2023全球年度安全漏洞TOP 10

数字化转型步伐不断加快，社会各行业迎来了许多发展机遇，但与此同时面临着日益复杂的数据安全和网络安全威胁。其中，安全漏洞数量持续增长更是成为了各行各业不可忽视的挑战，尤其是在工业、金融、交通、国防、医疗和信息技术等领域，安全漏洞的爆发和利用对社会、企业和个人造成了巨大的安全风险。

据安全公司 Qualys 发布的《2023 年网络威胁安全回顾》报告数据显示，2023 年全球共披露了 26447 个计算机漏洞，为“历年之最”，相比去年的 25050 个漏洞，同比增长5.2%。在已披露的漏洞中，超过 7000 个漏洞具有“概念验证利用代码”，易被黑客用于实际攻击，其中更有 115 个漏洞已经被黑客“广泛利用”，虽然不及整体漏洞数量 1%，但已经十分危险。

更糟糕的是，这些攻击者的技术在不断进步，屡屡创造出新的攻击方式，针对社会重点行业发起猛烈攻击，造成了巨大的经济损失。过去一年发生的数千起数据泄漏、勒索攻击等安全事件清楚地表明，安全漏洞利用已经成为威胁攻击者最常用的攻击途径，需要高度重视和有效应对。

接下来，本文从漏洞的危害程度、影响范围和利用途径出发，深入盘点 2023 年最危险的 Top 10 ，旨在提高公众对安全漏洞问题的认识和警觉性，帮助企业和个人更好地保护自身的信息和资产。

CVE 编号：CVE-2023-23397

漏洞严重程度（CVSS 得分 9.8 分）

入选理由：在几乎无处不在的 Outlook 应用程序中，漏洞允许威胁攻击者在窃取用户的 Net-NTLMv2 哈希，被包括 APT 28 在内的黑客组织已经大规模利用。

Microsoft Outlook 是一款邮件管理软件，是微软公司的产品之一，具有日历、任务列表、联系人管理等功能。2023 年 3 月，研究人员发现 Microsoft Outlook 存在安全漏洞 CVE-2023-23397，威胁攻击者能够通过发送特制的电子邮件，在 Outlook 客户端检索和处理时自动触发，导致受害目标连接到攻击者控制的外部 UNC 位置。

这会将受害者的 Net-NTLMv2 散列泄露给攻击者，然后攻击者可以将其中继到另一个服务并作为受害者进行身份验证、成功利用此漏洞的威胁攻击者可以访问用户的 Net-NTLMv2 哈希值，该哈希值可用作针对另一项服务的 NTLM 中继攻击的基础，以验证用户身份。

Microsoft Outlook 2016，2013，Microsoft Office 2019，Microsoft 365 Apps for Enterprise，Microsoft Office LTSC 2021均受该漏洞影响。

APT28 威胁组织自 2022 年 4 月以来一直在利用该漏洞，通过特制的 Outlook 笔记窃取 NTLM 哈希值，迫使目标设备在不需要用户交互的情况下向攻击者控制的 SMB 共享进行身份验证。此外，利用该漏洞提升权限，该组织可在受害目标的环境中进行横向移动，并更改 Outlook 邮箱权限，从而实施有针对性的电子邮件盗窃。更糟糕的是，尽管后来提供了安全更新和缓解建议，但仍然存在很大的攻击面。

Recorded Future 在 6 月份警告说，APT28 威胁组织很可能利用 Outlook 漏洞攻击乌克兰的重要组织，10 月份，法国网络安全局（ANSSI）又披露俄罗斯黑客利用该漏洞攻击了法国的政府实体、企业、大学、研究机构和智库。

官方补丁：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

CVE 编号：CVE-2023-29300

漏洞严重程度（CVSS 得分 9.8 分）

入选理由：未经身份验证的远程威胁攻击者通过构造恶意数据包进行反序列化攻击，最终实现在目标系统上执行任意代码，目前漏洞已经被发现在野被广泛利用。

Adobe ColdFusion 是一种用于构建动态 Web 应用程序的服务器端编程语言和开发平台，由 Adobe Systems 开发和维护，并使用 Java 虚拟机（JVM）作为其运行环境，ColdFusion 支持多种编程语言，包括CFML（ColdFusion标记语言）、JavaScript、Java、.NET 和其他 Web技术，如 HTML、CSS 和 SQL。