您所在的位置: 首頁 >
安全研究 >
安全通告 >
CNVD漏洞周報2022年第19期
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞178個,其中高危漏洞67個、中危漏洞92個、低危漏洞19個。漏洞平均分值為5.88。本周收錄的漏洞中,涉及0day漏洞86個(占48%),其中互聯(lián)網(wǎng)上出現(xiàn)“WUZHI CMS SQL注入漏洞(CNVD-2022-36985)、BluditCMS跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關(guān)和企事業(yè)單位的事件型漏洞總數(shù)8445個,與上周(14613個)環(huán)比減少42%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件44起,向基礎(chǔ)電信企業(yè)通報漏洞事件43起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件516起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗證和處置高??蒲性核到y(tǒng)漏洞事件90起,向國家上級信息安全協(xié)調(diào)機構(gòu)上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件128起。
圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計
圖4 CNCERT各分中心處置情況按周統(tǒng)計
圖5 CNVD教育行業(yè)應(yīng)急組織處置情況按周統(tǒng)計
此外,CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
重慶中聯(lián)信息產(chǎn)業(yè)有限責(zé)任公司、浙江中易慧能科技有限公司、浙江浙大中控信息技術(shù)有限公司、浙江大華技術(shù)股份有限公司、云南博爾科技有限公司、友訊電子設(shè)備(上海)有限公司、用友網(wǎng)絡(luò)科技股份有限公司、兄弟(中國)商業(yè)有限公司、新道科技股份有限公司、夏普商貿(mào)(中國)有限公司、西安中望軟件資訊有限責(zé)任公司、西安瑞友信息技術(shù)資訊有限公司、武漢眾為信息技術(shù)有限公司、微軟(中國)有限公司、網(wǎng)經(jīng)科技(蘇州)有限公司、通贏天下(天津)網(wǎng)絡(luò)科技有限公司、四川萬博教育軟件股份有限公司、神州數(shù)碼控股有限公司、深圳維盟科技股份有限公司、深圳市鎮(zhèn)安科技有限公司、深圳市思迪信息技術(shù)股份有限公司、深圳市庫迪科技有限公司、深圳市集時通訊有限公司、深圳市吉祥騰達科技有限公司、深圳市河辰通訊技術(shù)有限公司、深圳市和為順網(wǎng)絡(luò)技術(shù)有限公司、深圳市共濟科技股份有限公司、深圳市多酷科技有限公司、深圳市必聯(lián)電子有限公司、深圳齊心好視通云計算有限公司、深圳科士達科技股份有限公司、上海展盟網(wǎng)絡(luò)科技有限公司、上海云翌通信科技有限公司、上海焱鳳信息技術(shù)有限公司、上海攜寧計算機科技股份有限公司、上海威派格智慧水務(wù)股份有限公司、上海樹維信息科技有限公司、上海商湯智能科技有限公司、上海商派網(wǎng)絡(luò)科技有限公司、上海華測導(dǎo)航技術(shù)股份有限公司、上海博達數(shù)據(jù)通信有限公司、上海愛數(shù)信息技術(shù)股份有限公司、上海艾泰科技有限公司、山東歐倍爾軟件科技有限責(zé)任公司、廈門網(wǎng)中網(wǎng)軟件有限公司、廈門四信通信科技有限公司、三星(中國)投資有限公司、潤申信息科技(上海)有限公司、全天數(shù)據(jù)管理有限公司、麒麟軟件有限公司、普聯(lián)技術(shù)有限公司、品道電子商務(wù)有限公司、內(nèi)蒙古奔富畜牧業(yè)發(fā)展有限公司、南京天溯自動化控制系統(tǒng)有限公司、廊坊市極致網(wǎng)絡(luò)科技有限公司、藍網(wǎng)科技股份有限公司、藍盾信息安全技術(shù)股份有限公司、昆明云濤科技有限公司、京瓷辦公信息系統(tǒng)(中國)有限公司、金滿壩(深圳)科技有限公司、佳能(中國)有限公司、吉翁電子(深圳)有限公司、湖南建研信息技術(shù)股份有限公司、恒鋒信息科技股份有限公司、杭州三匯信息工程有限公司、杭州企盼信息科技有限公司、杭州吉拉科技有限公司、杭州宏服軟件有限公司、杭州??低晹?shù)字技術(shù)股份有限公司、杭州迪普科技股份有限公司、哈爾濱新中新電子股份有限公司、廣州中望龍騰軟件股份有限公司、廣州市保倫電子有限公司、廣州齊博網(wǎng)絡(luò)科技有限公司、廣州南方衛(wèi)星導(dǎo)航儀器有限公司、廣州國微軟件科技有限公司、廣西南寧領(lǐng)眾網(wǎng)絡(luò)科技有限公司、廣東堡塔安全技術(shù)有限公司、福州青格軟件有限公司、鼎捷軟件股份有限公司、成都星銳藍海網(wǎng)絡(luò)科技有限公司、成都萬江港利科技有限公司、成都索貝數(shù)碼科技股份有限公司、北京中創(chuàng)視訊科技有限公司、北京致遠(yuǎn)互聯(lián)軟件股份有限公司、北京云中融信網(wǎng)絡(luò)科技有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京通達信科科技有限公司、北京淘友天下科技發(fā)展有限公司、北京拓爾思信息技術(shù)股份有限公司、北京數(shù)影互聯(lián)科技有限公司、北京清元優(yōu)軟科技有限公司、北京派網(wǎng)軟件有限公司、北京九思協(xié)同軟件有限公司、北京華遠(yuǎn)達智聯(lián)科技集團有限公司、北京華宇信息技術(shù)有限公司、北京函云數(shù)據(jù)科技有限公司、北京博海琪林科技有限公司、北京百卓網(wǎng)絡(luò)技術(shù)有限公司、安徽旭帆信息科技有限公司、安徽藍盾光電子股份有限公司、騰訊安全應(yīng)急響應(yīng)中心、站幫主CMS、勾股CMS、Victor CMS、TRENDnet、LuckyFrame、LG、FTCMS、EZB Systems, Inc、Dreambox Visual Communications、Cisco、canonical和Axis CommunicationsAB。
本周,CNVD發(fā)布了《Microsoft發(fā)布2022年5月安全更新》。詳情參見CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7681
本周漏洞報送情況統(tǒng)計
本周報送情況如表1所示。其中,阿里云計算有限公司、新華三技術(shù)有限公司、深信服科技股份有限公司、杭州安恒信息技術(shù)股份有限公司、安天科技集團股份有限公司等單位報送公開收集的漏洞數(shù)量較多。重慶都會信息科技有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、快頁信息技術(shù)有限公司、華魯數(shù)智信息技術(shù)(北京)有限公司、廣州百蘊啟辰科技有限公司、上海紐盾科技股份有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、武漢安域信息安全技術(shù)有限公司、貴州泰若數(shù)字科技有限公司、河南信安世紀(jì)科技有限公司、山東云天安全技術(shù)有限公司、北京冠程科技有限公司、智網(wǎng)安云(武漢)信息技術(shù)有限公司、智網(wǎng)安云(武漢)信息技術(shù)有限公司、巨鵬信息科技有限公司、上海觀安信息技術(shù)股份有限公司、北京國測信安科技有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、廣東藍爵網(wǎng)絡(luò)安全技術(shù)股份有限公司、安徽長泰科技有限公司、北京機沃科技有限公司、杭州默安科技有限公司及其他個人白帽子向CNVD提交了8445個以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、上海交大、奇安信網(wǎng)神(補天平臺)和三六零數(shù)字安全科技集團有限公司向CNVD共享的白帽子報送的6153條原創(chuàng)漏洞信息。
表1 漏洞報送情況統(tǒng)計表
本周漏洞按類型和廠商統(tǒng)計
本周,CNVD收錄了178個漏洞。WEB應(yīng)用66個,應(yīng)用程序56個,網(wǎng)絡(luò)設(shè)備(交換機、路由器等網(wǎng)絡(luò)端設(shè)備)30個,數(shù)據(jù)庫11個,操作系統(tǒng)9個,智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)5個,安全產(chǎn)品1個。
表2 漏洞按影響類型統(tǒng)計表
圖6 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Siemens、杭州益仕行信息技術(shù)有限公司、Oracle等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了7個電信行業(yè)漏洞,2個移動互聯(lián)網(wǎng)行業(yè)漏洞,4個工控行業(yè)漏洞(如下圖所示)。其中,“Siemens SIMATIC CP 44x-1 RNA拒絕服務(wù)漏洞、Google Android內(nèi)存錯誤引用漏洞(CNVD-2022-36961)”等漏洞的綜合評級為“高?!薄O嚓P(guān)廠商已經(jīng)發(fā)布了漏洞的修補程序,請參照CNVD相關(guān)行業(yè)漏洞庫鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖7 電信行業(yè)漏洞統(tǒng)計
圖8 移動互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計
圖9 工控系統(tǒng)行業(yè)漏洞統(tǒng)計
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Mozilla產(chǎn)品安全漏洞
Mozilla Thunderbird是美國Mozilla基金會的一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。Mozilla Firefox是一款開源Web瀏覽器。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞訪問敏感信息,導(dǎo)致內(nèi)存損壞等。
CNVD收錄的相關(guān)漏洞包括:Mozilla Firefox跨站腳本漏洞(CNVD-2022-36976)、MozillaFirefox欺騙攻擊漏洞、Mozilla Firefox無限循環(huán)漏洞、Mozilla Firefox資源管理錯誤漏洞(CNVD-2022-36980)、MozillaFirefox安全特征問題漏洞、Mozilla Firefox MessageTask資源管理錯誤漏洞、Mozilla Thunderbird信息泄露漏洞(CNVD-2022-36982)、MozillaFirefox信息泄露漏洞(CNVD-2022-36981)。其中,“Mozilla Firefox安全特征問題漏洞”的綜合評級為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36976
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36978
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36977
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36980
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36979
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36983
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36982
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36981
2、IBM產(chǎn)品安全漏洞
IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產(chǎn)品。IBMCloud Pak System是美國IBM公司的一套具有可配置、預(yù)集成軟件的全棧、融合基礎(chǔ)架構(gòu)。IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產(chǎn)品。IBMSecurity Guardium Data Encryption是美國IBM公司的一個應(yīng)用軟件。IBM MQ Appliance是美國IBM公司的一款用于快速部署企業(yè)級消息中間件的一體機設(shè)備。IBM Watson Query是美國IBM公司的一個通用查詢引擎。IBM Cloud Pak for Business Automation是美國國際商業(yè)機器公司(IBM)的一組模塊化的集成軟件組件。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞解密敏感信息,枚舉賬戶憑證,導(dǎo)致拒絕服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:IBM Robotic Process Automation授權(quán)問題漏洞、IBM Cloud Pak System加密問題漏洞、IBM Robotic Process Automation信息泄露漏洞、IBM Guardium Data Encryption(GDE)跨站腳本漏洞、IBMMQ Appliance信息泄露漏洞(CNVD-2022-36975)、IBMMQ Appliance拒絕服務(wù)漏洞(CNVD-2022-36974)、IBMWatson Query with Cloud Pak for Data as a Service權(quán)限提升漏洞、IBM Cloud Pak for Business Automation訪問控制錯誤漏洞。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36971
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36969
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36968
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36967
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36975
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36974
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36973
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36972
3、SIEMENS產(chǎn)品安全漏洞
Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個可為設(shè)計2D、3D場景提供團隊協(xié)作功能的軟件。Desigo PXC4樓宇自動化控制器是為暖通空調(diào)系統(tǒng)控制而設(shè)計的。它是一款緊湊型設(shè)備,內(nèi)置IOs,能夠通過額外的TX-IO模塊擴展到您的需要。Desigo PXC5是一款可自由編程控制器,用于BACnet系統(tǒng)級功能,如報警路由、系統(tǒng)范圍的調(diào)度和趨勢分析,以及設(shè)備監(jiān)控。Desigo DXR2控制器是可編程的自動化站,以支持終端HVAC設(shè)備和TRA(全房間自動化)應(yīng)用的標(biāo)準(zhǔn)控制需求。Desigo PXC3系列自動化站可用于功能性和靈活性要求更高的建筑。SICAM P850多功能測量裝置用于采集、可視化、評估和傳輸電氣測量變量,如交流電、交流電壓、頻率、功率、諧波等。SICAM P855多功能設(shè)備用于收集、顯示和傳輸測量的電氣變量,如交流電流、交流電壓、功率類型、諧波等。根據(jù)電能質(zhì)量標(biāo)準(zhǔn)IEC 61000-4-30收集和處理測量值和事件。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞訪問設(shè)備的管理界面,在當(dāng)前進程的上下文中執(zhí)行代碼,造成拒絕服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:Siemens JT2Go和TeamcenterVisualization雙重釋放漏洞(CNVD-2022-36381)、SiemensJT2Go和Teamcenter Visualization文件解析漏洞、Siemens Desigo PXC和DXRDevices遠(yuǎn)程代碼執(zhí)行漏洞、Siemens Desigo PXC和DXRDevices不受控制資源消耗漏洞、Siemens SICAM P850和SICAMP855 Devices跨站腳本漏洞(CNVD-2022-36389、CNVD-2022-36395、CNVD-2022-36391)、SiemensSICAM P850和SICAM P855 Devices繞過身份驗證漏洞。上述漏洞的綜合評級為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36381
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36380
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36379
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36378
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36389
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36393
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36391
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36395
4、Oracle產(chǎn)品安全漏洞
Oracle Solaris是美國甲骨文(Oracle)公司的一套UNIX操作系統(tǒng)。Oracle WebLogic Server是一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件。Oracle MySQL是一套開源的關(guān)系數(shù)據(jù)庫管理系統(tǒng)。MySQL Server是其中的一個數(shù)據(jù)庫服務(wù)器組件。MySQL Connectors是其中的一個連接使用MySQL的應(yīng)用程序的驅(qū)動程序。OracleDatabase Server是一套關(guān)系數(shù)據(jù)庫管理系統(tǒng)。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞讀取和操作數(shù)據(jù),執(zhí)行任意代碼等。
CNVD收錄的相關(guān)漏洞包括:Oracle Solaris輸入驗證錯誤漏洞(CNVD-2022-36946)、OracleWebLogic Server輸入驗證錯誤漏洞(CNVD-2022-36951)、OracleMySQL InnoDB組件拒絕服務(wù)漏洞、Oracle Database Server輸入驗證錯誤漏洞(CNVD-2022-36954、CNVD-2022-36953、CNVD-2022-36952、CNVD-2022-36958)、Oracle MySQL輸入驗證錯誤漏洞(CNVD-2022-36955)。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36946
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36951
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36949
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36954
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36953
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36952
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36958
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36955
5、Delta Electronics DIAEnergieSQL注入漏洞(CNVD-2022-36031)
Delta Electronics DIAEnergie是一個工業(yè)能源管理系統(tǒng),用于實時監(jiān)控和分析能源消耗、計算能源消耗和負(fù)載特性、優(yōu)化設(shè)備性能、改進生產(chǎn)流程并最大限度地提高能源效率。本周,Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數(shù)據(jù)庫內(nèi)容以及執(zhí)行系統(tǒng)命令。目前,廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36031
小結(jié):本周,Mozilla產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞訪問敏感信息,導(dǎo)致內(nèi)存損壞等。此外,IBM、Siemens、Oracle等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞讀取和操作數(shù)據(jù),在當(dāng)前進程的上下文中執(zhí)行代碼,造成拒絕服務(wù)等。另外,Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數(shù)據(jù)庫內(nèi)容以及執(zhí)行系統(tǒng)命令。建議相關(guān)用戶隨時關(guān)注上述廠商主頁,及時獲取修復(fù)補丁或解決方案。
本周重要漏洞攻擊驗證情況
本周,CNVD建議注意防范以下已公開漏洞攻擊驗證情況。
1、Bludit CMS跨站腳本漏洞
驗證描述
Bludit CMS是一套開源的輕量級博客內(nèi)容管理系統(tǒng)(CMS)。
Bludit CMS v3.13.1版本存在跨站腳本漏洞,該漏洞源于/admin/new-content頁面缺少對于用戶輸入數(shù)據(jù)的過濾和驗證。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。
驗證信息
POC鏈接:
https://github.com/joinia/webray.com.cn/blob/main/Bludit/Bluditreadme.md
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-36994
信息提供者
新華三技術(shù)有限公司
注:以上驗證信息(方法)可能帶有攻擊性,僅供安全研究之用。請廣大用戶加強對漏洞的防范工作,盡快下載相關(guān)補丁。
來源:CNVD漏洞平臺