网络安全公司相继发布2021年漏洞威胁分析报告

2021年“十四五”规划加速了全国的数字化转型，对数字化转型下的数据安全和数字产业安全提出了更高、更明确的要求。而网络安全中长期未能妥善解决的漏洞管理也将面临更大的挑战。

随着新冠疫情的发展，全球各地不断受到疫情的影响，远程办公已成为常态化，这对企业传统的安全防护策略带来了新的挑战，让原本处于内网的数据库被迫接入互联网，从而加剧了数据安全威胁。Redscan威胁情报主管George Glass曾表示：“2021年是漏洞数量破纪录的一年”。

根据网络安全公司对2021年CVE平台（截止12月）公布的数据库漏洞信息的统计结果显示，主流数据库漏洞攻击226个，以远程攻击途径为主；其中，漏洞数量排名前5的数据库为：MySQL（165个）、Oracle（27个）、MongoDB（13个）、DB2（12个）、Postgre（5个）。针对2021年网络安全威胁情况，各大网络安全公司相继发布2021年漏洞威胁分析报告。

网络安全公司千里目安全实验室2021年漏洞威胁分析报告

报告采取随机抽样调查模式，抽取样本中包含200+业务系统的上千余个系统弱点，并对其攻击方式进行分析，得出弱点类型分布图，其中占比最高的仍旧是信息泄露、暴力破解和弱口令。

（弱点类型分布图,2021）

报告还针对2021年四个重点关键漏洞进行回顾分析

一、Internet Explorer内存损坏漏洞

2021年3月微软官方发布安全更新，共发布了89个CVE的补丁程序，其中包含了Internet Explorer内存损坏漏洞，漏洞编号：CVE-2021-26411，漏洞危害：高危。当受影响版本的IE浏览器用户访问攻击者构造的恶意链接时，将会触发该漏洞，造成远程代码执行。

解决方案：

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2021-26411

点击控制面板->程序->程序和功能-已安装更新，查看是否安装补丁。

点击Download列表下对应系统的KB号链接下载补丁。

二、Microsoft MSHTML远程代码执行漏洞

2021年9月微软官方发布安全更新，其中包含Microsoft MSHTML组件存在远程代码执行漏洞的信息，漏洞编号：CVE-2021-40444，漏洞威胁等级：高危。该漏洞是由于组件自身缺陷而引起的，攻击者可利用该漏洞，通过构造恶意的Office文档发送给被攻击方，最终导致远程代码执行。

解决方案：

当前官方已发布临时修复方案

1.创建一个.reg类型的文件，并写入如下内容：

2.保存并双击该文件。

3.重启操作系统。

三、SonarQube API未授权访问漏洞

SonarQube是一款代码质量审计和管理分析平台，2020年官方披露了SonarQube API未授权访问漏洞，漏洞编号：CVE-2020-27986，漏洞威胁等级：高危。SonarQube系统在默认配置下，会将通过审计的源代码上传至SonarQube平台。SonarQube某接口存在信息泄露漏洞，攻击者利用该漏洞可以获取部分敏感信息。

解决方案：

登录SonarQube系统，在Administation->Security->Force user authentication设置开启。

另外，除未授权访问漏洞外，分析中还发现攻击者可通过SonarQube平台的信息泄露漏洞，以及弱口令爆破的方式实施入侵，获取该部分SonarQube平台上的项目源代码。

托管于外网的SonarQube平台的服务器有大量IP地址位于我国，黑客可利用上述方法均可能导致相关单位失陷，从而发生供应链攻击。对于已经部署SonarQube平台的客户，建议如下：

1.建议客户及时升级SonarQube平台至最新版本；

2.修改SonarQube平台的默认配置，包括修改默认账号名、密码、端口号(9000)，并且禁止使用弱口令；

3.审计托管在SonarQube的项目源码，若源码包含数据库配置信息、内部系统的账号密码、内部API接口等敏感信息，应及时通知相关人员进行更改；

4.禁止SonarQube平台的外网访问权限，如若必须开放外网访问，将SonarQube平台放置于防火墙等边界安全设备保护范围内，并且定期排查是否存在未授权访问的异常记录。

四、Apache Log4j2远程代码执行漏洞

2021年12月，官方发布Apache Log4j2组件存在远程代码执行漏洞的信息漏洞编号：CVE-2021-44228。漏洞威胁等级：严重。该漏洞是由于Apache Log4j2某些功能存在递归解析功能，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程代码执行攻击，最终获取服务器最高权限。

2021年12月10日，Apache Log4j2官方针对此漏洞发布的2.15.0-rc1版本存在绕过，官方再次发布2.15.0-rc2版本以解决绕过问题。

解决方案：

该临时修复建议存在一定风险，建议用户可根据业务系统特性审慎选择采用临时修复方案：

在2.16.0以外的任何版本中，您可以从类路径中删除JndiLookup类：

zip-q-dlog4j-core-*.jarorg/apache/logging/log4j/core/lookup/JndiLookup.class

注：目前只有log4j-core的jar文件受到此漏洞的影响。仅使用log4j-api的jar文件，但不使用log4j-core的jar文件的应用程序不会受到此漏洞的影响。

网络安全公司阿尔法实验室CNVD漏洞库安全漏洞调研概况

安全漏洞的统计与评判是评估网络安全情况的一个重要指标，阿尔法实验室参考CNVD漏洞数据库数据，从“漏洞威胁等级统计”、“漏洞利用攻击位置统计”、“漏洞影响对象类型统计”、“漏洞产生原因统计”、“漏洞引发威胁统计”、“漏洞增长趋势”等对2021年披露的漏洞进行了全方位的统计分析。

参考：https://www.sohu.com/a/514985379_290304

https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=2650260074&idx=1&sn=8ba937f95f7aa8f38cdb920ff48fb979&chksm=f3e2781ec495f108da9d322839074f2abb42436294213a73add9304fb73fb14f719d8aa355e3&mpshare=1&scene=1&srcid=0326Q7kMbSgFRJYzRUifpqxS&sharer_sharetime=1648258452059&sharer_shareid=174ef0f544f9033db88b418dc787b0ce&version=4.0.2.6061&platform=win#rd