奇安信2024《漏洞态势报告》：新增漏洞再创新高，总体威胁持续加深

本文2660字阅读约需 9分钟

2025年1月21日，奇安信发布《2024年度网络安全漏洞威胁态势研究报告》（以下简称：《报告》）。《报告》指出，2024年全球新增漏洞数量再创新高，漏洞利用成为网络攻击的重中之重。开源项目、云计算、物联网（IoT）、国产软件以及关键基础设施领域漏洞威胁显著增加。预计2025年，人工智能、量子计算等技术将进一步扩展漏洞暴露面，漏洞挖掘、修复和利用的矛盾成为未来的攻防焦点。

2024年漏洞增长46.7%，总体威胁持续加深

根据奇安信安全监测与响应中心（即奇安信CERT）的数据，2024年新增漏洞43757个，较2023年同比增长46.7%。其中，高危和极危漏洞共计7777个，占总量的17.8%。经研判，本年度值得重点关注的漏洞共965个，达到发布安全风险通告标准的漏洞共392个，奇安信CERT对其中82个漏洞进行了详细的深度分析。

对于2024年漏洞数量激增的原因，《报告》指出，这主要归因于以下几个方面：

技术生态复杂化：随着软件和技术架构日益复杂，开发过程中引入的安全挑战也随之增加。
开源组件应用增加：越来越多的企业依赖开源软件，但这些组件可能携带未知的安全风险。
攻击者专业化程度提升：攻击者的技术水平和组织能力不断提高，他们能够更有效地发现并利用漏洞。

国产软件漏洞暴露国内安全审计能力不足

在2024年新增的漏洞中，有706个被确认为国产软件漏洞，但这些漏洞未能被收录在美国国家漏洞数据库（NVD）中，也未获得全球通用的公共漏洞和暴露（CVE）编号，导致这些漏洞的知晓度和重视程度可能较低，增加了漏洞响应和协调的难度。

值得特别注意的是，在这些国产软件漏洞中，办公自动化（OA）系统和企业资源规划（ERP）系统的漏洞尤为突出。这些安全缺陷对多个关键行业构成了威胁，包括政府机构，它们常常是高级持续性威胁（APT）攻击的主要目标；金融领域，这里高危漏洞利用事件频发；能源和关键基础设施部门，这些是攻击者密切关注并试图渗透的领域。

此类漏洞揭示了国内软件安全审计机制的不足，如果被海外国家背景攻击组织利用将导致非常严重的安全后果，包括但不限于数据泄露、服务中断以及经济损失等。

漏洞修复时效性是关键，奇安信引领漏洞响应新高度

对于那些未被国际漏洞库收录的漏洞信息，及时的识别、修复和防御措施显得尤为重要。2024年漏洞平均修复时间为45天，较2023年缩短了10%。零漏洞发现得越早，攻击者利用该漏洞进行攻击的时间窗口就越小。一旦确认资产存在相关的漏洞，组织可以迅速采取行动，如打补丁、更新系统或采取临时的缓解措施，以阻止潜在的攻击。及时修复漏洞可以减少数据泄露、服务中断和其他安全事件造成的损害，从而降低相关的财务成本和声誉损失。

奇安信CERT在漏洞响应方面展现了强大的实力。具体而言，2024年新增漏洞中，有33564个获得了CVE编号，在这之中有9602个漏洞在被NVD正式收录前，就已被奇安信CERT通过第一手信息源的监控发现并收录，该数字占本年度所有具有CVE编号漏洞总数的28.6%。

不仅如此，奇安信CERT在漏洞定级速度上也远超国际水平，平均比NVD快约61%，意味着奇安信能够更快地了解漏洞的严重程度，从而更迅速地制定应对策略。这一成就得益于奇安信采用的多源汇聚技术，使得它能够在厂商发布安全通告的同时即刻捕获最新的漏洞信息，并立即组织分析人员研判和入库工作。

2024年最危险的常见软件弱点排行

《报告》对常见软件弱点进行了梳理（CWE），列出了代码、设计或架构中可能导致安全漏洞的常见问题。这些问题本身并不一定是漏洞，但它们是漏洞的根本原因，许多CVE数据库中的实际漏洞都是由这些基本的软件弱点引起的。简单来说，CWE就像是一个“问题清单”，上面列出了软件中常见的错误类型，这些错误可能会被攻击者利用来窃取数据、控制系统或阻止应用程序正常运行。有些漏洞非常容易被发现和利用，因此了解并预防这些常见的弱点非常重要。

数据显示，在今年7777个高危和极危漏洞中，数据验证不恰当，也称为“输入验证不恰当”（CWE-20），占据首位，有1201个漏洞，占总数的15.44%。SQL注入，也称为“SQL命令中使用的特殊元素转义处理不恰当”（CWE-89）位居第二，有608个漏洞，且存在很多已知被利用的相关漏洞，占总数的7.82%。

企业开发者和采购人员可依据以上CWE列表制定或调整软件安全策略。在开发和采购阶段重点关注常见弱点，能有效防止漏洞在软件生命周期核心阶段产生，既提升软件安全性，又能降低后期修复漏洞的成本和时间。

0day漏洞：OA、VPN漏洞成攻击偏爱对象

0day漏洞作为刚刚被发现、还没有被公开或修复的安全漏洞，已经成为黑客的常规武器。奇安信CERT在2024年新收录了113个0day漏洞，其中77%的漏洞被发现已经在实际环境中（即“在野”）被利用。更为严重的是，43.3%的这些漏洞已经有了公开的攻击代码（Exploit/PoC），这意味着任何人都可以下载并尝试利用这些漏洞发起攻击。

在2024年攻防演练中，奇安信CERT监测到13个0day漏洞（含未公开漏洞），结合全年数据看，OA、VPN、ERP等企业级应用系统成为潜在的安全风险点，其中OA漏洞占比约26%，成为攻击者最偏爱的攻击对象。

2025年漏洞趋势：技术革新加剧攻击复杂性

2025年，漏洞趋势呈现出复杂多变的态势。随着人工智能、量子计算、云原生架构和物联网的快速发展，漏洞暴露面进一步扩大。人工智能将广泛应用于漏洞发现、分析和攻击路径优化，使得攻击和防御的复杂性大幅提升。量子计算能力的逐步突破，可能对传统加密协议产生远期影响。云原生架构中的容器逃逸、Kubernetes配置错误等漏洞将成为热点，而物联网设备的固件漏洞和通信协议漏洞也将遭到攻击者的大规模利用。此外，漏洞利用即服务（Exploitation-as-a-Service）的兴起，推动漏洞攻击进一步规模化和产业化。

面对这些日益复杂的威胁，企业需及时调整安全策略，通过技术升级、自动化管理和威胁情报支持构建主动防御体系。传统的“条文式”漏洞修补和防护管理模式已经无法适应数字化转型深入的要求，必须依靠外部可靠的漏洞情报进行支持与管理。漏洞处理从人工转向自动化成为必然趋势，企业安全能力体系及安全运行体系的升级需要更加先进的漏洞情报体系支撑。

权威机构也指出，鉴于企业资源有限且威胁不断增长，应集中精力应对最相关的威胁和漏洞，并采取主动的安全防护措施，以减少安全事件发生的概率及其造成的后果，进而节约时间与成本。

下载《2024年度网络安全漏洞威胁态势研究报告》请点击 阅读原文

关于作者

奇安信安全监测与响应中心（奇安信 CERT），成立于2016年，隶属于奇安信旗下的威胁情报中心，致力于向客户提供监测全面、响应迅速、认定客观、建议可行的漏洞情报。早在Oracle2020年第二季度关键补丁更新公告中，就被评为了“在线状态安全性贡献者”。多次率先发现WebLogic、Jackson等知名软件和组件的高危漏洞并获得官方致谢。奇安信CERT在Web漏洞研究、二进制漏洞研究、前瞻性攻防工具预研等方面均积累了丰富的经验。

END