您所在的位置: 首頁 >
安全研究 >
安全通告 >
2022年CNVD漏洞周報(bào)第23期
(2022年06月06日-2022年06月12日)
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國家信息安全漏洞共享平臺(tái)(以下簡稱CNVD)本周共收集、整理信息安全漏洞542個(gè),其中高危漏洞169個(gè)、中危漏洞292個(gè)、低危漏洞81個(gè)。漏洞平均分值為5.57。本周收錄的漏洞中,涉及0day漏洞396個(gè)(占73%),其中互聯(lián)網(wǎng)上出現(xiàn)“Student Grading System SQL注入漏洞(CNVD-2022-44234)、Purchase Order Management System SQL注入漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)42217個(gè),與上周(4943個(gè))環(huán)比增加754%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計(jì)
本周漏洞事件處置情況
本周,CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件34起,向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件27起,協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門漏洞事件206起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高??蒲性核到y(tǒng)漏洞事件61起,向國家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件135起。
圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計(jì)
圖4 CNCERT各分中心處置情況按周統(tǒng)計(jì)
圖5 CNVD教育行業(yè)應(yīng)急組織處置情況按周統(tǒng)計(jì)
此外,CNVD通過已建立的聯(lián)系機(jī)制或涉事單位公開聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
(略)
本周漏洞報(bào)送情況統(tǒng)計(jì) 本周報(bào)送情況如表1所示。其中,杭州安恒信息技術(shù)股份有限公司、北京神州綠盟科技有限公司、深信服科技股份有限公司、新華三技術(shù)有限公司、安天科技集團(tuán)股份有限公司等單位報(bào)送公開收集的漏洞數(shù)量較多。北京華順信安科技有限公司、上海紐盾科技股份有限公司、星云博創(chuàng)科技有限公司、重慶都會(huì)信息科技、河南東方云盾信息技術(shù)有限公司、江蘇保旺達(dá)軟件技術(shù)有限公司、北方實(shí)驗(yàn)室(沈陽)股份有限公司、快頁信息技術(shù)有限公司、杭州默安科技有限公司、長春嘉誠信息技術(shù)股份有限公司、武漢安域信息安全技術(shù)有限公司、山東云天安全技術(shù)有限公司、北京云科安信科技有限公司(Seraph安全實(shí)驗(yàn)室)、中國煙草總公司湖北省公司、鄭州向心力通信技術(shù)股份有限公司、河南信安世紀(jì)科技有限公司、山谷網(wǎng)安科技股份有限公司、河南省鼎信信息安全等級(jí)測評(píng)有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、廣東唯頂信息科技股份有限公司、江蘇天競云合數(shù)據(jù)技術(shù)有限公司、上海天存信息技術(shù)有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司、江蘇國泰新點(diǎn)軟件有限公司、貴州泰若數(shù)字科技有限公司、北京邊界無限科技有限公司、北京機(jī)沃科技有限公司、任子行網(wǎng)絡(luò)技術(shù)股份有限公司及其他個(gè)人白帽子向CNVD提交了42217個(gè)以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、上海交大、奇安信網(wǎng)神(補(bǔ)天平臺(tái))和三六零數(shù)字安全科技集團(tuán)有限公司向CNVD共享的白帽子報(bào)送的39872條原創(chuàng)漏洞信息。
表1 漏洞報(bào)送情況統(tǒng)計(jì)表(略)
本周漏洞按類型和廠商統(tǒng)計(jì)
本周,CNVD收錄了542個(gè)漏洞。WEB應(yīng)用248個(gè),應(yīng)用程序111個(gè),操作系統(tǒng)70個(gè),網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)64個(gè),安全產(chǎn)品20個(gè),智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)16個(gè),數(shù)據(jù)庫13個(gè)。
表2 漏洞按影響類型統(tǒng)計(jì)表
圖6 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Google、廊坊市極致網(wǎng)絡(luò)科技有限公司、Adobe等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計(jì)如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計(jì)表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了39個(gè)電信行業(yè)漏洞,79個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞,7個(gè)工控行業(yè)漏洞(如下圖所示)。其中,“Google Android權(quán)限提升漏洞(CNVD-2022-43854、CNVD-2022-43855)”等漏洞的綜合評(píng)級(jí)為“高?!薄O嚓P(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫鏈接。電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖7 電信行業(yè)漏洞統(tǒng)計(jì)
圖8 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)
圖9 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Google產(chǎn)品安全漏洞
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。本周,上述產(chǎn)品被披露存在權(quán)限提升漏洞,攻擊者可利用漏洞導(dǎo)致本地權(quán)限升級(jí)。
CNVD收錄的相關(guān)漏洞包括:Google Android權(quán)限提升漏洞(CNVD-2022-43854、CNVD-2022-43857、CNVD-2022-43856、CNVD-2022-43855、CNVD-2022-44604、CNVD-2022-44607、CNVD-2022-44606、CNVD-2022-44605)。上述漏洞的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43854
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43857
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43856
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43855
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44604
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44607
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44606
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44605
2、Adobe產(chǎn)品安全漏洞
Adobe Acrobat是一套PDF文件編輯和轉(zhuǎn)換工具。Adobe Acrobat Reader是一款PDF查看器。該軟件用于打印,簽名和注釋PDF。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:多款A(yù)dobe產(chǎn)品資源管理錯(cuò)誤漏洞(CNVD-2022-43379、CNVD-2022-43455、CNVD-2022-43382、CNVD-2022-43380、CNVD-2022-43384、CNVD-2022-43454)、多款A(yù)dobe產(chǎn)品越界寫入漏洞(CNVD-2022-43453)、多款A(yù)dobe產(chǎn)品越界讀取漏洞(CNVD-2022-43383)。上述漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43379
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43383
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43382
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43380
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43384
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43454
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43453
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43455
3、Huawei產(chǎn)品安全漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場景分布式操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞繞過Web身份驗(yàn)證并獲得設(shè)備的管理訪問權(quán)限,創(chuàng)建任意文件,進(jìn)行權(quán)限提升等。
CNVD收錄的相關(guān)漏洞包括:Huawei HarmonyOS整數(shù)溢出漏洞(CNVD-2022-44616)、Huawei HarmonyOS授權(quán)問題漏洞(CNVD-2022-44619、CNVD-2022-44618)、Huawei HarmonyOS目錄遍歷漏洞、Huawei HarmonyOS WIFI模塊權(quán)限提升漏洞、Huawei HarmonyOS拒絕服務(wù)漏洞(CNVD-2022-44620)、Huawei HarmonyOS DFX模塊訪問控制錯(cuò)誤漏洞、Huawei HarmonyOS DFX模塊釋放后重用漏洞。其中,“Huawei HarmonyOS WIFI模塊權(quán)限提升漏洞、Huawei HarmonyOS DFX模塊釋放后重用漏洞”漏洞的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44616
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44619
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44618
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44617
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44621
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44620
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44625
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44624
4、Cisco產(chǎn)品安全漏洞
Cisco Firepower Threat Defense是美國思科(Cisco)公司的一套提供下一代防火墻服務(wù)的統(tǒng)一軟件。Cisco Firepower Management Center(FMC)是美國思科(Cisco)公司的新一代防火墻管理中心軟件。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞在未經(jīng)適當(dāng)授權(quán)的情況下查看數(shù)據(jù),將XML注入命令解析器,導(dǎo)致命令的意外處理和意外的命令輸出,觸發(fā)拒絕服務(wù) (DoS) 條件等。
CNVD收錄的相關(guān)漏洞包括:Cisco Firepower Threat Defense輸入驗(yàn)證錯(cuò)誤漏洞、Cisco Firepower Threat Defense代碼問題漏洞、Cisco Firepower Management Center輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-43400)、Cisco Firepower Management Center代碼問題漏洞、Cisco Firepower Threat Defense訪問控制錯(cuò)誤漏洞(CNVD-2022-43398)、Cisco Firepower Threat Defense資源管理錯(cuò)誤漏洞(CNVD-2022-43404)、Cisco Firepower Threat Defense拒絕服務(wù)漏洞(CNVD-2022-43403、CNVD-2022-43402)。其中,“Cisco Firepower Threat Defense代碼問題漏洞、Cisco Firepower Management Center代碼問題漏洞、Cisco Firepower Threat Defense資源管理錯(cuò)誤漏洞(CNVD-2022-43404)、Cisco Firepower Threat Defense拒絕服務(wù)漏洞(CNVD-2022-43402)”漏洞的綜合評(píng)級(jí)為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43397
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43401
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43400
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43399
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43398
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43404
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43403
https://www.cnvd.org.cn/flaw/show/CNVD-2022-43402
5、Vite目錄遍歷漏洞
Vite?種新型前端構(gòu)建?具,能夠顯著提升前端開發(fā)體驗(yàn)。本周,Vite被披露存在目錄遍歷漏洞。攻擊者可利用該漏洞訪問本地?件系統(tǒng)。目前,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶隨時(shí)關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44615
更多高危漏洞如表4所示,詳細(xì)信息可根據(jù)CNVD編號(hào),在CNVD官網(wǎng)進(jìn)行查詢。參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
小結(jié):本周,Google產(chǎn)品被披露存在權(quán)限提升漏洞,攻擊者可利用漏洞導(dǎo)致本地權(quán)限升級(jí)。此外,Adobe、Huawei、Cisco等多款產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞在未經(jīng)適當(dāng)授權(quán)的情況下查看數(shù)據(jù),將XML注入命令解析器,導(dǎo)致命令的意外處理和意外的命令輸出,觸發(fā)拒絕服務(wù) (DoS) 條件,在當(dāng)前用戶的上下文中執(zhí)行任意代碼等。另外,Vite被披露存在目錄遍歷漏洞。攻擊者可利用該漏洞訪問本地?件系統(tǒng)。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁,及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。
來源: CNVD漏洞平臺(tái)