示。大多数网络管理人员主要精力一般都集中于内部服务器、客户端、数据库的异常攻击行为，而对网络设备自身的安全性关注度并不足。而考虑到网络设备的性能，很多低端设备缺乏安全措施，出现漏洞后，可被直接利用。

漏洞攻击态势分析：

1、安全意识不足，弱口令成为网络设备最大的安全隐患;

2、僵尸网络攻击目标逐渐转向网络设备，以快速扩大传播范围。

数据库漏洞

随着大数据的高速发展，各行业的数据量急速增长，数据库系统不可或缺，其存储了各类价值数据，已成为企业和组织重要的无形资产。与此同时，数据库也成为攻击者主要目标之一，一旦获得数据库权限，即可获得丰厚的利益。2021年新华三收录数据库漏洞总数285条，相比2020年(266条)大体持平。

MySQL数据库由于代码开源、版本众多，加之使用量大，因此被发现的漏洞较多。2021年被确认的285个数据库漏洞中，MySQL漏洞150余个，占据总漏洞个数55.1。

从漏洞类型分布上来看，主要集中在输入验证错误、拒绝服务、访问控制错误三种类型，占据全部漏洞类型的75.7%，

漏洞攻击态势分析：

1、云、AI、大数据背景下导致非关系型数据库漏洞利用方式显现;

2、由于输入验证错误、访问控制错误导致的漏洞增多。

工控系统漏洞

随着越来越多的工控系统暴露在互联网上，工控系统日益成为“众矢之的”，黑客有目的地探测并锁定攻击目标变得更加容易。加上针对工控系统的漏洞挖掘和发布与日俱增，大量工控系统安全漏洞、攻击方法可以通过互联网等多种公开或半公开渠道扩散，极易被黑客等不法分子获取利用。2021年新华三收录的工控漏洞总数为732条，总数比2020年(645条)增加13.5%。

工控安全漏洞类型呈现出多样化特征，对于业务连续性、实时性要求高的工控系统，无论是利用这些漏洞造成业务中断、获得控制权限还是窃取敏感生产数据，都将对工控系统造成极大的安全威胁。工业企业最担心的严重后果是造成生产设备损坏、业务停滞，而拒绝服务漏洞排名一直靠前，如果被黑客利用，容易给企业造成较大影响。同时工控设备自身操作系统漏洞、应用软件漏洞及工业协议的安全性缺陷等问题也不容忽视，根据统计，2021年缓冲区错误、代码执行、SQL注入等也是工控系统最为突出的问题。

漏洞攻击态势分析：

1、工控攻击事件破坏性加剧，勒索为主要攻击手段;

2、随着工控领域引入云平台，其安全风险类型更加复杂。

云计算平台漏洞

云计算以其强大的弹性和高可拓展性，实现IT资源的规模效应较大化，云计算是数字时代的基础设施和智能引擎，云计算产业维持较高水平增长，与云计算相关的漏洞也逐年增长。2021年新增云计算平台漏洞1495条，比2020年(总数1316条)增长13.6%。

伴随产业互联网发展，中国云计算行业整体迎来发展加速期，市场规模屡创新高，行业应用不断落地。伴随着云计算逐步成为数字经济的技术底座、企业数字化转型的关键基础设施，云计算所面对的潜在风险也显著提升。云计算能帮助企业提升业务敏捷性并降低成本，但同时也增加了攻击面。根据统计，其漏洞类型主要分布在权限许可和访问控制问题、信息泄露、输入验证错误等。

漏洞攻击态势分析：

1、云原生安全逐步成为云基础安全重点;

2、安全基线风险日益凸显，云上业务存在高危风险。

总结与建议

2021年对比2020年，网络的安全漏洞数量和网络攻击数量都有增长，网络威胁与攻击始终在不断变化，其攻击目的更直接地盯上客户的业务相关的数据等，一旦成功，不仅是对客户业务本身造成影响，这些泄露的数据也会成为获利的手段，被拿下的服务器可能会成为挖矿或者攻击其他目标的资源，对企业造成更长久的损害。

Web类针对高危漏洞的入侵依然以组件漏洞为主，应用组件漏洞比操作系统漏洞具备更容易获得的执行环境，比业务漏洞具有更强的通用性，通常黑产团队会选择用户数量较多、漏洞利用条件简单且稳定的漏洞来开发自动化工具，以较低的成本实现对目标的控制、自动化挖矿等牟利行为;操作系统类漏洞以缓冲区溢出与权限提升为主，操作系统类漏洞影响面大，利用成功容易爆发蠕虫病毒传播事件与勒索事件;网络设备类漏洞大幅增加，网络设备由于漏洞被攻击的事件越发频繁，弱口令占比高居不下，用户安全意识仍需提高;工业互联网作为关键技术设施，遭遇勒索攻击赎金动辄高达数千万美金，使企业遭受了严重的经济损失，同时往往伴随着大范围的民生问题;在云计算生态环境下，云原生所依赖的容器、微服务等技术在提升业务的敏捷性的同时，也引入了新的安全风险，比如容器逃逸风险、镜像安全风险等，同样可直接损害业务运行、造成业务数据失窃。面对日益增长的网络信息安全威胁，企业在提供线上服务时需要认真考虑综合性安全防护方案，形成纵深防御，阻止攻击者触及核心业务应用和数据，造成损失。

关键词： 网络设备 操作系统 缓冲区溢出