您所在的位置: 首頁 >
安全研究 >
安全通告 >
2022年CNVD漏洞周報第25期
(2022年06月20日-2022年06月26日)
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞383個,其中高危漏洞149個、中危漏洞202個、低危漏洞32個。漏洞平均分值為6.03。本周收錄的漏洞中,涉及0day漏洞290個(占76%),其中互聯(lián)網(wǎng)上出現(xiàn)“WordPress WP Contacts Manager SQL注入漏洞、Jfinal CMS SQL注入漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關(guān)和企事業(yè)單位的事件型漏洞總數(shù)8658個,與上周(9231個)環(huán)比減少6%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件22起,向基礎(chǔ)電信企業(yè)通報漏洞事件32起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件697起,協(xié)調(diào)教育行業(yè)應急組織驗證和處置高??蒲性核到y(tǒng)漏洞事件125起,向國家上級信息安全協(xié)調(diào)機構(gòu)上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件112起。
此外,CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
重慶梅安森科技股份有限公司、友訊電子設(shè)備(上海)有限公司、兄弟(中國)商業(yè)有限公司、夏普商貿(mào)(中國)有限公司、武漢金同方科技有限公司、衛(wèi)寧健康科技集團股份有限公司、微軟(中國)有限公司、蘇州祥云平臺信息技術(shù)有限公司、蘇州思迪信息技術(shù)有限公司、四川千行你我科技股份有限公司、深圳智沃科技有限公司、深圳維盟科技股份有限公司、深圳市圖美電子技術(shù)有限公司、深圳市銳明技術(shù)股份有限公司、深圳市吉祥騰達科技有限公司、上海卓卓網(wǎng)絡(luò)科技有限公司、上海茸易科技有限公司、瑞斯康達科技發(fā)展股份有限公司、普聯(lián)技術(shù)有限公司、明騰網(wǎng)絡(luò)股份有限公司、聯(lián)想圖像(北京)科技有限公司、廊坊市極致網(wǎng)絡(luò)科技有限公司、惠普貿(mào)易(上海)有限公司、華碩電腦(上海)有限公司、湖南省思派電子科技有限公司、湖南快樂陽光互動娛樂傳媒有限公司、湖南建研信息技術(shù)股份有限公司、洪湖爾創(chuàng)網(wǎng)聯(lián)信息技術(shù)有限公司、恒鋒信息科技股份有限公司、杭州雄偉科技開發(fā)股份有限公司、杭州恒生數(shù)字設(shè)備科技有限公司、廣州紅帆科技有限公司、廣東頂固集創(chuàng)家居股份有限公司、北京卓易訊暢科技有限公司、北京致遠互聯(lián)軟件股份有限公司、北京易勤信息技術(shù)有限公司、北京億賽通科技發(fā)展有限責任公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京信安世紀科技股份有限公司、北京網(wǎng)康科技有限公司、北京萬戶網(wǎng)絡(luò)技術(shù)有限公司、北京通達志成科技有限公司、北京通達信科科技有限公司、北京潤乾信息系統(tǒng)技術(shù)有限公司、北京良精志誠科技有限責任公司、北京九思協(xié)同軟件有限公司、北京寶蘭德軟件股份有限公司、北京百卓網(wǎng)絡(luò)技術(shù)有限公司、網(wǎng)展科技、寶利通公司、易迅軟件工作室、The Apache Software Foundation、Texas Instruments、ST Engineering iDirect, Inc. dba iDirect、SEMCMS、JFinalOA和Adobe。
本周漏洞報送情況統(tǒng)計
本周報送情況如表1所示。其中,新華三技術(shù)有限公司、深信服科技股份有限公司、北京神州綠盟科技有限公司、北京數(shù)字觀星科技有限公司、安天科技集團股份有限公司等單位報送公開收集的漏洞數(shù)量較多。重慶都會信息科技有限公司、上海紐盾科技股份有限公司、杭州默安科技有限公司、河南東方云盾信息技術(shù)有限公司、北京安盟信息技術(shù)股份有限公司、河南靈創(chuàng)電子科技有限公司、北京天地和興科技有限公司、河南信安世紀科技有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司、廈門捷諾通信息技術(shù)股份有限公司、新疆海狼科技有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、浙江木鏈物聯(lián)網(wǎng)科技有限公司、中國電信股份有限公司甘肅分公司、貴州泰若數(shù)字科技有限公司、江蘇國泰新點軟件有限公司、廣州百蘊啟辰科技有限公司、思而聽網(wǎng)絡(luò)科技有限公司及其他個人白帽子向CNVD提交了8658個以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信網(wǎng)神(補天平臺)向CNVD共享的白帽子報送的6964條原創(chuàng)漏洞信息。
表1 漏洞報送情況統(tǒng)計表(略)
本周漏洞按類型和廠商統(tǒng)計
本周,CNVD收錄了383個漏洞。WEB應用206個,應用程序80個,網(wǎng)絡(luò)設(shè)備(交換機、路由器等網(wǎng)絡(luò)端設(shè)備)56個,操作系統(tǒng)20,智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)11個,安全產(chǎn)品8個,數(shù)據(jù)庫2個。
表2 漏洞按影響類型統(tǒng)計表
圖2 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Adobe、WordPress、Google等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了43個電信行業(yè)漏洞,22個移動互聯(lián)網(wǎng)行業(yè)漏洞,7個工控行業(yè)漏洞(如下圖所示)。其中,“Xiaomi Router AX3600命令注入漏洞、Siemens SIMATIC WinCC OA客戶端身份驗證漏洞”等漏洞的綜合評級為“高?!?。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補程序,請參照CNVD相關(guān)行業(yè)漏洞庫鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計
圖4 移動互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Adobe產(chǎn)品安全漏洞
Adobe Acrobat是一套PDF文件編輯和轉(zhuǎn)換工具。Adobe Acrobat Reader是一款PDF查看器。Adobe Reader是一套PDF文檔閱讀軟件。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在當前用戶的上下文中執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:多款Adobe產(chǎn)品資源管理錯誤漏洞(CNVD-2022-46965、CNVD-2022-46966、CNVD-2022-46971、CNVD-2022-46970、CNVD-2022-46972、CNVD-2022-46977、CNVD-2022-46976、CNVD-2022-46975)。上述漏洞的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46965
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46966
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46971
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46970
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46972
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46977
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46976
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46975
2、Google產(chǎn)品安全漏洞
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞導致本地權(quán)限升級,文件選擇器中的遠程持續(xù)拒絕服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:Google Android緩沖區(qū)溢出漏洞(CNVD-2022-46292、CNVD-2022-46298、CNVD-2022-46301、CNVD-2022-46294、CNVD-2022-46293)、Google Android拒絕服務(wù)漏洞(CNVD-2022-46296、CNVD-2022-46290)、Google Android越界寫入漏洞(CNVD-2022-46299)。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46292
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46290
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46294
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46293
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46296
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46299
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46298
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46301
3、IBM產(chǎn)品安全漏洞
IBM Planning Analytics是美國IBM公司的一套業(yè)務(wù)規(guī)劃分析解決方案。該方案支持自動化執(zhí)行業(yè)務(wù)規(guī)劃、預算和分析等流程。IBM Security Identity Manager(ISIM)是一套身份管理和治理解決方案。IBM UrbanCode Deploy(UCD)是一套應用自動化部署工具。IBM Security Guardium是一套提供數(shù)據(jù)保護功能的平臺。IBM System Storage DS8000 Hardware Management Console是一個IBM存儲介質(zhì)平臺DS8000的硬件管理控制臺。IBM Sterling B2B Integrator是一套集成了重要的B2B流程、交易和關(guān)系的軟件。IBM Aspera是一套基于IBM FASP協(xié)議構(gòu)建的快速文件傳輸和流解決方案。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,上傳任意可執(zhí)行文件,導致代碼執(zhí)行,造成拒絕服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:IBM Planning Analytics任意文件上傳漏洞、IBM Security Identity Manager緩沖區(qū)溢出漏洞(CNVD-2022-46305)、IBM UrbanCode Deploy權(quán)限提升漏洞(CNVD-2022-46304)、IBM Security Guardium信息泄露漏洞(CNVD-2022-46310)、IBM Planning Analytics服務(wù)端請求偽造漏洞、IBM System Storage DS8000 Hardware Management Console信息泄露漏洞、IBM Sterling B2B Integrator跨站請求偽造漏洞(CNVD-2022-46459)、IBM Aspera High-Speed Transfer信息泄露漏洞。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46306
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46305
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46304
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46310
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46457
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46460
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46459
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46458
4、Cisco產(chǎn)品安全漏洞
Cisco Embedded Wireless Controller是美國思科(Cisco)公司的一個無線接入器。Cisco SD-WAN vManage Software是一款用于SD-WAN(軟件定義廣域網(wǎng)絡(luò))解決方案的管理軟件。Cisco Virtualized Infrastructure Manager是一個完全自動化的云生命周期管理系統(tǒng)。Cisco Wireless LAN Controller(WLC)是一款無線局域網(wǎng)控制器產(chǎn)品。Cisco SD-WAN vManage Software是一款用于SD-WAN(軟件定義廣域網(wǎng)絡(luò))解決方案的管理軟件。Cisco Catalyst Digital Building Series Switches是一系列數(shù)字樓宇交換機。Cisco Iox是一個結(jié)合了Cisco IOS和Linux OS用于安全網(wǎng)絡(luò)連接以及開發(fā)IOT應用的安全開發(fā)環(huán)境。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞導致設(shè)備重新加載,以受影響用戶的權(quán)限級別執(zhí)行任意操作,訪問機密信息并提升受影響設(shè)備的權(quán)限等。
CNVD收錄的相關(guān)漏洞包括:Cisco Embedded Wireless Controller拒絕服務(wù)漏洞、Cisco SD-WAN vManage Software跨站請求偽造漏洞、Cisco Virtualized Infrastructure Manager訪問控制錯誤漏洞、Cisco Wireless LAN Controller身份驗證繞過漏洞、Cisco SD-WAN vManage Software信息泄露漏洞(CNVD-2022-46480)、Cisco Catalyst Digital Building Series Switches and Cisco Catalyst Micro Switches拒絕服務(wù)漏洞、Cisco Iox路徑遍歷漏洞、Cisco Iox拒絕服務(wù)漏洞。其中,“Cisco Embedded Wireless Controller拒絕服務(wù)漏洞、Cisco Wireless LAN Controller身份驗證繞過漏洞”漏洞的綜合評級為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46478
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46477
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46475
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46481
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46480
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46479
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46961
https://www.cnvd.org.cn/flaw/show/CNVD-2022-46962
5、WordPress Domain Replace plugin跨站腳本漏洞
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應用插件。本周,WordPress Domain Replace plugin被披露存在跨站腳本漏洞。攻擊者可利用該漏洞導致反射跨站點腳本攻擊。目前,廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46774
更多高危漏洞如表4所示,詳細信息可根據(jù)CNVD編號,在CNVD官網(wǎng)進行查詢。參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小結(jié):本周,Adobe產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在當前用戶的上下文中執(zhí)行任意代碼。此外,Google、IBM、Cisco等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,上傳任意可執(zhí)行文件,導致代碼執(zhí)行,拒絕服務(wù),本地權(quán)限升級等。另外,WordPress Domain Replace plugin被披露存在跨站腳本漏洞。攻擊者可利用漏洞導致反射跨站點腳本攻擊。建議相關(guān)用戶隨時關(guān)注上述廠商主頁,及時獲取修復補丁或解決方案。
來源:CNVD