您所在的位置: 首頁 >
安全研究 >
安全通告 >
2022年CNVD漏洞周報第32期
2022年08月08日-2022年08月14日)
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞548個,其中高危漏洞158個、中危漏洞300個、低危漏洞90個。漏洞平均分值為5.60。本周收錄的漏洞中,涉及0day漏洞275個(占50%),其中互聯(lián)網(wǎng)上出現(xiàn)“PESCMS跨站請求偽造漏洞(CNVD-2022-56093)、Online Fire Reporting System跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關(guān)和企事業(yè)單位的事件型漏洞總數(shù)5952個,與上周(6731個)環(huán)比減少12%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件19起,向基礎(chǔ)電信企業(yè)通報漏洞事件15起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件504起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗證和處置高校科研院所系統(tǒng)漏洞事件127起,向國家上級信息安全協(xié)調(diào)機構(gòu)上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件50起。
此外,CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:(略)
本周,CNVD發(fā)布了《Microsoft發(fā)布2022年8月安全更新》。詳情參見CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7986
本周漏洞報送情況統(tǒng)計
本周報送情況如表1所示。其中,北京神州綠盟科技有限公司、新華三技術(shù)有限公司、深信服科技股份有限公司、安天科技集團股份有限公司、天津市國瑞數(shù)碼安全系統(tǒng)股份有限公司等單位報送公開收集的漏洞數(shù)量較多。北京華順信安科技有限公司、中國電信股份有限公司網(wǎng)絡(luò)安全產(chǎn)品運營中心、河南信安世紀(jì)科技有限公司、貴州泰若數(shù)字科技有限公司、奇安星城網(wǎng)絡(luò)安全運營服務(wù)(長沙)有限公司、河南東方云盾信息技術(shù)有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、杭州迪普科技股份有限公司、星云博創(chuàng)科技有限公司、西門子(中國)有限公司、浙江木鏈物聯(lián)網(wǎng)科技有限公司、平安銀河實驗室、廣州安億信軟件科技有限公司、江蘇天競云合數(shù)據(jù)技術(shù)有限公司、上海紐盾科技股份有限公司、北京威努特技術(shù)有限公司、蘇州棱鏡七彩信息科技有限公司、重慶都會信息科技、北京六方云信息技術(shù)有限公司、福建省海峽信息技術(shù)有限公司、內(nèi)蒙古洞明科技有限公司、河南靈創(chuàng)電子科技有限公司、博智安全科技股份有限公司、江蘇耘和計算機系統(tǒng)工程有限公司、山東新潮信息技術(shù)有限公司、北京百度網(wǎng)訊科技有限公司、中科匯能科技有限公司、廣電奇安網(wǎng)絡(luò)科技(重慶)有限公司、黑龍江億林網(wǎng)絡(luò)股份有限公司、上海嘉韋思信息技術(shù)有限公司、京數(shù)安(北京)科技有限公司及其他個人白帽子向CNVD提交了5952個以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、上海交大、奇安信網(wǎng)神(補天平臺)和三六零數(shù)字安全科技集團有限公司向CNVD共享的白帽子報送的4573條原創(chuàng)漏洞信息。
表1 漏洞報送情況統(tǒng)計表(略)
本周漏洞按類型和廠商統(tǒng)計
本周,CNVD收錄了548個漏洞。WEB應(yīng)用257個,應(yīng)用程序174個,網(wǎng)絡(luò)設(shè)備(交換機、路由器等網(wǎng)絡(luò)端設(shè)備)73個,智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)33個,安全產(chǎn)品6個,操作系統(tǒng)5個。
表2 漏洞按影響類型統(tǒng)計表
圖2 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及WordPress、Microsoft、Adobe等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了60個電信行業(yè)漏洞,15個移動互聯(lián)網(wǎng)行業(yè)漏洞,4個工控行業(yè)漏洞(如下圖所示)。其中,“Cisco Small Business緩沖區(qū)溢出漏洞(CNVD-2022-56085)、D-Link DSL-3782緩沖區(qū)溢出漏洞(CNVD-2022-56666)”等漏洞的綜合評級為“高?!?。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補程序,請參照CNVD相關(guān)行業(yè)漏洞庫鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計
圖4 移動互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、IBM產(chǎn)品安全漏洞
IBM PowerVM VIOS是美國萬國商業(yè)機器(IBM)的一個位于邏輯分區(qū)中的軟件。該軟件有助于在服務(wù)器內(nèi)的客戶端邏輯分區(qū)之間共享物理 I/O 資源。IBM Security Verify Information Queue是美國IBM公司的一個集成產(chǎn)品。利用 Kafka 技術(shù)和發(fā)布/訂閱模型來集成 IBM Security 產(chǎn)品之間的數(shù)據(jù)。IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產(chǎn)品。可幫助您以傳統(tǒng) RPA 的輕松和速度大規(guī)模自動化更多業(yè)務(wù)和 IT 流程。IBM QRadar Network Security是美國IBM公司的一個網(wǎng)絡(luò)安全管理器。用于提供對網(wǎng)絡(luò)上的活動和用戶的更好的可見性和控制,同時使用深度數(shù)據(jù)包檢查、啟發(fā)式和基于行為的分析來檢測和預(yù)防高級威脅。IBM Spectrum Protect Operations Center是美國IBM公司的一個為IBM Spectrum Protect環(huán)境提供可視化控制的軟件。IBM CICS TX Advanced是美國IBM公司的一個綜合的、單一的事務(wù)運行時包??梢詾楠毩?yīng)用程序提供云原生部署模型。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞偽造惡意請求誘騙受害者點擊執(zhí)行敏感操作,可以獲得登錄訪問令牌,篡改系統(tǒng)配置或?qū)е戮芙^服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:IBM PowerVM VIOS拒絕服務(wù)漏洞、IBM Security Verify Information Queue跨站請求偽造漏洞(CNVD-2022-55633)、IBM Robotic Process Automation訪問控制錯誤漏洞、IBM QRadar Network Security信任管理問題漏洞、IBM QRadar Network Security信息泄露漏洞(CNVD-2022-55637)、IBM Spectrum Protect Operations Center暴力破解漏洞、IBM Robotic Process Automation信息泄露漏洞(CNVD-2022-55663)、IBM CICS TX Advanced訪問控制錯誤漏洞。其中,“IBM PowerVM VIOS拒絕服務(wù)漏洞、IBM Spectrum Protect Operations Center暴力破解漏洞”漏洞的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55629
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55633
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55632
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55636
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55637
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55664
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55663
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56086
2、Adobe產(chǎn)品安全漏洞
Adobe InCopy是美國Adobe公司的一款用于創(chuàng)作的文本編輯軟件。Adobe Acrobat和Adobe Reader都是美國奧多比(Adobe)公司的產(chǎn)品。Adobe Acrobat是一套PDF文件編輯和轉(zhuǎn)換工具。Adobe Reader是一套PDF文檔閱讀軟件。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞通過特制數(shù)據(jù)可以觸發(fā)超過分配緩沖區(qū)末尾的寫入,在系統(tǒng)上執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:Adobe InCopy緩沖區(qū)溢出漏洞(CNVD-2022-55642、CNVD-2022-55644)、Adobe Acrobat和Adobe Reader資源管理錯誤漏洞(CNVD-2022-56090、CNVD-2022-56092、CNVD-2022-56258)、Adobe Acrobat和Adobe Reader緩沖區(qū)溢出漏洞(CNVD-2022-56132、CNVD-2022-56130、CNVD-2022-56133)。上述漏洞的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55642
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55644
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56090
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56092
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56132
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56130
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56133
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56258
3、Siemens產(chǎn)品安全漏洞
Simcenter STAR-CCM+是一個多物理計算流體動力學(xué)(CFD)軟件,用于模擬在真實世界條件下運行的產(chǎn)品。SCALANCE M-800、MUM-800和S615以及RUGGEDCOM RM1224工業(yè)路由器用于通過移動網(wǎng)絡(luò)(如GPRS或UMTS)安全遠程訪問工廠,并具有防火墻的集成安全功能,以防止未經(jīng)授權(quán)的訪問,以及VPN來保護數(shù)據(jù)傳輸。SCALANCE SC-600設(shè)備(SC622-2C、SC632-2C、SC636-2C,SC642-2C、SC646-2C)用于保護受信任的工業(yè)網(wǎng)絡(luò)免受不受信任的網(wǎng)絡(luò)攻擊。它們允許以不同的方式過濾傳入和傳出網(wǎng)絡(luò)連接。SCALANCE W-1700產(chǎn)品是基于IEEE 802.11ac標(biāo)準(zhǔn)的無線通信設(shè)備。SCALANCE W-700產(chǎn)品是基于IEEE 802.11ax標(biāo)準(zhǔn)的無線通信設(shè)備。SCALANCE X switches用于連接工業(yè)部件,如可編程邏輯控制器(PLC)或人機接口(HMI)。Siemens Comos是德國西門子(Siemens)公司的一個工廠工程軟件解決方案。用于過程工業(yè)。Siemens Syngo FastView是德國西門子(Siemens)公司的一個Dicom交換媒體上提供的Dicom 2圖像的獨立查看器。Teamcenter軟件是一個現(xiàn)代化的、適應(yīng)性強的產(chǎn)品生命周期管理 (PLM) 系統(tǒng),它通過數(shù)字線程將人員和流程跨功能孤島連接起來,以實現(xiàn)創(chuàng)新。SICAM A8000 RTU(遠程終端裝置)系列是一個模塊化設(shè)備系列,適用于所有能源供應(yīng)領(lǐng)域的遠程控制和自動化應(yīng)用。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞從組件(如內(nèi)部網(wǎng)絡(luò)拓撲或連接的系統(tǒng))檢索調(diào)試級別信息,執(zhí)行遠程代碼,造成拒絕服務(wù)情況等。
CNVD收錄的相關(guān)漏洞包括:Siemens Teamcenter命令注入漏洞、Siemens Teamcenter拒絕服務(wù)漏洞、Siemens SICAM A8000 Web Server Module身份驗證繞過漏洞、Siemens Simcenter STAR-CCM+信息泄露漏洞、Siemens SCALANCE產(chǎn)品命令注入漏洞、Siemens Comos代碼問題漏洞、Siemens Syngo FastView越界寫入漏洞(CNVD-2022-56511、CNVD-2022-56512)。其中,“Siemens Teamcenter命令注入漏洞、Siemens Teamcenter拒絕服務(wù)漏洞、Siemens SCALANCE產(chǎn)品命令注入漏洞、Siemens Syngo FastView越界寫入漏洞(CNVD-2022-56511、CNVD-2022-56512)”漏洞的綜合評級為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56473
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56472
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56478
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56477
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56476
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56510
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56511
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56512
4、JetBrains產(chǎn)品安全漏洞
JetBrains TeamCity是捷克JetBrains公司的一套分布式構(gòu)建管理和持續(xù)集成工具。該工具提供持續(xù)單元測試、代碼質(zhì)量分析和構(gòu)建問題分析報告等功能。JetBrains IntelliJ IDEA是捷克Jetbrains公司的一套適用于Java語言的集成開發(fā)環(huán)境。JetBrains Rider是捷克Jetbrains公司的一套跨平臺的.NET集成開發(fā)環(huán)境(IDE)。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,通過自定義JSON模式中的HTML描述執(zhí)行本地代碼等。
CNVD收錄的相關(guān)漏洞包括:JetBrains TeamCity日志信息泄露漏洞、JetBrains TeamCity跨站腳本漏洞(CNVD-2022-55670)、JetBrains IntelliJ IDEA代碼注入漏洞(CNVD-2022-55675、CNVD-2022-55674、CNVD-2022-55680、CNVD-2022-55681)、JetBrains IntelliJ IDEA跨站腳本漏洞、JetBrains Rider代碼注入漏洞。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55671
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55670
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55675
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55674
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55680
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55679
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55677
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55681
5、Tenda M3 formMasterMng函數(shù)堆棧溢出漏洞
Tenda M3是中國騰達(Tenda)公司的一款門禁控制器。本周,Tenda M3被披露存在函數(shù)堆棧溢出漏洞。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)攻擊。目前,廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56548
更多高危漏洞如表4所示,詳細信息可根據(jù)CNVD編號,在CNVD官網(wǎng)進行查詢。參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小結(jié):本周,IBM產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞偽造惡意請求誘騙受害者點擊執(zhí)行敏感操作,可以獲得登錄訪問令牌, 篡改系統(tǒng)配置或?qū)е戮芙^服務(wù)等。此外,Adobe、Siemens、JetBrains等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞通過特制數(shù)據(jù)可以觸發(fā)超過分配緩沖區(qū)末尾的寫入,在系統(tǒng)上執(zhí)行任意代碼,導(dǎo)致拒絕服務(wù)等。另外,Tenda M3被披露存在堆棧溢出漏洞。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)攻擊。建議相關(guān)用戶隨時關(guān)注上述廠商主頁,及時獲取修復(fù)補丁或解決方案。
(編輯:CNVD)
來源:國家信息安全漏洞共享平臺