您所在的位置: 首頁 >
安全研究 >
安全通告 >
CNVD漏洞周報(bào)2022年第31期
2022年08月01日-2022年08月07日
本周漏洞態(tài)勢(shì)研判情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國家信息安全漏洞共享平臺(tái)(以下簡稱CNVD)本周共收集、整理信息安全漏洞550個(gè),其中高危漏洞202個(gè)、中危漏洞292個(gè)、低危漏洞56個(gè)。漏洞平均分值為6.11。本周收錄的漏洞中,涉及0day漏洞312個(gè)(占57%),其中互聯(lián)網(wǎng)上出現(xiàn)“Nsasoft US LLC SpotAuditor拒絕服務(wù)漏洞、Totolink A3600R緩沖區(qū)溢出漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)6731個(gè),與上周(7660個(gè))環(huán)比減少12%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計(jì)
本周漏洞事件處置情況
本周,CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件24起,向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件9起,協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門漏洞事件285起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高??蒲性核到y(tǒng)漏洞事件42起,向國家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件53起。
圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計(jì)
圖4 CNCERT各分中心處置情況按周統(tǒng)計(jì)
圖5 CNVD教育行業(yè)應(yīng)急組織處置情況按周統(tǒng)計(jì)
此外,CNVD通過已建立的聯(lián)系機(jī)制或涉事單位公開聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:(略)
本周,CNVD發(fā)布了《F5公司發(fā)布2022年8月安全更新》。詳情參見CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7961
本周漏洞報(bào)送情況統(tǒng)計(jì)
本周報(bào)送情況如表1所示。其中,新華三技術(shù)有限公司、安天科技集團(tuán)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、杭州安恒信息技術(shù)股份有限公司、恒安嘉新(北京)科技股份公司等單位報(bào)送公開收集的漏洞數(shù)量較多。北京華順信安科技有限公司、河南信安世紀(jì)科技有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、河南東方云盾信息技術(shù)有限公司、河南靈創(chuàng)電子科技有限公司、中國銀行、蘇州棱鏡七彩信息科技有限公司、浙江木鏈物聯(lián)網(wǎng)科技有限公司、工業(yè)和信息化部電子第五研究所、貴州泰若數(shù)字科技有限公司、西藏熙安信息技術(shù)有限責(zé)任公司、重慶都會(huì)信息科技有限公司、中國電信股份有限公司上海研究院、上海紐盾科技股份有限公司、平安銀河實(shí)驗(yàn)室、黑龍江億林網(wǎng)絡(luò)股份有限公司、任子行網(wǎng)絡(luò)技術(shù)股份有限公司、江蘇國泰新點(diǎn)軟件有限公司、內(nèi)蒙古洞明科技有限公司、南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司、廣州易東信息安全技術(shù)有限公司、廣州安億信軟件科技有限公司、上海端御信息科技有限公司及其他個(gè)人白帽子向CNVD提交了6731個(gè)以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、上海交大、奇安信網(wǎng)神(補(bǔ)天平臺(tái))和三六零數(shù)字安全科技集團(tuán)有限公司向CNVD共享的白帽子報(bào)送的5185條原創(chuàng)漏洞信息。
表1 漏洞報(bào)送情況統(tǒng)計(jì)表(略)
本周漏洞按類型和廠商統(tǒng)計(jì)
本周,CNVD收錄了550個(gè)漏洞。WEB應(yīng)用203個(gè),應(yīng)用程序195個(gè),網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)103個(gè),操作系統(tǒng)30個(gè),智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)11個(gè),數(shù)據(jù)庫5個(gè),安全產(chǎn)品3個(gè)。
表2 漏洞按影響類型統(tǒng)計(jì)表
圖6 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Jenkins、IBM、Tenda等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計(jì)如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計(jì)表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了82個(gè)電信行業(yè)漏洞,30個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞,6個(gè)工控行業(yè)漏洞(如下圖所示)。其中,“Cisco Small Business緩沖區(qū)溢出漏洞(CNVD-2022-54905)、MongoDB緩沖區(qū)溢出漏洞”等漏洞的綜合評(píng)級(jí)為“高?!薄O嚓P(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖7 電信行業(yè)漏洞統(tǒng)計(jì)
圖8 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)
圖9 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Cisco產(chǎn)品安全漏洞
Cisco Nexus Dashboard是美國思科(Cisco)公司的一個(gè)單一控制臺(tái)。能夠簡化數(shù)據(jù)中心網(wǎng)絡(luò)的運(yùn)營和管理。Cisco IOS XE是一套為其網(wǎng)絡(luò)設(shè)備開發(fā)的操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞導(dǎo)致拒絕服務(wù),權(quán)限提升等。
CNVD收錄的相關(guān)漏洞包括:Cisco Nexus Dashboard訪問控制錯(cuò)誤漏洞、Cisco Nexus Dashboard權(quán)限提升漏洞(CNVD-2022-54958、CNVD-2022-54959)、Cisco Nexus Dashboard操作系統(tǒng)命令注入漏洞、Cisco IOS XE AVC-FNF拒絕服務(wù)漏洞、Cisco IOS XE Wireless Controller software拒絕服務(wù)漏洞、Cisco IOS XE權(quán)限提升漏洞( CNVD-2022-55150)、Cisco IOS XE AppNav-XE拒絕服務(wù)漏洞。其中,除“Cisco Nexus Dashboard權(quán)限提升漏洞(CNVD-2022-54958、CNVD-2022-54959)”外,其余漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54909
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54959
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54958
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54960
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55147
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55145
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55150
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55148
2、F5產(chǎn)品安全漏洞
F5 BIG-IP是F5公司的一款集成了網(wǎng)絡(luò)流量編排、負(fù)載均衡、智能DNS,遠(yuǎn)程接入策略管理等功能的應(yīng)用交付平臺(tái)。F5 BIG-IP APM Edge Client for Windows是一款客戶端訪問控制認(rèn)證接入客戶端應(yīng)用程序。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞導(dǎo)致拒絕服務(wù)。
CNVD收錄的相關(guān)漏洞包括:F5 BIG-IP APM和F5 SSL Orchestrator拒絕服務(wù)漏洞、F5 BIG-IP HTTP MRF拒絕服務(wù)漏洞、F5 BIG-IP APM空指針指針解引用漏洞、F5 BIG-IP消息路由MQTT拒絕服務(wù)漏洞、F5 BIG-IP HTTP2配置文件拒絕服務(wù)漏洞、F5 BIG-IP TLS 1.3 iRule空指針解引用漏洞、F5 BIG-IP TMM ClientSSL配置文件拒絕服務(wù)漏洞、F5 BIG-IP TMM iRule拒絕服務(wù)漏洞。上述漏洞的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55179
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55178
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55185
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55184
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55183
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55182
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55181
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55186
3、IBM產(chǎn)品安全漏洞
IBM CICS TX Standard and Advanced是美國IBM公司的綜合的、單一的事務(wù)運(yùn)行時(shí)包??梢詾楠?dú)立應(yīng)用程序提供云原生部署模型。IBM Cognos Analytics是一套商業(yè)智能軟件。該軟件包括報(bào)表、儀表板和記分卡等,并可通過分析關(guān)鍵因素與關(guān)鍵人等內(nèi)容,協(xié)助企業(yè)調(diào)整決策。IBM Financial Transaction Manager for Digital Payments是一款金融事務(wù)管理器。該產(chǎn)品主要用于監(jiān)控、跟蹤和報(bào)告金融支付和交易。IBM Curam Social Program Management是一種業(yè)務(wù)和技術(shù)解決方案,可在動(dòng)態(tài)可配置架構(gòu)之上提供預(yù)構(gòu)建的健康和社交計(jì)劃組件、業(yè)務(wù)流程、工具集和界面。IBM Security Verify Information Queue(使用首字母縮寫詞“ISIQ”)是一個(gè)跨產(chǎn)品集成商,利用Kafka技術(shù)和發(fā)布/訂閱模型在IBM Security產(chǎn)品之間集成數(shù)據(jù)。IBM WebSphere Application Server(WAS)是一款應(yīng)用服務(wù)器產(chǎn)品。該產(chǎn)品是JavaEE和Web服務(wù)應(yīng)用程序的平臺(tái),也是IBM WebSphere軟件平臺(tái)的基礎(chǔ)。IBM InfoSphere InformationServer是一種數(shù)據(jù)集成軟件平臺(tái),可以幫助企業(yè)從分散在系統(tǒng)中的復(fù)雜的異類信息中獲得更多價(jià)值。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,上傳任意文件,導(dǎo)致任意命令執(zhí)行等。
CNVD收錄的相關(guān)漏洞包括:IBM CICS TX Standard and Advanced操作系統(tǒng)命令注入漏洞、IBM Cognos Analytics文件上傳漏洞、IBM Financial Transaction Manager for Digital Payments SQL注入漏洞、IBM Curam Social Program Management代碼問題漏洞(CNVD-2022-54649)、IBM Security Verify Information Queue信息泄露漏洞(CNVD-2022-54888)、IBM WebSphere Application Server信息泄露漏洞(CNVD-2022-54962)、IBM InfoSphere Information Server SQL注入漏洞(CNVD-2022-54979)、IBM WebSphere Application Server跨站腳本漏洞。其中,除“IBM WebSphere Application Server信息泄露漏洞(CNVD-2022-54962)、IBM WebSphere Application Server跨站腳本漏洞”外,其余漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54640
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54642
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54646
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54649
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54888
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54962
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54979
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55504
4、Oracle產(chǎn)品安全漏洞
Oracle Solaris是美國甲骨文(Oracle)公司的一套UNIX操作系統(tǒng)。Oracle ZFS Storage Appliance是一個(gè)支持閃存、PB級(jí)文件存儲(chǔ)并內(nèi)置Oracle數(shù)據(jù)庫的存儲(chǔ)設(shè)備。Oracle Enterprise Manager Base Platform是一套本地管理平臺(tái)。該平臺(tái)主要用于管理Oracle產(chǎn)品部署。Oracle Financial Services Applications是一套金融服務(wù)軟件。該產(chǎn)品包括核心銀行、網(wǎng)上銀行和財(cái)產(chǎn)管理等。FLEXCUBE Universal Banking是其中的一個(gè)互聯(lián)網(wǎng)和移動(dòng)銀行業(yè)務(wù)解決方案組件。Oracle WebLogic Server是一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件,它提供了一個(gè)現(xiàn)代輕型開發(fā)平臺(tái),支持應(yīng)用從開發(fā)到生產(chǎn)的整個(gè)生命周期管理,并簡化了應(yīng)用的部署和管理。Oracle Essbase是一個(gè)應(yīng)用軟件。使組織能夠使用假設(shè)分析和數(shù)據(jù)可視化工具從多維數(shù)據(jù)集中快速生成洞察力。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞導(dǎo)致對(duì)Enterprise Manager Base Platform可訪問數(shù)據(jù)的更新、插入或刪除,Oracle Solaris掛起或頻繁重復(fù)崩潰等。
CNVD收錄的相關(guān)漏洞包括:Oracle Solaris拒絕服務(wù)漏洞(CNVD-2022-54629)、Oracle ZFS Storage Appliance輸入驗(yàn)證錯(cuò)誤漏洞、Oracle Solaris輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-54631)、Oracle Solaris拒絕服務(wù)漏洞(CNVD-2022-54630)、Oracle Enterprise Manager Base Platform輸入驗(yàn)證錯(cuò)誤漏洞、Oracle Financial Services Applications輸入驗(yàn)證錯(cuò)誤漏洞、Oracle WebLogic Server Core組件輸入驗(yàn)證錯(cuò)誤漏洞、Oracle Essbase信息泄露漏洞。其中,“Oracle Solaris拒絕服務(wù)漏洞(CNVD-2022-54629)、Oracle Solaris輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-54631)、Oracle Enterprise Manager Base Platform輸入驗(yàn)證錯(cuò)誤漏洞”的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54629
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54632
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54631
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54630
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54637
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54635
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54634
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54633
5、Google Android安全繞過漏洞(CNVD-2022-54478)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。本周,Google Android被披露存在安全繞過漏洞。攻擊者可利用該漏洞繞過身份驗(yàn)證并獲得訪問權(quán)限。目前,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶隨時(shí)關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54478
小結(jié):本周,Cisco產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞導(dǎo)致拒絕服務(wù),權(quán)限提升等。此外,F(xiàn)5、IBM、Oracle等多款產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,上傳任意文件,導(dǎo)致拒絕服務(wù),任意命令執(zhí)行等。另外,Google Android被披露存在安全繞過漏洞。攻擊者可利用該漏洞繞過身份驗(yàn)證并獲得訪問權(quán)限。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁,及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。
本周重要漏洞攻擊驗(yàn)證情況
本周,CNVD建議注意防范以下已公開漏洞攻擊驗(yàn)證情況。
1、Totolink A3600R緩沖區(qū)溢出漏洞
驗(yàn)證描述
TotoLink A3600R是中國臺(tái)灣吉翁電子(TotoLink)公司的一款6天線1200M無線路由器。
Totolink A3600R V4.1.2cu.5182_B20201102版本存在緩沖區(qū)溢出漏洞,該漏洞源于在infostat.cgi的fread函數(shù)中包含堆棧器溢出,攻擊者可利用該漏洞通過參數(shù)CONTENT_LENGTH導(dǎo)致拒絕服務(wù) (DoS)。
驗(yàn)證信息
POC鏈接:
https://github.com/molezsbd/iot-cve/tree/master/totolink/a3600r
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54650
信息提供者
京東科技信息技術(shù)有限公司
注:以上驗(yàn)證信息(方法)可能帶有攻擊性,僅供安全研究之用。請(qǐng)廣大用戶加強(qiáng)對(duì)漏洞的防范工作,盡快下載相關(guān)補(bǔ)丁。
原文來源: CNVD漏洞平臺(tái)