前言
人类与疾病的抗争史,是一部不断自我超越的史诗。
正如医学的进步从未让病毒消亡,数字世界的安全防御也始终在与漏洞风险进行着一场永恒的博弈——安全从业者如同数字世界的「免疫系统」,在浩瀚数字世界中筛查病灶(漏洞感知)、合成抗体(漏洞修复)、构建防线(风险处置),周而复始地维系着企业数字机体的健康运转。
2024年的安全战场呈现出更复杂的「病理特征」:一边是AI驱动的威胁检测技术突破性进化,另一边却是供应链攻击、漏洞武器化攻击呈指数级蔓延;一边是云原生防护体系日趋精密,另一边却是攻击者利用生态级漏洞制造的「蝴蝶效应」愈演愈烈。
「对抗,不是为了消灭,而是为了共生。」
在漏洞攻防这场没有终点的马拉松中,腾讯云安全团队始终秉持「治未病」的理念,基于全年捕获超23W+漏洞情报数据、深度分析超550多个行业重点高危漏洞,结合0day漏洞捕获数据、云端规模性漏洞攻击事件,凝练出这份《2024全球漏洞风险态势报告》。我们尝试通过「脉象溯源」之法,解析威胁演变的「经络走向」,为2025年的企业漏洞防御体系开具一副「君臣相佐」的动态调理方剂。
望 · 全局观势
2024漏洞攻击态势
腾讯云安全累计共捕获漏洞情报231,395条
其中,面向客户同步关键高危情报漏洞量达到556
2024年漏洞爆发式增长,新增了40000+条漏洞
依托腾讯云与端的多维数据,过去一年捕获了进行在野攻击的通用框架类0day漏洞60多个,识别具体业务场景0day漏洞近500例
近3年漏洞情报数量变化
其中2024年月度漏洞情报数量分布情况如下:
基于以上宏观统计及对2024年全年漏洞的深入分析,我们发现:
● 高危漏洞频发:从时间分布来看,近3年漏洞的数量仍然呈现上升趋势,几乎每个月都有数万情报被捕捉,大量高危漏洞被披露,特别是远程代码执行和SQL注入漏洞,表明网络安全形势依然严峻。
● 厂商响应速度参差不齐:通过对2024年漏洞分布厂商进行分析,我们发现部分厂商会及时发布安全补丁和修复版本,但也有部分厂商响应速度较慢,甚至没有发布补丁,这给攻击者留下了可乘之机。
● 未出现影响巨大的蠕虫级漏洞:部分漏洞虽然影响面广泛,但由于利用需要特定的条件(如需要身份验证、开启特定配置,如Windows RDL RCE漏洞),实际并未引发行业规模性安全事件。
● AI组件的漏洞开始逐步被关注:在我们响应漏洞的过程中,发现越来越多的AI相关组件,如部署、训练、UI等组件的漏洞开始出现在我们视野,也被越来越多的企业关注。
闻 · 情报嗅探
新曝光与捕获的漏洞武器
在捕获情报后,腾讯云安全会基于情报数据,综合云上在野攻击数据分析,仅12月份期间腾讯云共监控到120余个新曝光的武器,其中如下需重点关注:
历史漏洞 复活 现象
根据我们的漏洞攻击监测,我们发现有一些重要的历史漏洞持续活跃,攻击者越来越关注攻击性价比,针对历史风险较高的漏洞探测利用持续存在,具有相关资产的客户可以关注并排查是否已修复,提高相关工作的优先级。
问 · 根因溯源
漏洞趋势变化背后的原因
地缘政治事件,国家级漏洞攻击战术升级
地缘政治紧张局势,地缘政治冲突,加剧了对关键部门的网络和物理攻击,从而导致APT组织针对一些知名的网络设备供应商等基础设施进行漏洞挖掘。典型的边缘网络设备(包括Fortinet,TP-link,Ivanti和Cisco等)直联互联网,存在较高利用价值,成为高危漏洞重灾区,攻击者可以快速控制进入内部网络。
人工智能的快速采用,使得AI基础设施组件漏洞越来越多被披露
由于AI产品的快速增长与场景应用,越来越多的企业,近一年新发现的AI基础设施组件漏洞呈现了较大幅度增长,比较典型的有:
● LangFlow远程代码执行漏洞(CVE-2024-48061)
● PyTorch RemoteModule模块反序列化RCE漏洞(CVE-2024-48063
● Gradio命令注入漏洞(CVE-2024-4253)
● MLflow 路径遍历漏洞(CVE-2024-3848)
● wandb SSRF服务器端请求伪造漏洞(CVE-2024-4642)
● ……
供应链防守水平的缺位,导致相关漏洞和投毒攻击开始增加
● XZ Utils (CVE-2024-3094)供应链投毒事件,由于在初期就被发现并披露,尚未大面积扩散,但仍然需要引起企业漏洞管理人员关注。
● 新出现的黑产组织“amdc6766” 主要通过仿冒页面(AMH、宝塔、Xshell、Navicat)、供应链投毒(LNMP、OneinStack)和公开web漏洞等,有针对性地对运维人员进行攻击。
切 · 精准施治
2024,漏洞主要归因
输入验证不足:很多漏洞都是由于软件开发者或企业对用户输入没有进行充分验证或过滤而导致的,如 SQL 注入和命令注入等;
依赖组件漏洞:一些漏洞是由于系统所依赖的第三方组件存在安全漏洞导致;
过时的软件版本:很多漏洞都存在于过时的软件版本中。
2025,给漏洞管理者的一些建议
重视安全情报,提前构建外部最新风险的感知能力,是治未病的前提
情报是企业漏洞管理者必备的风险感知工具,随着漏洞发布到PoC发布的时间越来越短,企业务必及时关注官方的安全通告及外部安全情报,并及时安装补丁和升级软件版本,避免使用过时的、存在安全漏洞的软件。
善用Web+AI,增强业务代码审计与加固,防范业务编码过程中的SQL注入等Web攻击
随着DeepSeek大模型的开源,以及大模型成本的逐步降低和代码编码社区知识库的逐步完善,企业可考虑借助大模型开展代码审计及加固,对所有用户输入进行严格的验证和过滤,以防止SQL注入、命令注入等漏洞的发生,降低Web漏洞风险。
借助零信任,缓解漏洞后利用阶段安全风险
通过每月持续的漏洞分析,我们发现不少漏洞利用需要用户认证,通过配置双因素认证或采用零信任解决方案、配置系统时遵循最小权限原则,关闭不必要的服务和端口,限制重要机器的访问源,一定程度上能缓解较多需认证的漏洞风险,减少漏洞推修量。
借助暴露面管理,全面排查供应链安全风险
暴露面管理作为一种新的技术理念,能够较好识别、监控和管理企业网络中所有潜在的入口点,对于供应链安全来说,包括第三方服务、供应商系统、API接口等安全风险,腾讯暴露面管理通过整合云厂商独有的安全工具和服务能力,可以帮助企业大幅降低企日益严重供应链安全风险。
附:2025年1月必修漏洞清单
一、Weblogic Server T3/IIOP 远程命令执行漏洞(CVE-2025-21535)
二、Ivanti多款产品 远程代码执行漏洞(CVE-2025-0282)
三、Redis 远程代码执行漏洞(CVE-2024-46981)
四、FortiOS和FortiProxy 认证绕过漏洞(CVE-2024-55591)
五、SonicWall SMA1000 远程命令执行漏洞(CVE-2025-23006
六、SonicOS SSLVPN 认证绕过漏洞(CVE-2024-53704)
七、Rsync 堆缓冲区溢出漏洞(CVE-2024-12084)
八、Cacti 任意文件创建致远程代码执行漏洞(CVE-2025-24367)Adobe ColdFusion 路径遍历漏洞(CVE-2024-53961)
九、SonicWall SMA100 SSLVPN WEB管理页 缓冲区溢出漏洞(CVE-2024-45318)
