您所在的位置: 首頁 >
安全研究 >
安全通告 >
2022年CNVD漏洞周報第24期
(2022年06月13日-2022年06月19日)
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞474個,其中高危漏洞146個、中危漏洞284個、低危漏洞44個。漏洞平均分值為5.93。本周收錄的漏洞中,涉及0day漏洞361個(占76%),其中互聯(lián)網(wǎng)上出現(xiàn)“CSCMS Music Portal System SQL注入漏洞、Badminton Center Management System SQL注入漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關(guān)和企事業(yè)單位的事件型漏洞總數(shù)9231個,與上周(42217個)環(huán)比減少78%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件28起,向基礎(chǔ)電信企業(yè)通報漏洞事件33起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件449起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗證和處置高校科研院所系統(tǒng)漏洞事件83起,向國家上級信息安全協(xié)調(diào)機構(gòu)上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件115起。
此外,CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
紫光軟件系統(tǒng)有限公司、珠海金山辦公軟件有限公司、中信科移動通信技術(shù)股份有限公司、中科方德軟件有限公司、浙江禾匠信息科技有限公司、友訊電子設(shè)備(上海)有限公司、用友網(wǎng)絡(luò)科技股份有限公司、兄弟(中國)商業(yè)有限公司、西門子(中國)有限公司、無錫銳泰節(jié)能系統(tǒng)科學(xué)有限公司、微軟(中國)有限公司、天維爾信息科技股份有限公司、天津神州浩天科技有限公司、四平市九州易通科技有限公司、思科系統(tǒng)(中國)網(wǎng)絡(luò)技術(shù)有限公司、深圳搜豹網(wǎng)絡(luò)有限公司、深圳市圖美電子技術(shù)有限公司、深圳市金蝶天燕云計算股份有限公司、深圳市吉祥騰達科技有限公司、深信服科技股份有限公司、上海卓卓網(wǎng)絡(luò)科技有限公司、上海喜馬拉雅科技有限公司、上??咸貎x表股份有限公司、上海黃豆網(wǎng)絡(luò)科技有限公司、上海泛微網(wǎng)絡(luò)科技股份有限公司、上海二三四五網(wǎng)絡(luò)科技有限公司、上海貝銳信息科技股份有限公司、山東金鐘科技集團股份有限公司、廈門三五互聯(lián)科技股份有限公司、青島東軟載波智能電子有限公司、普聯(lián)技術(shù)有限公司、南京康尼機電股份有限公司、明騰網(wǎng)絡(luò)股份有限公司、昆明云濤科技有限公司、康吉諾(北京)科技有限公司、江西銘軟科技有限公司、吉翁電子(深圳)有限公司、湖南省思派電子科技有限公司、湖南創(chuàng)星科技股份有限公司、湖南翱云網(wǎng)絡(luò)科技有限公司、恒鋒信息科技股份有限公司、杭州易軟共創(chuàng)網(wǎng)絡(luò)科技有限公司、漢王科技股份有限公司、海南有趣科技有限公司、廣州圖創(chuàng)計算機軟件開發(fā)有限公司、廣州南方衛(wèi)星導(dǎo)航儀器有限公司、廣州好象科技有限公司、廣東精工智能系統(tǒng)有限公司、富士膠片商業(yè)創(chuàng)新(中國)有限公司、烽火通信科技股份有限公司、東莞市東城飛飛網(wǎng)絡(luò)科技經(jīng)營部、北京中創(chuàng)視訊科技有限公司、北京值得買科技股份有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京欣泉科技有限公司、北京網(wǎng)康科技有限公司、北京天融信科技有限公司、北京數(shù)科網(wǎng)維技術(shù)有限責(zé)任公司、北京神州綠盟科技有限公司、北京巧巧時代網(wǎng)絡(luò)科技有限公司、北京靈州網(wǎng)絡(luò)技術(shù)有限公司、北京良精志誠科技有限責(zé)任公司、北京九思協(xié)同軟件有限公司、北京漢邦高科數(shù)字技術(shù)股份有限公司、北京寶蘭德軟件股份有限公司、北京愛奇藝科技有限公司、三菱電機株式會社、眾山小讀書APP、狂雨小說cms、WordPress、VMware, Inc.、UCMS、StarDot Technologies、SparkPost、osCommerce、NETGEAR、Moddable、JreCms、JPress、jfinal cms、J2eeFAST、AxonIQ和Axis Communications AB。
本周,CNVD發(fā)布了《Microsoft發(fā)布2022年6月安全更新》。詳情參見CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7801
本周漏洞報送情況統(tǒng)計
本周報送情況如表1所示。其中,新華三技術(shù)有限公司、深信服科技股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京神州綠盟科技有限公司、安天科技集團股份有限公司等單位報送公開收集的漏洞數(shù)量較多。北京華順信安科技有限公司、貴州泰若數(shù)字科技有限公司、上海紐盾科技股份有限公司、重慶都會信息科技有限公司、河南東方云盾信息技術(shù)有限公司、北京安帝科技有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、浙江木鏈物聯(lián)網(wǎng)科技有限公司、山谷網(wǎng)安科技股份有限公司、中科匯能科技有限公司、武漢安域信息安全技術(shù)有限公司、西安交大捷普網(wǎng)絡(luò)科技有限公司、平安銀河實驗室、河南靈創(chuàng)電子科技有限公司、中國煙草總公司湖北省公司、廣東唯頂信息科技股份有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、北京六方云信息技術(shù)有限公司、網(wǎng)宿科技股份有限公司、廣州百蘊啟辰科技有限公司、北京墨云科技有限公司、北京機沃科技有限公司、上海嘉韋思信息技術(shù)有限公司、江蘇保旺達軟件技術(shù)有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司、南京凱茜數(shù)字科技有限公司及其他個人白帽子向CNVD提交了9231個以事件型漏洞為主的原創(chuàng)漏洞,其中包括奇安信網(wǎng)神(補天平臺)、斗象科技(漏洞盒子)、三六零數(shù)字安全科技集團有限公司和上海交大向CNVD共享的白帽子報送的7011條原創(chuàng)漏洞信息。
表1 漏洞報送情況統(tǒng)計表(略)
本周漏洞按類型和廠商統(tǒng)計
本周,CNVD收錄了474個漏洞。WEB應(yīng)用223個,應(yīng)用程序120個,網(wǎng)絡(luò)設(shè)備(交換機、路由器等網(wǎng)絡(luò)端設(shè)備)77個,智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)21個,安全產(chǎn)品16個,操作系統(tǒng)16個,數(shù)據(jù)庫1個。
表2 漏洞按影響類型統(tǒng)計表
圖2 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Google、WordPress、Siemens等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了61個電信行業(yè)漏洞,15個移動互聯(lián)網(wǎng)行業(yè)漏洞,26個工控行業(yè)漏洞(如下圖所示)。其中,“H3C Magic R100緩沖區(qū)溢出漏洞、Cisco Unified CM和Unified CM SME任意文件寫入漏洞、Siemens SINEMA Remote Connect Server命令注入漏洞”等漏洞的綜合評級為“高?!?。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補程序,請參照CNVD相關(guān)行業(yè)漏洞庫鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計
圖4 移動互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Adobe產(chǎn)品安全漏洞
Adobe Acrobat是一套PDF文件編輯和轉(zhuǎn)換工具。Adobe Acrobat Reader是一款PDF查看器。該軟件用于打印,簽名和注釋PDF。Adobe InCopy是美國Adobe公司的一款用于創(chuàng)作的文本編輯軟件。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞讀取系統(tǒng)上的敏感信息,在目標系統(tǒng)上執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:多款A(yù)dobe產(chǎn)品越界讀取漏洞(CNVD-2022-45905、CNVD-2022-45904、CNVD-2022-45906、CNVD-2022-45908、CNVD-2022-45907、CNVD-2022-45910、CNVD-2022-45911)、Adobe InCopy越界寫入漏洞(CNVD-2022-45913)。其中,“多款A(yù)dobe產(chǎn)品越界讀取漏洞(CNVD-2022-45906)、Adobe InCopy越界寫入漏洞(CNVD-2022-45913)”的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45905
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45904
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45906
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45908
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45907
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45910
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45911
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45913
2、Google產(chǎn)品安全漏洞
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Bootloader是其中的一個啟動加載程序。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞通過精心設(shè)計的HTML頁面執(zhí)行沙盒逃逸,導(dǎo)致權(quán)限提升,造成應(yīng)用拒絕服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:Google Chrome資源管理錯誤漏洞(CNVD-2022-44716、CNVD-2022-44715、CNVD-2022-44718、CNVD-2022-44717、CNVD-2022-44720、CNVD-2022-44719)、Google Android拒絕服務(wù)漏洞(CNVD-2022-45914)、Google Android權(quán)限提升漏洞(CNVD-2022-45915)。其中,“Google Android權(quán)限提升漏洞(CNVD-2022-45915)”的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44716
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44715
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44718
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44717
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44720
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44719
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45914
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45915
3、Cisco產(chǎn)品安全漏洞
Cisco Firepower Threat Defense是一套提供下一代防火墻服務(wù)的統(tǒng)一軟件。Cisco Adaptive Security Appliances Software是一套防火墻和網(wǎng)絡(luò)安全平臺。該平臺提供了對數(shù)據(jù)和網(wǎng)絡(luò)資源的高度安全的訪問等功能。Cisco Unified Communications Manager是美國思科(Cisco)公司的一款統(tǒng)一通信系統(tǒng)中的呼叫處理組件。該組件提供了一種可擴展、可分布和高可用的企業(yè)IP電話呼叫處理解決方案。Unified Communications Manager Session Management Edition是Unified Communications Manager的會話管理版。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞訪問底層操作系統(tǒng)上的敏感文件,執(zhí)行任意腳本代碼,造成拒絕服務(wù)條件(DoS)等。
CNVD收錄的相關(guān)漏洞包括:Cisco Adaptive Security Appliance和Firepower Threat Defense信息泄露漏洞、Cisco Adaptive Security Appliance和Firepower Threat Defense拒絕服務(wù)漏洞(CNVD-2022-44686、CNVD-2022-44689)、Cisco Adaptive Security Appliance和Firepower Threat Defense權(quán)限提升漏洞、Cisco Unified CM和Unified CM SME任意文件讀取漏洞、Cisco Unified CM和Unified CM SME任意文件寫入漏洞、Cisco Unified CM和Unified CM SME跨站腳本漏洞、Cisco Unified CM和Unified CM SME拒絕服務(wù)漏洞。其中,“Cisco Adaptive Security Appliance和Firepower Threat Defense拒絕服務(wù)漏洞(CNVD-2022-44686、CNVD-2022-44689)、Cisco Adaptive Security Appliance和Firepower Threat Defense權(quán)限提升漏洞、Cisco Unified CM和Unified CM SME任意文件寫入漏洞”漏洞的綜合評級為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44687
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44686
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44689
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44688
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44704
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44703
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44707
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44706
4、Siemens產(chǎn)品安全漏洞
SINEMA Remote Connect是一個遠程網(wǎng)絡(luò)管理平臺,可輕松管理總部、服務(wù)技術(shù)人員和已安裝機器或工廠之間的隧道連接 (VPN)。Mendix SAML Module允許使用SAML對云應(yīng)用程序中的用戶進行身份驗證。該模塊可以與任何支持SAML2.0或Shibboleth的身份提供者進行通信。Xpedition Enterprise是一款PCB設(shè)計流程,提供從系統(tǒng)設(shè)計定義到制造執(zhí)行的集成。SICAM GridEdge只需單擊幾下即可使您現(xiàn)有的IEC61850設(shè)備具有物聯(lián)網(wǎng)功能。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞創(chuàng)建具有管理權(quán)限的新用戶,更改用戶的數(shù)據(jù),注入任意代碼并提升權(quán)限等。
CNVD收錄的相關(guān)漏洞包括:Siemens SINEMA Remote Connect Server用戶管理錯誤漏洞、Siemens SINEMA Remote Connect Server數(shù)據(jù)真實性驗證錯誤漏洞、Siemens SINEMA Remote Connect Server身份驗證錯誤漏洞、Siemens Mendix SAML Module跨站腳本漏洞、Siemens Xpedition Designer本地權(quán)限提升漏洞、Siemens SICAM GridEdge身份驗證錯誤漏洞(CNVD-2022-45216)、Siemens SICAM GridEdge資源泄漏漏洞、Siemens SICAM GridEdge身份驗證錯誤漏洞。上述漏洞的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45221
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45227
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45229
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45212
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45209
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45216
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45215
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45217
5、D-Link DIR-816 A2命令注入漏洞(CNVD-2022-45933)
D-Link DIR-816 A2是中國臺灣友訊(D-Link)公司的一款無線路由器。本周,D-Link DIR-816 A2被披露存在命令注入漏洞。該漏洞源于/goform/setSysAdm中的admuser和admpass參數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞通過精心設(shè)計的負載將權(quán)限提升到root。目前,廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-45933
更多高危漏洞如表4所示,詳細信息可根據(jù)CNVD編號,在CNVD官網(wǎng)進行查詢。參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小結(jié):本周,Adobe產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞讀取系統(tǒng)上的敏感信息,在目標系統(tǒng)上執(zhí)行任意代碼。此外,Google、Cisco、Siemens等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞訪問底層操作系統(tǒng)上的敏感文件,創(chuàng)建具有管理權(quán)限的新用戶,更改用戶的數(shù)據(jù),執(zhí)行任意腳本代碼,導(dǎo)致權(quán)限提升,造成拒絕服務(wù)條件(DoS)等。另外,D-Link
DIR-816
A2被披露存在命令注入漏洞。攻擊者可利用該漏洞通過精心設(shè)計的負載將權(quán)限提升到root。建議相關(guān)用戶隨時關(guān)注上述廠商主頁,及時獲取修復(fù)補丁或解決方案。
來源:國家信息安全漏洞共享平臺