从漏洞的等级分布来看,中危和高危漏洞的增幅尤为显著,2024 年中危漏洞较 2023 年增长了 40.01%,高危漏洞增长了20.28%。
自 2024 年 1 月 1 日至 2024 年 12 月 17 日,2024 年度安恒信息CERT 监测到NVD 已公开披露漏洞共计 21831 个,较 2023 年同比增长22.08%。
近十年 NVD 公开的漏洞数量呈现出显著的逐年增长趋势,尤其是在 2020 年之后,漏洞数量的增长速度明显加快。2015 年NVD公开新增漏洞数量仅为 147 个,而到 2024 年这一数字已达到21831 个,增长了约 150 倍。2017 年公开漏洞新增数量突破 1000 个,达到1042 个,2020 年以后,公开漏洞数量开始显著攀升,2020 年到 2024 年的年均增长率高达30%以上。漏洞数量的快速增长表明系统和软件的复杂性在提升,也反映了近年来信息安全领域的压力正在持续增大。
漏洞各等级分布概况
根据 NVD 2023 年度与 NVD2024 年度公开漏洞数据库中具CVSS3.1 评分的漏洞数据分析,整体安全态势呈现出一定的上升趋势。数据详情如下:低危漏洞:NVD 2024 年度低危漏洞数量为 2768 个,2023 年度低危漏洞数量 2763 个,2024 年度较 2023 年度同比增长 0.18%。中危漏洞:NVD 2024 年度中危漏洞数量为 9821 个,2023 年度中危漏洞数量 7014 个,2024 年度较 2023 年度同比增长 40.01%。高危漏洞:NVD 2024 年度高危漏洞数量为 3819 个,2023 年度中危漏洞数量 3175 个,2024 年度较 2023 年度同比增长 20.28%。严重漏洞:NVD 2024 年度严重漏洞的数量为 586 个,2023 年度严重漏洞数量 413 个,2024 年度较 2023 年度同比增幅为 41.89%。
漏洞产生原因分布
设计错误(3568 条,占比最高,约 60%),设计阶段的漏洞占绝对主导地位。这类漏洞往往是由于系统架构或逻辑设计不完善、需求分析不到位导致,后期修复成本较高。设计错误可能导致系统核心功能失效或被绕过,影响深远,覆盖面广,难以完全根除。
输入验证错误(1194 条,占比约 20%),输入验证错误是由于开发过程中对用户输入的过滤和验证不足导致的漏洞,例如 SQL 注入、跨站脚本(XSS)等。这类漏洞通常成为攻击者的主要目标,因为其利用门槛较低、成功率较高,容易 - 7 - 导致数据泄露或系统控制。
边界条件错误(605 条,占比约 10%),此类漏洞主要与程序对边界情况(如数组越界、内存溢出)处理不当有关。边界条件错误容易被攻击者利用进行缓冲区溢出攻击,导致系统崩溃或执行恶意代码。
访问验证错误(114 条,占比较低,约 2%),访问验证错误是由于对用户或系统访问权限的验证不足,例如缺乏身份认证或错误的授权配置。容易导致未授权访问,直接威胁系统安全性和敏感信息的保护。
其他错误(11 条,配置错误 1 条,竞争条件 9 条),竞争条件(race conditions)漏洞常见于多线程程序,由于系统没有正确同步对共享资源的访问,多个执行流在几乎相同的时间内争用资源,导致错误的结果或未授权的访问。
漏洞产生原因解析
设计错误占比高反映出系统在早期设计阶段缺乏全面考量,导致系统开发阶段未对安全问题进行重视出现较多漏洞。其次输入问题较多,开发人员在编码过程中对用户输入缺乏严格处理,而这类输入问题漏洞通常是攻击者的突破口。最后存在部分开发错误,此类开发错误引起的漏洞容易对多线程、高并发系统的稳定性和安全性造成严重影响。
随着软件系统复杂性和规模的增加,安全问题会更多地出现在设计阶段,设计错误的比例可能进一步上升。近年来,互联网的普及和API、Web 服务的广泛应用,用户输入相关的攻击面不断扩大。输入验证类漏洞将依然是攻击者的主要目标,特别是在缺乏统一输入验证框架的系统中,输入验证类漏洞将会持续高发云计算和分布式系统的高速发展,随之带来的问题也将愈发严重,例如高并发场景中的竞争条件问题,以及配置错误在自动化部署和微服务架构中也可能频繁出现。
2024 年度漏洞数据的厂商分布概况
Linux 占据首位,Linux 生态系统在漏洞披露中处于显著位置,可能与其广泛的开源应用和使用场景有关。Microsoft 排名第二,漏洞数量为1098 个,这与其作为主流操作系统和企业软件供应商的市场地位密切相关。排名前两位的厂商漏洞数量远超其他厂商,表明漏洞分布呈现明显的集中趋势。Adobe 位居第三,漏洞数量为 740 个,主要与其核心产品(如 Acrobat、Photoshop)相关。SourceCodester 和 Google 分别以 555 个和 539 个漏洞排在第四和第五,表明了开源项目和互联网巨头存在较大漏洞风险。Apple 和Oracle Corporation 的漏洞数量分别为 460 个和 366 个,位居中间,表明其软件生态也存在安全隐患。Cisco以 278 个漏洞位列第八,体现其网络设备和安全解决方案的潜在风险。Siemens 和 IBM 分别以 247 个和 236 个漏洞排在第九和第十,主要涉及工业控制系统和企业级解决方案的安全问题
商涉及操作系统、开源项目、互联网服务、企业级解决方案、网络设备和工业控制系统,说明漏洞分布覆盖广泛。随着软件和硬件生态的复杂化,厂商需要加大对漏洞管理和修复的投入。加强对网络设备(如Cisco)和工业控制系统(如 Siemens)的安全监测,以防止潜在漏洞的利用。
2024 年度厂商分布较 2023 年度数据解析
2024 年整体披露的漏洞数量较 2023 年显著增长,特别是Linux 相关漏洞激增,可能与其广泛使用的生态有关。2024 年榜单中厂商覆盖从操作系统、互联网巨头到工业控制领域(如 Siemens),表明漏洞分布的行业覆盖面进一步扩大。
Microsoft、Adobe、Google 等核心厂商在两年间持续占据榜单前列,反映出其复杂的产品生态长期面临安全挑战。工业控制系统厂商(Siemens)和开源项目(SourceCodester、Linux)在 2024 年的排名和数量提升。2024 年度厂商分布数据的分析总结开源项目漏洞数量增长明显,应进一步加强对 Linux 等开源生态的安全研究和防护。工业控制系统厂商的进入反映出该领域潜在的安全威胁需引起重视。针对 Microsoft、Adobe 等厂商,应不断优化补丁管理和漏洞修复流程,以减少风险积累。
基于 NVD 已公开披露漏洞的数据,及国产厂商分布的数据解析中可以看出,通达的办公软件漏洞和紫光展锐的芯片漏洞尽管数量较少,但其影响力不可忽视,尤其是在企业办公场景和物联网应用中的潜在威胁。
基于上述 2024 年国产厂商的漏洞分布显示,消费级和企业级网络设备是安全问题的重灾区,而芯片和办公软件领域的漏洞也需得到更多重视。(1) 消费级产品安全问题显著:腾达的高漏洞数量反映出小型路由器、交换机在 2024 年成为主要攻击目标。 (2) 企业级网络设备漏洞较多:锐捷和华为的高排名表明,企业级网络设备和通信产品在安全研究中占据重要地位,未来需加强企业级网络设备的防护措施,以防出现企业重大安全问题。
