1、 2024 年网络安全漏洞态势报告-新华三主动安全系列报告-目 录 CONTENTS 1 概述概述 3 1.1 漏洞增长趋势 3 1.2 攻击总体态势 5 2 2 WebWeb 应用漏洞应用漏洞 8 2.1 新增漏洞趋势 8 2.2 漏洞分类 9 2.3 重点漏洞回顾 10 2.4 攻击态势分析 12 3 3 操作系统漏洞操作系统漏洞 12 3.1 新增漏洞趋势 12 3.2 漏洞分类 13 3.3 重点漏洞回顾 14 3.4 攻击态势分析 16 4 4 网络设备漏洞网络设备漏洞 17 4.1 新增漏洞趋势 17 4.2 漏洞分类 17 4.3 重点漏洞回顾 18 4.4 攻击态势分析 20

2、5 5 数据库漏洞数据库漏洞 20 5.1 新增漏洞趋势 20 5.2 漏洞分类 21 5.3 重点漏洞回顾 22 5.4 攻击态势分析 23 6 6 工控系统漏洞工控系统漏洞 24 6.1 新增漏洞趋势 24 6.2 漏洞分类 25 6.3 重点漏洞回顾 26 6.4 攻击态势分析 27 7 7 云计算平台漏洞云计算平台漏洞 28 7.1 新增漏洞趋势 28 7.2 漏洞分类 28 7.3 重点漏洞回顾 29 7.4 攻击态势分析 30 8 8 总结与建议总结与建议 31 8.1 总结 31 8.2 安全建议 32 9 9 结语结语 36 主动安全 3 2024 年网络安全漏洞态势报告年网络

3、安全漏洞态势报告 新华三安全攻防实验室持续关注国内外网络安全漏洞和态势，协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布2024 年网络安全漏洞态势报告。报告开篇概述了 2024 年漏洞和攻击的总体趋势，正文从 Web 应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析 2024 年网络安全领域新增漏洞情况以及演变趋势，希望为各行业网络安全建设者提供参考和帮助。1 概述 1.1 漏洞增长趋势 2024 年新华三安全攻防实验室漏洞知识库收录的漏洞总数为 40050 条，比 2023 年（29039 条）增长37.9%，为

4、历史之最。其中超危漏洞 5135 条，高危漏洞 13992 条，如图 1 所示，超危与高危漏洞占比47.8%，如图 2 所示，高危以上漏洞比 2023 年增长 27.2%。2017 年至 2024 年漏洞总体呈逐年增长趋势，每年增加数量超过 10%。主动安全 4 图 1 2017-2024 年新增漏洞总趋势 图 2 2024 年不同危险级别漏洞占比 146821629917751179202020324892290394005005000100001500020000250003000035000400004500005000100001500020000250002017年2018年2019

5、年2020年2021年2022年2023年2024年超危高危中危低危总数超危12.8%高危34.9%中危49.3%低危2.9%超危高危中危低危 主动安全 5 1.2 攻击总体态势 将 2024 年漏洞按照影响对象进行统计，Web 应用类漏洞占比持续占据第一位，达到 44.9%，其次是应用软件、操作系统漏洞，分别占比 20.5%、16.7%，如图 3 所示。操作系统漏洞数量比去年增长 1.5 倍，增幅较大；WEB 应用漏洞数量比去年增长 50.9%，应用软件、智能终端相比去年漏洞数量有所回落。图 3 2024 年漏洞影响对象占比 将 2024 年漏洞按照攻击分类进行统计，如图 4 所示，排名前三

6、的漏洞为跨站脚本、权限许可和访问控制、信息泄露，分别占比 24.0%，13.2%和 11.2%。跨站脚本占比较 2023 年有大幅提升，跨站脚本是由于 Web应用程序对用户输入数据的不严格，攻击者向 web 页面里插入恶意的 HTML 代码，用户浏览该页面时，嵌入其中的 HTML 代码会被执行，从而达到恶意攻击用户的目的。注入类漏洞，如代码注入、SQL 注入、命令注入共占比 16.8%，仍然是最突出的漏洞类型。WEB应用44.9%应用软件20.5%操作系统16.7%网络设备8.0%智能终端3.9%云计算2.7%工控1.9%数据库1.2%WEB应用应用软件操作系统网络设备智能终端云计算工控数据库