您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞月報(2022年10月)
漏洞態(tài)勢
根據國家信息安全漏洞庫(CNNVD)統(tǒng)計,2022年10月份采集安全漏洞共2001個。
本月接報漏洞51286個,其中信息技術產品漏洞(通用型漏洞)705個,網絡信息系統(tǒng)漏洞(事件型漏洞)50581個,其中漏洞平臺推送漏洞48742個。
重大漏洞通報
Fortinet FortiOS 安全漏洞(CNNVD-202210-347、CVE-2022-40684):成功利用漏洞的攻擊者,可在未經身份驗證的情況下獲得對管理界面的訪問權限,從而最終控制目標系統(tǒng)。Fortinet FortiOS多個版本均受此漏洞影響。目前,Fortinet官方已發(fā)布升級補丁修復了該漏洞,建議用戶及時確認產品版本,盡快采取修補措施。
微軟官方發(fā)布公告更新了Microsoft Azure Kubernetes 安全漏洞(CNNVD-202210-553、CVE-2022-37968)、Microsoft Exchange Server 安全漏洞(CNNVD-202208-2493、CVE-2022-21980)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼、獲取用戶數據,提升權限等。微軟多個產品和系統(tǒng)受漏洞影響。目前,微軟官方已經發(fā)布了漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
漏洞態(tài)勢
一、公開漏洞情況
根據國家信息安全漏洞庫(CNNVD)統(tǒng)計,2022年10月份新增安全漏洞共2001個,從廠商分布來看,WordPress基金會公司產品的漏洞數量最多,共發(fā)布86個;從漏洞類型來看,緩沖區(qū)錯誤類的漏洞占比最大,達到13.24%。本月新增漏洞中,超危漏洞319個、高危漏洞769個、中危漏洞871個、低危漏洞42個,相應修復率分別為61.44%、75.81%、76.00%以及95.24%。合計1481個漏洞已有修復補丁發(fā)布,本月整體修復率74.01%。
截至2022年10月31日,CNNVD采集漏洞總量已達195428個。
1.1 漏洞增長概況
2022年10月新增安全漏洞2001個,與上月(2133個)相比減少了6.19%。根據近6個月來漏洞新增數量統(tǒng)計圖,平均每月漏洞數量達到2115個。
圖1 2022年5月至2022年10月漏洞新增數量統(tǒng)計圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2022年10月廠商漏洞數量分布情況如表1所示,WordPress基金會公司漏洞達到86個,占本月漏洞總量的4.30%。
表1 2022年10月排名前十廠商新增安全漏洞統(tǒng)計表
1.2.2 漏洞產品分布
2022年10月主流操作系統(tǒng)的漏洞統(tǒng)計情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數量共68個,Windows Server 2022漏洞數量最多,共66個,占主流操作系統(tǒng)漏洞總量的9.13%,排名第一。
表2 2022年10月主流操作系統(tǒng)漏洞數量統(tǒng)計
1.2.3 漏洞類型分布
2022年10月份發(fā)布的漏洞類型分布如表3所示,其中緩沖區(qū)錯誤類漏洞所占比例最大,約為13.24%。
表3 2022年10月漏洞類型統(tǒng)計表
1.2.4 漏洞危害等級分布
根據漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。2022年10月漏洞危害等級分布如圖2所示,其中超危漏洞319條,占本月漏洞總數的15.94%。
圖2 2022年10月漏洞危害等級分布
1.3漏洞修復情
1.3.1 整體修復情況
2022年10月漏洞修復情況按危害等級進行統(tǒng)計見圖3。其中低危漏洞修復率最高,達到95.24%,超危漏洞修復率最低,比例為61.44%。
。
總體來看,本月整體修復率由上月的72.57%上升至本月的74.01%。
圖3 2022年10月漏洞修復數量統(tǒng)計
1.3.2 廠商修復情況
2022年10月漏洞修復情況按漏洞數量前十廠商進行統(tǒng)計,其中WordPress基金會、Microsoft、Apple等十個廠商共627條漏洞,占本月漏洞總數的31.33%,漏洞修復率為84.21%,詳細情況見表4。多數知名廠商對產品安全高度重視,產品漏洞修復比較及時,其中Microsoft、Apple、Oracle、SAP、Autodesk、Adobe等公司本月漏洞修復率均為100%,共528條漏洞已全部修復。
表4 2022年10月廠商修復情況統(tǒng)計表
1.4 重要漏洞實例
1.4.1 超危漏洞實例
2022年10月超危漏洞共319個,其中重要漏洞實例如表5所示。
表5 2022年10月超危漏洞實例
1. Veritas NetBackup SQL注入漏洞(CNNVD-202210-059)
Veritas NetBackup是美國Veritas公司的一個應用于為企業(yè)環(huán)境的提供備份、恢復功能的存儲服務。該軟件支持對勒索軟件的檢測和對元數據、虛擬環(huán)境等環(huán)境數據的備份保護。
Veritas NetBackup 10.0 版本及之前版本存在SQL注入漏洞。目前尚無此漏洞的相關信息,請隨時關注CNNVD或廠商公告。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.veritas.com/content/support/en_US/security/VTS22-011#H1
2. Apache Dubbo 代碼問題漏洞(CNNVD-202210-1211)
Apache
Dubbo是美國阿帕奇(Apache)基金會的一款基于Java的輕量級RPC(遠程過程調用)框架。該產品提供了基于接口的遠程呼叫、容錯和負載平衡以及自動服務注冊和發(fā)現等功能。
Apache dubbo hessian-lite 3.2.12版本及之前版本存在代碼問題漏洞。攻擊者利用該漏洞執(zhí)行任意代碼。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk
3. Apache Shiro 授權問題漏洞(CNNVD-202210-706)
Apache Shiro是美國阿帕奇(Apache)基金會的一套用于執(zhí)行認證、授權、加密和會話管理的Java安全框架。
Apache Shiro 1.10.0之前版本存在授權問題漏洞,該漏洞源于攻擊者通過RequestDispatcher轉發(fā)或包含時可以繞過其身份認證。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg
4. FortiTester操作系統(tǒng)命令注入漏洞(CNNVD-202210-1200)
FortiTester是FortiTester公司的一款基于 Fortinet 專業(yè)的網絡流量測試工具。
FortiTester 2.3.0 到 3.9.1、4.0.0 到 4.2.0、7.0.0 到 7.1.0版本存在安全漏洞,該漏洞源于SSH 登錄組件中使用的特殊元素的不適當中和,攻擊者利用該漏洞可以在底層 shell 中執(zhí)行任意命令。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://fortiguard.com/psirt/FG-IR-22-237
5. Omron CX-Programmer 緩沖區(qū)錯誤漏洞(CNNVD-202210-127)
Omron CX-Programmer是日本歐姆龍(Omron)公司的一款PLC(可編程邏輯控制器)編程軟件。
Omron CX-Programmer 9.78及以前版本存在緩沖區(qū)錯誤漏洞,該漏洞源于攻擊者可以通過越界寫實現任意代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.ia.omron.com/product/tool/26/cxone/e4_doc.html?_ga=2.122882383.558156545.1661312515-1562293325.1567412774#cx_programmer
6. Abode Iota訪問控制錯誤漏洞(CNNVD-202210-1520)
Abode Iota是Abode公司的一個可靠的 Diy 家庭安全系統(tǒng)。
Abode Iota 6.9X 和 6.9Z 版本存在訪問控制錯誤漏洞,該漏洞源于GHOME 控制功能中存在身份驗證繞過,攻擊者利用該漏洞可以發(fā)送惡意 XML 有效負載執(zhí)行任意命令。
目前廠商已發(fā)布升級補丁以修復漏洞,詳情請關注廠商主頁:
https://goabode.com/product/iota-security-kit
7. Linux kernel 資源管理錯誤漏洞(CNNVD-202210-1609)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內核。
Linux kernel 存在資源管理錯誤漏洞,該漏洞源于內存釋放后重用。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://git.kernel.org/pub/scm/linux/kernel/git/bpf/bpf-next.git/commit/?id=d325dc6eb763c10f591c239550b8c7e5466a5d09
8. WordPress 輸入驗證錯誤漏洞(CNNVD-202210-1136)
WordPress是WordPress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。
WordPress 5.1版本存在輸入驗證錯誤漏洞,該漏洞源于“X-Forwarded-For”是一個HTTP頭,用來攜帶客戶端的原始IP地址,由于這些標頭很可能由客戶端添加到請求中,因此如果系統(tǒng)/設備使用在X-Forwarded-For 標頭處減速的 IP 地址而不是原始 IP,則可能會遇到各種問題,如果源自這些字段的數據受到應用程序開發(fā)人員的信任并得到處理,則任何源自 IP 地址記錄的授權檢查都可能被操縱。
目前廠商已發(fā)布升級補丁以修復漏洞,詳情請關注廠商主頁:
https://wordpress.org/
1.4.2 高危漏洞實例
2022年10月高危漏洞共769個,其中重要漏洞實例如表6所示。
表6 2022年10月高危漏洞實例(詳情略)
1. Rockwell Automation Factory Talk VantagePoint SQL注入漏洞(CNNVD-202210-249)
Rockwell Automation Factory Talk VantagePoint是美國羅克韋爾(Rockwell Automation)公司的一個高級工業(yè)應用生態(tài)系統(tǒng)。通過提供開箱即用的支持 Web 的內容瀏覽和顯示創(chuàng)建來實現生產力。
Rockwell Automation Factory Talk VantagePoint 存在SQL注入漏洞,該漏洞源于未正確驗證用戶向后端數據庫檢索信息時輸入的SQL語句導致具有基本用戶權限的用戶可以在服務器上執(zhí)行遠程代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復漏洞,詳情請關注廠商主頁:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1137043
2. GitHub Enterprise Server 代碼問題漏洞(CNNVD-202210-1366)
GitHub Enterprise Server是美國Github開源的一個應用軟件。提供一個將自己的GitHub實例設置為虛擬設備,從而提供可擴展,易于管理的平臺。
GitHub Enterprise Server 3.6之前版本存在安全漏洞。攻擊者利用該漏洞通過服務器端請求偽造(SSRF)獲得訪問權限,從而能夠控制反序列化的數據。
目前廠商已發(fā)布升級補丁以修復漏洞,詳情請關注廠商主頁:
https://docs.github.com/en
3. Rockwell Automation FactoryTalk Alarm and Events Server 授權問題漏洞(CNNVD-202210-2369)
Rockwell Automation FactoryTalk Alarm and Events Server是美國羅克韋爾(Rockwell Automation)公司的提供了一種連接到 Rockwell 的FactoryTalk 服務的方法,以便從已配置的 A&E 服務器中過濾警報。
Rockwell Automation FactoryTalk Alarm and Events Server 存在安全漏洞。攻擊者利用該漏洞可以訪問敏感信息。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1136876
4. Fortinet FortiOS 操作系統(tǒng)命令注入漏洞(CNNVD-202210-361)
Fortinet FortiOS是美國飛塔(Fortinet)公司的一套專用于FortiGate網絡安全平臺上的安全操作系統(tǒng)。該系統(tǒng)為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。
Fortinet FortiOS存在安全漏洞,該漏洞源于使用的特殊元素的中和不當。攻擊者利用該漏洞在鏈接的FortiSwitch上執(zhí)行特權命令。以下產品及版本受到影響:Fortinet FortiOS 6.0.0版本至6.0.14版本、6.2.0版本至6.2.10版本、6.4.0版本至6.4.8版本、7.0.0版本至7.0.3版本。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.fortiguard.com/psirt/FG-IR-21-242
5. Linux kernel 緩沖區(qū)錯誤漏洞(CNNVD-202210-845)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內核。
Linux kernel 5.19.11及之前版本存在安全漏洞,該漏洞源于能夠注入WLAN幀的攻擊者可以在net/mac80211/scan.c的ieee80211_bss_info_update函數中造成緩沖區(qū)溢出。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://git.kernel.org/pub/scm/linux/kernel/git/wireless/wireless.git/commit/?id=aebe9f4639b13a1f4e9a6b42cdd2e38c617b442d
6. Trend Micro Apex One 訪問控制錯誤漏洞(CNNVD-202210-362)
Trend Micro Apex One是美國趨勢科技(Trend Micro)公司的一款終端防護軟件。
Trend Micro Apex One 2019 (on-prem)、SaaS版本存在安全漏洞,該漏洞源于 Apex One 源驗證錯誤,攻擊者利用該漏洞可以提升權限。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://success.trendmicro.com/solution/000291645
7. ARM Mali GPU Kernel Driver 資源管理錯誤漏洞(CNNVD-202210-2102)
ARM Mali GPU Kernel Driver是英國ARM公司的一個圖形處理器單元的驅動程序。
ARM Mali GPU Kernel Driver 存在資源管理錯誤漏洞,該漏洞源于允許非特權用戶進行不當的GPU處理操作,以獲得對已釋放內存的訪問。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities
8. F5 BIG-IP 輸入驗證錯誤漏洞(CNNVD-202210-1393)
F5 BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。
F5 BIG-IP 存在輸入驗證錯誤漏洞,該漏洞源于當在虛擬服務器上配置了啟用“Attack Signature False Positive Mode”的安全策略時,未披露的請求可能導致bd進程終止。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://support.f5.com/csp/article/K47204506
二、漏洞平臺推送情況
2022年10月漏洞平臺推送漏洞48742個。
表7 2022年10月漏洞平臺推送情況表
三、接報漏洞情況
2022年10月接報漏洞2544個,其中信息技術產品漏洞(通用型漏洞)705個,網絡信息系統(tǒng)漏洞(事件型漏洞)1839個。
表8 2022年10月接報漏洞情況表(詳情略)
四、重大漏洞通報
4.1 Fortinet FortiOS安全漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關于Fortinet FortiOS 安全漏洞(CNNVD-202210-347、CVE-2022-40684)情況的報送。成功利用漏洞的攻擊者,可在未經身份驗證的情況下獲得對管理界面的訪問權限,從而最終控制目標系統(tǒng)。Fortinet FortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy 7.0.0版至7.0.6版、7.2.0版本等多個版本均受此漏洞影響。目前,Fortinet官方已發(fā)布升級補丁修復了該漏洞,建議用戶及時確認產品版本,盡快采取修補措施。
. 漏洞介紹
Fortinet FortiOS是美國飛塔(Fortinet)公司的一套專用于FortiGate網絡安全平臺上的安全操作系統(tǒng)。該系統(tǒng)為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。Fortinet FortiOS存在安全漏洞,該漏洞允許未經身份驗證的攻擊者獲得對管理界面的訪問權限,并通過特制的HTTP或HTTPS請求執(zhí)行任意操作,從而最終控制目標系統(tǒng)。
. 危害影響
成功利用漏洞的攻擊者,可在未經身份驗證的情況下獲得對管理界面的訪問權限,從而最終控制目標系統(tǒng)。Fortinet FortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy 7.0.0版至7.0.6版、7.2.0版本等多個版本均受此漏洞影響。
. 修復建議
目前,Fortinet官方已發(fā)布升級補丁修復了該漏洞,建議用戶及時確認產品版本,盡快采取修補措施。官方補丁鏈接如下:
https://docs.fortinet.com/product/fortigate/7.2
4.2 微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了多個安全漏洞的公告,其中微軟產品本身漏洞89個。包括Microsoft Azure Kubernetes 安全漏洞(CNNVD-202210-553、CVE-2022-37968)、Microsoft Exchange Server 安全漏洞(CNNVD-202208-2493、CVE-2022-21980)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼、獲取用戶數據,提升權限等。微軟多個產品和系統(tǒng)受漏洞影響。目前,微軟官方已經發(fā)布了漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
. 漏洞介紹
2022年10月11日,微軟發(fā)布了2022年10月份安全更新,共89個漏洞的補丁程序,CNNVD對這些漏洞進行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Windows DHCP Client、Microsoft Windows Kernel、Microsoft Windows Print Spooler Components、Microsoft Word、Microsoft Windows Perception Simulation Service等。CNNVD對其危害等級進行了評價,其中超危漏洞1個,高危漏洞66個,中危漏洞20個,低危漏洞2個。微軟多個產品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問
https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。
. 漏洞詳情
此次更新共包括84個新增漏洞的補丁程序,其中超危漏洞1個,高危漏洞63個,中危漏洞18個,低危漏洞2個。
此次更新共包括5個更新漏洞的補丁程序,其中高危漏洞3個,中危漏洞2個。
. 修復建議
目前,微軟官方已經發(fā)布補丁修復了上述漏洞,建議用戶及時確認漏洞影響,盡快采取修補措施。微軟官方補丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來源:CNNVD安全動態(tài)