前言

人類與疾病的抗?fàn)幨罚且徊坎粩嘧晕页降氖吩?shī)。

正如醫(yī)學(xué)的進(jìn)步從未讓病毒消亡，數(shù)字世界的安全防御也始終在與漏洞風(fēng)險(xiǎn)進(jìn)行著一場(chǎng)永恒的博弈——安全從業(yè)者如同數(shù)字世界的「免疫系統(tǒng)」，在浩瀚數(shù)字世界中篩查病灶（漏洞感知）、合成抗體（漏洞修復(fù)）、構(gòu)建防線（風(fēng)險(xiǎn)處置），周而復(fù)始地維系著企業(yè)數(shù)字機(jī)體的健康運(yùn)轉(zhuǎn)。

2024年的安全戰(zhàn)場(chǎng)呈現(xiàn)出更復(fù)雜的「病理特征」：一邊是AI驅(qū)動(dòng)的威脅檢測(cè)技術(shù)突破性進(jìn)化，另一邊卻是供應(yīng)鏈攻擊、漏洞武器化攻擊呈指數(shù)級(jí)蔓延；一邊是云原生防護(hù)體系日趨精密，另一邊卻是攻擊者利用生態(tài)級(jí)漏洞制造的「蝴蝶效應(yīng)」愈演愈烈。

「對(duì)抗，不是為了消滅，而是為了共生?！?/strong>

在漏洞攻防這場(chǎng)沒有終點(diǎn)的馬拉松中，騰訊云安全團(tuán)隊(duì)始終秉持「治未病」的理念，基于全年捕獲超23W+漏洞情報(bào)數(shù)據(jù)、深度分析超550多個(gè)行業(yè)重點(diǎn)高危漏洞，結(jié)合0day漏洞捕獲數(shù)據(jù)、云端規(guī)模性漏洞攻擊事件，凝練出這份《2024全球漏洞風(fēng)險(xiǎn)態(tài)勢(shì)報(bào)告》。我們嘗試通過「脈象溯源」之法，解析威脅演變的「經(jīng)絡(luò)走向」，為2025年的企業(yè)漏洞防御體系開具一副「君臣相佐」的動(dòng)態(tài)調(diào)理方劑。

望 · 全局觀勢(shì)

2024漏洞攻擊態(tài)勢(shì)

騰訊云安全累計(jì)共捕獲漏洞情報(bào)231,395條

其中，面向客戶同步關(guān)鍵高危情報(bào)漏洞量達(dá)到556

2024年漏洞爆發(fā)式增長(zhǎng)，新增了40000+條漏洞

依托騰訊云與端的多維數(shù)據(jù)，過去一年捕獲了進(jìn)行在野攻擊的通用框架類0day漏洞60多個(gè)，識(shí)別具體業(yè)務(wù)場(chǎng)景0day漏洞近500例

近3年漏洞情報(bào)數(shù)量變化

其中2024年月度漏洞情報(bào)數(shù)量分布情況如下：

基于以上宏觀統(tǒng)計(jì)及對(duì)2024年全年漏洞的深入分析，我們發(fā)現(xiàn)：

 ●  高危漏洞頻發(fā)：從時(shí)間分布來看，近3年漏洞的數(shù)量仍然呈現(xiàn)上升趨勢(shì)，幾乎每個(gè)月都有數(shù)萬(wàn)情報(bào)被捕捉，大量高危漏洞被披露，特別是遠(yuǎn)程代碼執(zhí)行和SQL注入漏洞，表明網(wǎng)絡(luò)安全形勢(shì)依然嚴(yán)峻。

 ●  廠商響應(yīng)速度參差不齊：通過對(duì)2024年漏洞分布廠商進(jìn)行分析，我們發(fā)現(xiàn)部分廠商會(huì)及時(shí)發(fā)布安全補(bǔ)丁和修復(fù)版本，但也有部分廠商響應(yīng)速度較慢，甚至沒有發(fā)布補(bǔ)丁，這給攻擊者留下了可乘之機(jī)。

 ●  未出現(xiàn)影響巨大的蠕蟲級(jí)漏洞：部分漏洞雖然影響面廣泛，但由于利用需要特定的條件（如需要身份驗(yàn)證、開啟特定配置，如Windows RDL RCE漏洞），實(shí)際并未引發(fā)行業(yè)規(guī)模性安全事件。

 ●  AI組件的漏洞開始逐步被關(guān)注：在我們響應(yīng)漏洞的過程中，發(fā)現(xiàn)越來越多的AI相關(guān)組件，如部署、訓(xùn)練、UI等組件的漏洞開始出現(xiàn)在我們視野，也被越來越多的企業(yè)關(guān)注。

聞 · 情報(bào)嗅探

新曝光與捕獲的漏洞武器

在捕獲情報(bào)后，騰訊云安全會(huì)基于情報(bào)數(shù)據(jù)，綜合云上在野攻擊數(shù)據(jù)分析，僅12月份期間騰訊云共監(jiān)控到120余個(gè)新曝光的武器，其中如下需重點(diǎn)關(guān)注：

歷史漏洞"復(fù)活"現(xiàn)象

根據(jù)我們的漏洞攻擊監(jiān)測(cè)，我們發(fā)現(xiàn)有一些重要的歷史漏洞持續(xù)活躍，攻擊者越來越關(guān)注攻擊性價(jià)比，針對(duì)歷史風(fēng)險(xiǎn)較高的漏洞探測(cè)利用持續(xù)存在，具有相關(guān)資產(chǎn)的客戶可以關(guān)注并排查是否已修復(fù)，提高相關(guān)工作的優(yōu)先級(jí)。

問 · 根因溯源

漏洞趨勢(shì)變化背后的原因

地緣政治事件，國(guó)家級(jí)漏洞攻擊戰(zhàn)術(shù)升級(jí)

地緣政治緊張局勢(shì)，地緣政治沖突，加劇了對(duì)關(guān)鍵部門的網(wǎng)絡(luò)和物理攻擊，從而導(dǎo)致APT組織針對(duì)一些知名的網(wǎng)絡(luò)設(shè)備供應(yīng)商等基礎(chǔ)設(shè)施進(jìn)行漏洞挖掘。典型的邊緣網(wǎng)絡(luò)設(shè)備（包括Fortinet，TP-Link，Ivanti和Cisco等）直聯(lián)互聯(lián)網(wǎng)，存在較高利用價(jià)值，成為高危漏洞重災(zāi)區(qū)，攻擊者可以快速控制進(jìn)入內(nèi)部網(wǎng)絡(luò)。

人工智能的快速采用，使得AI基礎(chǔ)設(shè)施組件漏洞越來越多被披露

由于AI產(chǎn)品的快速增長(zhǎng)與場(chǎng)景應(yīng)用，越來越多的企業(yè)，近一年新發(fā)現(xiàn)的AI基礎(chǔ)設(shè)施組件漏洞呈現(xiàn)了較大幅度增長(zhǎng)，比較典型的有：

 ●  LangFlow遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-48061）

 ●  PyTorch RemoteModule模塊反序列化RCE漏洞（CVE-2024-48063

 ●  Gradio命令注入漏洞（CVE-2024-4253）

 ●  MLflow 路徑遍歷漏洞（CVE-2024-3848）

 ●  wandb SSRF服務(wù)器端請(qǐng)求偽造漏洞（CVE-2024-4642）

 ●  ……

供應(yīng)鏈防守水平的缺位，導(dǎo)致相關(guān)漏洞和投毒攻擊開始增加

 ●  XZ Utils (CVE-2024-3094)供應(yīng)鏈投毒事件，由于在初期就被發(fā)現(xiàn)并披露，尚未大面積擴(kuò)散，但仍然需要引起企業(yè)漏洞管理人員關(guān)注。

 ●  新出現(xiàn)的黑產(chǎn)組織“amdc6766” 主要通過仿冒頁(yè)面（AMH、寶塔、Xshell、Navicat）、供應(yīng)鏈投毒（LNMP、OneinStack）和公開web漏洞等，有針對(duì)性地對(duì)運(yùn)維人員進(jìn)行攻擊。

切 · 精準(zhǔn)施治

2024，漏洞主要?dú)w因

輸入驗(yàn)證不足：很多漏洞都是由于軟件開發(fā)者或企業(yè)對(duì)用戶輸入沒有進(jìn)行充分驗(yàn)證或過濾而導(dǎo)致的，如 SQL 注入和命令注入等；

依賴組件漏洞：一些漏洞是由于系統(tǒng)所依賴的第三方組件存在安全漏洞導(dǎo)致；

過時(shí)的軟件版本：很多漏洞都存在于過時(shí)的軟件版本中。

2025，給漏洞管理者的一些建議

重視安全情報(bào)，提前構(gòu)建外部最新風(fēng)險(xiǎn)的感知能力，是治未病的前提

情報(bào)是企業(yè)漏洞管理者必備的風(fēng)險(xiǎn)感知工具，隨著漏洞發(fā)布到PoC發(fā)布的時(shí)間越來越短，企業(yè)務(wù)必及時(shí)關(guān)注官方的安全通告及外部安全情報(bào)，并及時(shí)安裝補(bǔ)丁和升級(jí)軟件版本，避免使用過時(shí)的、存在安全漏洞的軟件。

善用Web+AI，增強(qiáng)業(yè)務(wù)代碼審計(jì)與加固，防范業(yè)務(wù)編碼過程中的SQL注入等Web攻擊

隨著DeepSeek大模型的開源，以及大模型成本的逐步降低和代碼編碼社區(qū)知識(shí)庫(kù)的逐步完善，企業(yè)可考慮借助大模型開展代碼審計(jì)及加固，對(duì)所有用戶輸入進(jìn)行嚴(yán)格的驗(yàn)證和過濾，以防止SQL注入、命令注入等漏洞的發(fā)生，降低Web漏洞風(fēng)險(xiǎn)。

借助零信任，緩解漏洞后利用階段安全風(fēng)險(xiǎn)

通過每月持續(xù)的漏洞分析，我們發(fā)現(xiàn)不少漏洞利用需要用戶認(rèn)證，通過配置雙因素認(rèn)證或采用零信任解決方案、配置系統(tǒng)時(shí)遵循最小權(quán)限原則，關(guān)閉不必要的服務(wù)和端口，限制重要機(jī)器的訪問源，一定程度上能緩解較多需認(rèn)證的漏洞風(fēng)險(xiǎn)，減少漏洞推修量。

借助暴露面管理，全面排查供應(yīng)鏈安全風(fēng)險(xiǎn)

暴露面管理作為一種新的技術(shù)理念，能夠較好識(shí)別、監(jiān)控和管理企業(yè)網(wǎng)絡(luò)中所有潛在的入口點(diǎn)，對(duì)于供應(yīng)鏈安全來說，包括第三方服務(wù)、供應(yīng)商系統(tǒng)、API接口等安全風(fēng)險(xiǎn)，騰訊暴露面管理通過整合云廠商獨(dú)有的安全工具和服務(wù)能力，可以幫助企業(yè)大幅降低企日益嚴(yán)重供應(yīng)鏈安全風(fēng)險(xiǎn)。

附：2025年1月必修漏洞清單

一、Weblogic Server T3/IIOP 遠(yuǎn)程命令執(zhí)行漏洞（CVE-2025-21535）

二、Ivanti多款產(chǎn)品 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2025-0282）

三、Redis 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-46981）

四、FortiOS和FortiProxy 認(rèn)證繞過漏洞（CVE-2024-55591） 

五、SonicWall SMA1000 遠(yuǎn)程命令執(zhí)行漏洞（CVE-2025-23006

六、SonicOS SSLVPN 認(rèn)證繞過漏洞（CVE-2024-53704）

七、Rsync 堆緩沖區(qū)溢出漏洞（CVE-2024-12084）

八、Cacti 任意文件創(chuàng)建致遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2025-24367）Adobe ColdFusion 路徑遍歷漏洞（CVE-2024-53961）

九、SonicWall SMA100 SSLVPN WEB管理頁(yè) 緩沖區(qū)溢出漏洞（CVE-2024-45318）