您所在的位置: 首頁 >
安全研究 >
安全通告 >
2022年CNNVD信息安全漏洞月報
(2022年6月)
漏洞態(tài)勢
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2022年6月份采集安全漏洞共2346個。
本月接報漏洞29870個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)339個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)29531個,其中漏洞平臺推送漏洞28731個。
重大漏洞通報
Microsoft Windows Support Diagnostic Tool安全漏洞(CNNVD-202205-4277、CVE-2022-30190):成功利用此漏洞的攻擊者,可在目標(biāo)主機(jī)執(zhí)行惡意代碼。Windows 11、Windows 10等多個系統(tǒng)版本均受此漏洞影響。目前,微軟官方發(fā)布了臨時修補(bǔ)措施緩解漏洞帶來的危害,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
微軟官方發(fā)布公告更新了多款Microsoft產(chǎn)品資源管理錯誤漏洞(CNNVD-202205-2800、CVE-2022-23267)、Microsoft Visual Studio 安全漏洞(CNNVD-202204-3059、CVE-2022-24513)等多個漏洞:成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
漏洞態(tài)勢
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2022年6月份新增安全漏洞共2346個,從廠商分布來看,WordPress基金會公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布200個;從漏洞類型來看,跨站腳本類的漏洞占比最大,達(dá)到13.17%。本月新增漏洞中,超危漏洞397個、高危漏洞865個、中危漏洞1027個、低危漏洞57個,相應(yīng)修復(fù)率分別為66.50%、64.97%、79.65%以及78.95%。合計1689個漏洞已有修復(fù)補(bǔ)丁發(fā)布,本月整體修復(fù)率71.99%。
截至2022年06月30日,CNNVD采集漏洞總量已達(dá)187130個。
1.1 漏洞增長概況
2022年6月新增安全漏洞2346個,與上月(2044個)相比增加了14.77%。根據(jù)近6個月來漏洞新增數(shù)量統(tǒng)計圖,平均每月漏洞數(shù)量達(dá)到2078個。
圖1 2022年1月至2022年6月漏洞新增數(shù)量統(tǒng)計圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2022年6月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會公司漏洞達(dá)到200個,占本月漏洞總量的8.53%。
表1 2022年6月排名前十廠商新增安全漏洞統(tǒng)計表
1.2.2 漏洞產(chǎn)品分布
2022年6月主流操作系統(tǒng)的漏洞統(tǒng)計情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共40個,Android漏洞數(shù)量最多,共83個,占主流操作系統(tǒng)漏洞總量的21.34%,排名第一。
表2 2022年6月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計
1.2.3 漏洞類型分布
2022年6月份發(fā)布的漏洞類型分布如表3所示,其中跨站腳本類漏洞所占比例最大,約為13.17%。
表3 2022年6月漏洞類型統(tǒng)計表
1.2.4 漏洞危害等級分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。2022年6月漏洞危害等級分布如圖2所示,其中超危漏洞397條,占本月漏洞總數(shù)的16.92%。
圖2 2022年6月漏洞危害等級分布
1.3 漏洞修復(fù)情況
1.3.1 整體修復(fù)情況
2022年6月漏洞修復(fù)情況按危害等級進(jìn)行統(tǒng)計見圖3。其中中危漏洞修復(fù)率最高,達(dá)到79.65%,高危漏洞修復(fù)率最低,比例為64.97%??傮w來看,本月整體修復(fù)率,由上月的78.33%下降至本月的71.99%。
圖3 2022年6月漏洞修復(fù)數(shù)量統(tǒng)計
1.3.2 廠商修復(fù)情況
2022年6月漏洞修復(fù)情況按漏洞數(shù)量前十廠商進(jìn)行統(tǒng)計,其中WordPress基金會、Google、Microsoft等十個廠商共596條漏洞,占本月漏洞總數(shù)的25.40%,漏洞修復(fù)率為89.93%,詳細(xì)情況見表4。多數(shù)知名廠商對產(chǎn)品安全高度重視,產(chǎn)品漏洞修復(fù)比較及時,其中Adobe、Samsung、Siemens、Qualcomm等公司本月漏洞修復(fù)率均為100%,共536條漏洞已全部修復(fù)。
表4 2022年6月廠商修復(fù)情況統(tǒng)計表
1.4 重要漏洞實例
1.4.1 超危漏洞實例
2022年6月超危漏洞共397個,其中重要漏洞實例如表5所示。
表5 2022年6月超危漏洞實例
1. IBM InfoSphere Information Server SQL注入漏洞(CNNVD-202206-597)
IBM InfoSphere Information Server是美國IBM公司的一套數(shù)據(jù)整合平臺。該平臺可用于整合各種渠道獲取的數(shù)據(jù)信息。
IBM InfoSphere Information Server 11.7 版本存在SQL注入漏洞,該漏洞源于易受 SQL 注入攻擊。遠(yuǎn)程攻擊者可以發(fā)送特制的 SQL 語句,從而允許攻擊者查看、添加、修改或刪除后端數(shù)據(jù)庫中的信息。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.ibm.com/support/pages/node/6592573
2. Laravel 代碼問題漏洞(CNNVD-202206-671)
Laravel是Laravel 團(tuán)隊(Laravel)的一個Web 應(yīng)用程序框架。
Laravel 9.1.8 版本存在安全漏洞,該漏洞源于容易造成遠(yuǎn)程代碼執(zhí)行。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁:
https://laravel.com/
3. Siemens SIMATIC WinCC OA 授權(quán)問題漏洞(CNNVD-202206-2079)
Siemens SIMATIC WinCC OA是德國西門子(Siemens)公司的一個功能強(qiáng)大、靈活多樣的 SCADA 操作系統(tǒng)。用于控制和監(jiān)視工業(yè)應(yīng)用。
Siemens SIMATIC WinCC OA V3.16、V3.17、V3.18版本存在安全漏洞,該漏洞源于服務(wù)器端身份驗證 (SSA) 和 Kerberos 身份驗證均未啟用時,應(yīng)用程序僅使用客戶端身份驗證。攻擊者利用該漏洞可以冒充其他用戶或在未經(jīng)身份驗證的情況下利用客戶端-服務(wù)器協(xié)議。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://cert-portal.siemens.com/productcert/pdf/ssa-111512.pdf
4. TRENDnet TEW-831DR 操作系統(tǒng)命令注入漏洞(CNNVD-202206-1664)
TRENDnet TEW-831DR是美國趨勢網(wǎng)絡(luò)(TRENDnet)公司的一款路由器。
TRENDnet TEW-831DR 1.0 601.130.1.1356 版本存在安全漏洞,該漏洞源于 Web 界面中存在系統(tǒng)命令注入漏洞,允許具有有效憑據(jù)的攻擊者執(zhí)行任意 shell 命令。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://research.nccgroup.com/2022/06/10/technical-advisory-multiple-vulnerabilities-in-trendnet-tew-831dr-wifi-router-cve-2022-30325-cve-2022-30326-cve-2022-30327-cve-2022-30328-cve-2022-30329/
5. Google Android 緩沖區(qū)錯誤漏洞(CNNVD-202206-590)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。
Google Android 10、11、12、12L及之前版本中的Media Framework存在緩沖區(qū)錯誤漏洞,攻擊者利用該漏洞可以遠(yuǎn)程執(zhí)行代碼。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://source.android.com/security/bulletin/2022-06-01
6. Siemens SINEMA Remote Connect Server 訪問控制錯誤漏洞(CNNVD-202206-1253)
Siemens SINEMA Remote Connect Server是德國西門子(Siemens)公司的一套遠(yuǎn)程網(wǎng)絡(luò)管理平臺。該平臺主要用于遠(yuǎn)程訪問、維護(hù)、控制和診斷底層網(wǎng)絡(luò)。
Siemens SINEMA Remote Connect Server 3.1 之前版本存在安全漏洞,該漏洞源于用于更改用戶角色和權(quán)限的資源缺少身份驗證驗證。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://cert-portal.siemens.com/productcert/pdf/ssa-484086.pdf
7. Google Android 資源管理錯誤漏洞(CNNVD-202206-587)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。
Google Android 10、11、12、12L及之前版本存在資源管理錯誤漏洞,該漏洞源于系統(tǒng)組件中的存在嚴(yán)重安全漏洞,攻擊者利用該漏洞可以提升本地權(quán)限。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://source.android.com/security/bulletin/2022-06-01
8. Broadcom CA Automic Automation 輸入驗證錯誤漏洞(CNNVD-202206-1653)
Broadcom CA Automic Automation是美國博通(Broadcom)公司的一種自動化產(chǎn)品。提供服務(wù)編排和自動化平臺,以自動化復(fù)雜的應(yīng)用程序、平臺和技術(shù)環(huán)境。
Broadcom CA Automic Automation 12.2 版本和 12.3 版本存在安全漏洞,該漏洞源于存在輸入驗證不足問題。遠(yuǎn)程攻擊者通過該漏洞可以執(zhí)行任意代碼。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/20629
1.4.2 高危漏洞實例
2022年6月高危漏洞共865個,其中重要漏洞實例如表6所示。
表6 2022年6月高危漏洞實例
1. WordPress plugin amtyThumb SQL注入漏洞(CNNVD-202206-796)
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。
WordPress plugin amtyThumb 4.2.0及其之前版本存在SQL注入漏洞,該漏洞源于應(yīng)用不會對短代碼使用的參數(shù)進(jìn)行清理轉(zhuǎn)義。經(jīng)過身份驗證的用戶可以利用該漏洞進(jìn)行SQL注入攻擊。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://wpscan.com/vulnerability/359d145b-c365-4e7c-a12e-c26b7b8617ce
2. McAfee Consumer Product Removal Tool 代碼問題漏洞(CNNVD-202206-2043)
McAfee Consumer Product Removal Tool是美國McAfee公司的旨在完全刪除 McAfee Security 產(chǎn)品以重新安裝或安裝不同的防病毒軟件。
McAfee Consumer Product Removal Tool 10.4.128 之前的版本存在代碼問題漏洞,該漏洞源于之前的一個不受控制的搜索路徑漏洞可能允許本地攻擊者使用特定文件名執(zhí)行旁加載攻擊,這可能導(dǎo)致用戶獲得提升的權(quán)限并能夠執(zhí)行任意代碼。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://service.mcafee.com/?articleId=TS103318&page=shell&shell=article-view
3. Schneider Electric Wiser Smart 授權(quán)問題漏洞(CNNVD-202206-419)
Schneider Electric Wiser Smart是法國施耐德電氣(Schneider Electric)公司的一個完整的互聯(lián)家庭解決方案。可為家庭帶來舒適、便利和安全。
Schneider Electric Wiser Smart 存在授權(quán)問題漏洞,該漏洞源于不正確的身份驗證。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.se.com/ww/en/download/document/SEVD-2022-130-03/
4. Tenable Network Security Nessus操作系統(tǒng)命令注入漏洞(CNNVD-202206-1599)
Tenable Network Security Nessus是美國Tenable Network Security公司的一款開源的系統(tǒng)漏洞掃描器。
Tenable Network Security Nessus 10.1.3 版本及之前版本存在操作系統(tǒng)命令注入漏洞,經(jīng)過身份驗證的攻擊者利用該漏洞可以創(chuàng)建一個審計文件,繞過PowerShell cmdlet 檢查并以管理員權(quán)限執(zhí)行命令。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.tenable.com/downloads/nessus-agents
5. Schneider Electric IGSS Data Server 緩沖區(qū)錯誤漏洞(CNNVD-202206-2004)
Schneider Electric IGSS Data Server是法國施耐德電氣(Schneider Electric)公司的一個交互式圖形 Scada 系統(tǒng)的數(shù)據(jù)服務(wù)器。
Schneider Electric IGSS Data Server 15.0.0.22140 之前版本存在緩沖區(qū)錯誤漏洞,該漏洞源于應(yīng)用存在邊界錯誤。遠(yuǎn)程攻擊者可以利用該漏洞發(fā)送特制的日志數(shù)據(jù)請求消息、觸發(fā)內(nèi)存損壞并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
http://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-165-01_IGSS_Security_Notification.pdf
6. Emerson DeltaV Distributed Control System訪問控制錯誤漏洞(CNNVD-202206-2922)
Emerson DeltaV Distributed Control System是美國艾默生電氣(Emerson)公司的一套自動化分布式控制系統(tǒng)。該系統(tǒng)包括網(wǎng)絡(luò)安全管理、報警管理、批量控制和變更管理等功能。
Emerson DeltaV Distributed Control System存在訪問控制錯誤漏洞,該漏洞源于固件升級、即插即用、Hawk 服務(wù)、管理、SIS 通信和組播在內(nèi)的幾個協(xié)議沒有認(rèn)證。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁:
https://guardian.emerson.com/Login/
7. Google Android 資源管理錯誤漏洞(CNNVD-202206-509)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。
Google Android 存在安全漏洞,該漏洞源于在 WIFI Firmware 中,可能會因釋放后重用而導(dǎo)致內(nèi)存損壞。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://source.android.com/security/bulletin/2022-06-01
8. Schneider Electric PowerLogic ION Setup 輸入驗證錯誤漏洞(CNNVD-202206-432)
Schneider Electric PowerLogic ION Setup是法國施耐德電氣(Schneider Electric)公司的一款免費(fèi)、用戶友好的配置工具。為設(shè)置和驗證PowerLogic 儀表和其他設(shè)備的設(shè)置提供了一個直觀的環(huán)境。
Schneider Electric存在輸入驗證錯誤漏洞。攻擊者利用該漏洞導(dǎo)致潛在的遠(yuǎn)程代碼執(zhí)行。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.se.com/ww/en/download/document/SEVD-2022-130-01/
二、漏洞平臺推送情況
2022年6月漏洞平臺推送漏洞28731個。
表7 2022年6月漏洞平臺推送情況表
三、接報漏洞情況
2022年6月接報漏洞1139個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)339個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)800個。
表8 2022年6月接報漏洞情況表(略)
四、重大漏洞通報
4.1 Microsoft Windows Support Diagnostic Tool 安全漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于Microsoft Windows Support Diagnostic Tool安全漏洞(CNNVD-202205-4277、CVE-2022-30190)情況的報送。成功利用此漏洞的攻擊者,可在目標(biāo)主機(jī)執(zhí)行惡意代碼。Windows 11、Windows 10、Windows 8、Windows 7、Windows Server 2022、Windows Server 2016、Windows Server 2012、Windows Server 2008、Windows Server version 20H2、Windows Server 2022等多個系統(tǒng)版本均受此漏洞影響。目前,微軟官方發(fā)布了臨時修補(bǔ)措施緩解漏洞帶來的危害,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
. 漏洞介紹
Microsoft Windows Support Diagnostic Tool是美國微軟公司W(wǎng)indows操作系統(tǒng)內(nèi)的一個程序,用于排除故障并收集診斷數(shù)據(jù)以供技術(shù)人員分析和解決問題。該漏洞源于Microsoft Windows Support Diagnostic Tool中的URL協(xié)議存在邏輯問題,攻擊者可誘使目標(biāo)主機(jī)的應(yīng)用(如word)通過Microsoft Windows Support Diagnostic Tool中的URL協(xié)議下載并打開特制的文件,進(jìn)而在目標(biāo)主機(jī)執(zhí)行惡意代碼。
. 危害影響
成功利用此漏洞的攻擊者,可在目標(biāo)主機(jī)執(zhí)行惡意代碼。以下操作系統(tǒng)版本受漏洞影響:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016(Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
. 修復(fù)建議
目前,微軟官方發(fā)布了臨時修補(bǔ)措施緩解漏洞帶來的危害,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。官方鏈接如下:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
4.2 微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了多個安全漏洞的公告,共61個漏洞。包括多款Microsoft產(chǎn)品資源管理錯誤漏洞(CNNVD-202205-2800、CVE-2022-23267)、Microsoft Visual Studio 安全漏洞(CNNVD-202204-3059、CVE-2022-24513)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
. 漏洞介紹
2022年6月14日,微軟發(fā)布了2022年6月份安全更新,共61個漏洞的補(bǔ)丁程序,CNNVD對這些漏洞進(jìn)行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Azure Real Time Operating System、Microsoft Windows Defender、Microsoft Windows ALPC、Microsoft Windows File History Service、Microsoft Windows Local Security Authority Subsystem Service等。CNNVD對其危害等級進(jìn)行了評價,其中高危漏洞29個,中危漏洞32個。微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問
https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。
. 漏洞詳情
此次更新共包括55個新增漏洞的補(bǔ)丁程序,其中高危漏洞29個,中危漏洞26個。
此次更新共包括6個更新漏洞的補(bǔ)丁程序,其中中危漏洞6個。
. 修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞,建議用戶及時確認(rèn)漏洞影響,盡快采取修補(bǔ)措施。微軟官方補(bǔ)丁下載地址:https://msrc.microsoft.com/update-guide/en-us
來源:CNNVD安全動態(tài)