您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞月報(2022年9月)
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2022年9月份采集安全漏洞共2133個。
本月接報漏洞57068個,其中信息技術產(chǎn)品漏洞(通用型漏洞)682個,網(wǎng)絡信息系統(tǒng)漏洞(事件型漏洞)56386個,其中漏洞平臺推送漏洞55352個。
重大漏洞通報
Linux kernel 數(shù)字錯誤漏洞(CNNVD-202208-3763、CVE-2022-2639)情況的報送。成功利用漏洞的攻擊者可提升本地用戶權限。linux kernel 3.13-5.18版本受漏洞影響。目前,Linux官方已經(jīng)發(fā)布了版本更新修復了該漏洞,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。
微軟官方發(fā)布公告更新了Microsoft Windows TCP/IP component 安全漏洞(CNNVD-202209-917、CVE-2022-34718)、Microsoft Windows 安全漏洞(CNNVD-202209-913、CVE-2022-34721)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
漏洞態(tài)勢
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2022年9月份新增安全漏洞共2133個,從廠商分布來看,WordPress基金會公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布167個;從漏洞類型來看,緩沖區(qū)錯誤類的漏洞占比最大,達到15.24%。本月新增漏洞中,超危漏洞336個、高危漏洞942個、中危漏洞814個、低危漏洞41個,相應修復率分別為63.10%、73.25%、74.82%以及90.24%。合計1548個漏洞已有修復補丁發(fā)布,本月整體修復率72.57%。
截至2022年9月30日,CNNVD采集漏洞總量已達193427個。
1.1 漏洞增長概況
2022年9月新增安全漏洞2133個,與上月(2240個)相比減少了4.78%。根據(jù)近6個月來漏洞新增數(shù)量統(tǒng)計圖,平均每月漏洞數(shù)量達到2131個。
圖1 2022年4月至2022年9月漏洞新增數(shù)量統(tǒng)計圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2022年9月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會公司漏洞達到167個,占本月漏洞總量的7.83%。
表1 2022年9月排名前十廠商新增安全漏洞統(tǒng)計表
1.2.2 漏洞產(chǎn)品分布
2022年9月主流操作系統(tǒng)的漏洞統(tǒng)計情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共52個,Windows Server 2022漏洞數(shù)量最多,共45個,占主流操作系統(tǒng)漏洞總量的8.56%,排名第一。
表2 2022年9月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計
1.2.3 漏洞類型分布
2022年9月份發(fā)布的漏洞類型分布如表3所示,其中緩沖區(qū)錯誤類漏洞所占比例最大,約為15.24%。
表3 2022年9月漏洞類型統(tǒng)計表
1.2.4 漏洞危害等級分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。2022年9月漏洞危害等級分布如圖2所示,其中超危漏洞336條,占本月漏洞總數(shù)的15.75%。
圖2 2022年9月漏洞危害等級分布
1.3漏洞修復情
1.3.1 整體修復情況
2022年9月漏洞修復情況按危害等級進行統(tǒng)計見圖3。其中低危漏洞修復率最高,達到90.24%,超危漏洞修復率最低,比例為63.10%。
總體來看,本月整體修復率由上月的74.15%下降至本月的72.57%。
圖3 2022年9月漏洞修復數(shù)量統(tǒng)計
1.3.2 廠商修復情況
2022年9月漏洞修復情況按漏洞數(shù)量前十廠商進行統(tǒng)計,其中WordPress基金會、Google、Microsoft等十個廠商共633條漏洞,占本月漏洞總數(shù)的29.68%,漏洞修復率為82.78%,詳細情況見表4。多數(shù)知名廠商對產(chǎn)品安全高度重視,產(chǎn)品漏洞修復比較及時,其中Microsoft、Adobe、Cisco等公司本月漏洞修復率均為100%,共524條漏洞已全部修復。
表4 2022年9月廠商修復情況統(tǒng)計表
1.4 重要漏洞實例
1.4.1 超危漏洞實例
2022年9月超危漏洞共336個,其中重要漏洞實例如表5所示。
表5 2022年9月超危漏洞實例
1.多款ZOHO產(chǎn)品SQL注入漏洞(CNNVD-202209-1336)
ZOHO ManageEngine Password Manager Pro和ZOHO ManageEngine Access Manager Plus都是美國卓豪(ZOHO)公司的產(chǎn)品。ZOHO ManageEngine Password Manager Pro是一款密碼管理器。ZOHO ManageEngine Access Manager Plus是一種特權會話管理解決方案,用于企業(yè)集中、保護和管理特權會話的遠程訪問。
ZOHO ManageEngine Password Manager Pro、PAM360和Access Manager Plus存在安全漏洞,該漏洞源于可能允許攻擊者使用易受攻擊的請求實現(xiàn)SQL注入執(zhí)行自定義查詢和訪問數(shù)據(jù)庫表條目。以下版本受到影響:Zoho ManageEngine Password Manager Pro 12120至12121之前的版本、PAM360 5550至5600之前的版本、4304至4305之前的版本。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-40300.html
2.Amazon AWS Redshift JDBC Driver 代碼問題漏洞(CNNVD-202209-3090)
Amazon AWS是美國亞馬遜(Amazon)公司的一款云計算平臺,向個人、企業(yè)和政府提供一系列包括信息技術基礎架構和應用的服務,如存儲、數(shù)據(jù)庫、計算、機器學習等等。
Amazon AWS Redshift JDBC Driver 2.1.0.8 版本之前存在安全漏洞,該漏洞源于 Object Factory 在從類名實例化對象時不檢查類類型。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://github.com/aws/amazon-redshift-jdbc-driver/commit/40b143b4698faf90c788ffa89f2d4d8d2ad068b5
3.Trend Micro Apex One 授權問題漏洞(CNNVD-202209-1058)
Trend Micro Apex One是美國趨勢科技(Trend Micro)公司的一款終端防護軟件。
Trend Micro Apex One 2024(On-prem) SaaS版本存在安全漏洞,該漏洞源于如果遠程攻擊者向受影響產(chǎn)品發(fā)送特制請求,則可能會繞過產(chǎn)品的登錄身份驗證。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://success.trendmicro.com/dcx/s/solution/000291533?language=en_US
4.Dataprobe iBoot-PDU 操作系統(tǒng)命令注入漏洞(CNNVD-202209-1633)
Dataprobe iBoot-PDU是美國Dataprobe公司的一種可通過 Web 訪問的受管 PDU 獨立控制的插座。
Dataprobe iBoot-PDU FW存在操作系統(tǒng)命令注入漏洞,該漏洞源于某些特定函數(shù)不對用戶提供的輸入進行消毒,這可能會導致操作系統(tǒng)命令注入。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://dataprobe.com/support-iboot-pdu
5.Rockwell Automation ThinManager 緩沖區(qū)錯誤漏洞(CNNVD-202209-2416)
Rockwell Automation ThinManager是美國Rockwell Automation公司的一款瘦客戶端管理軟件。允許將瘦客戶端同時分配給多個遠程桌面服務器。
Rockwell Automation ThinManager 11.0.0版本至13.0.0版本存在安全漏洞,該漏洞源于易受基于堆的緩沖區(qū)溢出攻擊。攻擊者利用該漏洞可以發(fā)送特制的TFTP或HTTPS請求,導致基于堆的緩沖區(qū)溢出,從而使ThinServer進程崩潰。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1136847
6.Dataprobe iBoot-PDU 訪問控制錯誤漏洞(CNNVD-202209-1624)
Dataprobe iBoot-PDU是美國Dataprobe公司的一種可通過 Web 訪問的受管 PDU 獨立控制的插座。
Dataprobe iBoot-PDU FW存在訪問控制錯誤漏洞,該漏洞源于允許攻擊者從云中訪問設備的主管理頁面。該特性允許用戶遠程連接設備,但是,目前的實現(xiàn)允許用戶訪問其他設備的信息。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://dataprobe.com/support-iboot-pdu
7.Huawei EMUI 資源管理錯誤漏洞(CNNVD-202209-1277)
Huawei EMUI是中國華為(Huawei)公司的一款基于Android開發(fā)的移動端操作系統(tǒng)。
Huawei EMUI存在資源管理錯誤漏洞,該漏洞源于存儲模塊中的存在雙重釋放漏洞,成功利用此漏洞將導致內(nèi)存被釋放兩次。以下產(chǎn)品和版本受到影響:HUAWEI EMUI 10.0.0, EMUI 10.1.0, EMUI 10.1.1, EMUI 11.0.0, Magic UI 3.0.0, Magic UI 3.1.0, Magic UI 3.1.1, Magic UI 4.0.0。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://consumer.huawei.com/en/support/bulletin/2022/9/
8.Qualcomm 芯片 輸入驗證錯誤漏洞(CNNVD-202209-1223)
Qualcomm 芯片是美國高通(Qualcomm)公司的芯片。一種將電路(主要包括半導體設備,也包括被動組件等)小型化的方式,并時常制造在半導體晶圓表面上。
Snapdragon Auto、SnapdragonConsumer IOT、Snapdrago Mobile、Snapdrag Voice&Music存在安全漏洞,該漏洞源于在處理HFP-UNIT配置文件時,由于整數(shù)溢出導致藍牙內(nèi)存損壞。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.qualcomm.com/company/product-security/bulletins/september-2022-bulletin
1.4.2 高危漏洞實例
2022年9月高危漏洞共942個,其中重要漏洞實例如表6所示。
表6 2022年9月高危漏洞實例(詳情略)
1.Solarwinds Orion Platform SQL注入漏洞(CNNVD-202209-3151)
Solarwinds Orion Platform是美國Solarwinds公司的一套網(wǎng)絡故障和網(wǎng)絡性能管理平臺。該平臺可對網(wǎng)絡設備提供實時監(jiān)測和分析,并支持定制網(wǎng)頁介面、多種用戶意見和對整個網(wǎng)絡進行地圖式瀏覽等。
Solarwinds Orion Platform 存在SQL注入漏洞。攻擊者利用該漏洞進行權限提升或遠程代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/solarwinds_platform_2022-3_release_notes.htm
2.Cisco IOS XE Software 代碼問題漏洞(CNNVD-202209-2874)
Cisco IOS XE Software是美國思科(Cisco)公司的一個操作系統(tǒng)。用于企業(yè)有線和無線訪問,匯聚,核心和WAN的單一操作系統(tǒng),Cisco IOS XE降低了業(yè)務和網(wǎng)絡的復雜性。
Cisco IOS XE Software存在代碼問題漏洞,該漏洞源于在檢查某些TCP DNS數(shù)據(jù)包時發(fā)生邏輯錯誤。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-alg-dos-KU9Z8kFX
3.Dell CloudLink 授權問題漏洞(CNNVD-202209-023)
Dell CloudLink是美國戴爾(Dell)公司的一個數(shù)據(jù)加密和密鑰管理系統(tǒng)。
Dell CloudLink 7.1.3版本及之前版本存在安全漏洞。攻擊者利用該漏洞繞過身份驗證并訪問 CloudLink系統(tǒng)控制臺。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.dell.com/support/kbdoc/en-us/000202058/dsa-2022-210-dell-emc-cloudlink-security-update-for-multiple-security-vulnerabilities
4.Hitachi RAID Manager SRA 操作系統(tǒng)命令注入漏洞(CNNVD-202209-253)
Hitachi RAID Manager SRA是日本日立(Hitachi)公司的一個存儲復制適配器軟件。
Hitachi RAID Manager Storage Replication Adapter存在安全漏洞,該漏洞源于其允許遠程認證用戶通過OS命令注入執(zhí)行任意OS命令。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.hitachi.co.jp/products/it/storage-solutions/global/sec_info/2022/2022_307.html
5.Intel NUC M15 緩沖區(qū)錯誤漏洞(CNNVD-202209-1581)
Intel NUC M15是美國英特爾(Intel)公司的一種筆記本電腦套件。
Intel NUC M15 Laptop Kit BC0076之前版本存在安全漏洞,該漏洞源于權限提升,在系統(tǒng)管理模式下執(zhí)行任意代碼,在SMM中運行任意代碼還會繞過基于SMM的SPI閃存保護以防止修改,這可以幫助攻擊者將固件后門/植入物安裝到BIOS中。BIOS中的此類惡意固件代碼可能會在重新安裝操作系統(tǒng)后持續(xù)存在,惡意行為者可能會利用此漏洞繞過UEFI固件提供的安全機制。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00712.html
6.Cisco SD-WAN vManage Software 訪問控制錯誤漏洞(CNNVD-202209-421)
Cisco SD-WAN vManage Software是美國思科(Cisco)公司的一款用于SD-WAN(軟件定義廣域網(wǎng)絡)解決方案的管理軟件。
Cisco SD-WAN vManage Software 20.6.4之前版本、20.9.1之前版本存在訪問控制錯誤漏洞,該漏洞源于綁定配置中的漏洞可能允許未經(jīng)身份驗證的相鄰攻擊者訪問 VPN0 邏輯網(wǎng)絡,影響系統(tǒng)上的消息傳遞服務端口。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-msg-serv-AqTup7vs
7.Cisco Catalyst 資源管理錯誤漏洞(CNNVD-202209-2863)
Cisco Catalyst是美國思科(Cisco)公司的一系列交換機。
Cisco Catalyst 9100存在資源管理錯誤漏洞,該漏洞源于UDP數(shù)據(jù)報處理不當。遠程攻擊者利用該漏洞執(zhí)行拒絕服務(DoS)攻擊。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-udp-dos-XDyEwhNz
8.Indy Node 輸入驗證錯誤漏洞(CNNVD-202209-258)
Indy Node是美國Hyperledger開源的一種分布式賬本的服務器部分。專為去中心化身份構建。
Indy Node 1.12.4之前的版本存在輸入驗證錯誤漏洞,該漏洞源于Indy-Node中的“pool-upgrade”請求處理程序允許未經(jīng)身份驗證的攻擊者遠程在網(wǎng)絡中的節(jié)點上執(zhí)行代碼。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://github.com/hyperledger/indy-node/security/advisories/GHSA-r6v9-p59m-gj2p
二、漏洞平臺推送情況
2022年9月漏洞平臺推送漏洞55352個。
表7 2022年9月漏洞平臺推送情況表
三、接報漏洞情況
2022年9月接報漏洞1716個,其中信息技術產(chǎn)品漏洞(通用型漏洞)682個,網(wǎng)絡信息系統(tǒng)漏洞(事件型漏洞)1034個。
表8 2022年9月接報漏洞情況表(詳情略)
四、重大漏洞通報
4.1 Linux kernel 數(shù)字錯誤漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關于Linux kernel 數(shù)字錯誤漏洞(CNNVD-202208-3763、CVE-2022-2639)情況的報送。成功利用漏洞的攻擊者可提升本地用戶權限。linux kernel 3.13-5.18版本受漏洞影響。目前,Linux官方已經(jīng)發(fā)布了版本更新修復了該漏洞,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。
. 漏洞介紹
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux Kernel openvswitch 模塊在處理大量actions的情況下可能會觸發(fā)越界寫入問題。本地經(jīng)過身份認證的攻擊者可利用此漏洞將低權限用戶提升至ROOT權限。
. 危害影響
成功利用漏洞的攻擊者可提升本地用戶權限。linux kernel 3.13-5.18版本受漏洞影響。
. 修復建議
目前,Linux官方已經(jīng)發(fā)布了版本更新修復了該漏洞,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。官方鏈接如下:
https://www.kernel.org/
4.2 微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了多個安全漏洞的公告,其中微軟產(chǎn)品本身漏洞62個,影響到微軟產(chǎn)品的其他廠商漏洞1個。包括Microsoft Windows TCP/IP component 安全漏洞(CNNVD-202209-917、CVE-2022-34718)、Microsoft Windows 安全漏洞(CNNVD-202209-913、CVE-2022-34721)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
. 漏洞介紹
2022年9月13日,微軟發(fā)布了2022年9月份安全更新,共63個漏洞的補丁程序,CNNVD對這些漏洞進行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft HTTP.sys、Microsoft Lightweight Directory Access Protocol、Microsoft Windows DNS、Microsoft Windows Fax Service、Microsoft SharePoint等。CNNVD對其危害等級進行了評價,其中超危漏洞3個,高危漏洞52個,中危漏洞8個。微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。
. 漏洞詳情
此次更新共包括62個新增漏洞的補丁程序,其中超危漏洞3個,高危漏洞52個,中危漏洞7個。
(詳情略)
此次更新共包括1個影響微軟產(chǎn)品的其他廠商漏洞的補丁程序,其中中危漏洞1個。
. 修復建議
目前,微軟官方已經(jīng)發(fā)布補丁修復了上述漏洞,建議用戶及時確認漏洞影響,盡快采取修補措施。微軟官方補丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來源:CNNVD安全動態(tài)