您所在的位置: 首頁 >
安全研究 >
安全通告 >
CNVD漏洞周報2022年第14期
2022年04月04日-2022年04月10日
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞160個,其中高危漏洞65個、中危漏洞78個、低危漏洞17個。漏洞平均分值為6.17。本周收錄的漏洞中,涉及0day漏洞97個(占61%),其中互聯(lián)網(wǎng)上出現(xiàn)“ApacheJames Server遠(yuǎn)程命令執(zhí)行漏洞、WordPress插件Wappointment跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)3611個,與上周(5300個)環(huán)比減少32%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件27起,向基礎(chǔ)電信企業(yè)通報漏洞事件40起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件149起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗證和處置高??蒲性核到y(tǒng)漏洞事件48起,向國家上級信息安全協(xié)調(diào)機(jī)構(gòu)上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件94起。
圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計
圖4 CNCERT各分中心處置情況按周統(tǒng)計
圖5 CNVD教育行業(yè)應(yīng)急組織處置情況按周統(tǒng)計
此外,CNVD通過已建立的聯(lián)系機(jī)制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
淄博閃靈網(wǎng)絡(luò)科技有限公司、友訊電子設(shè)備(上海)有限公司、兄弟(中國)商業(yè)有限公司、微軟(中國)有限公司、四川迅睿云軟件開發(fā)有限公司、四川蜀天夢圖數(shù)據(jù)科技有限公司、深圳市遠(yuǎn)望谷信息技術(shù)股份有限公司、深圳市吉祥騰達(dá)科技有限公司、深圳市必聯(lián)電子有限公司、深圳市安網(wǎng)科技有限公司、上海卓卓網(wǎng)絡(luò)科技有限公司、上海穆云智能科技有限公司、上海寬爾網(wǎng)絡(luò)科技有限公司、上海泛微網(wǎng)絡(luò)科技股份有限公司、熵基科技股份有限公司、山東漁翁信息技術(shù)股份有限公司、廈門優(yōu)優(yōu)匯聯(lián)信息科技股份有限公司、三星(中國)投資有限公司、青島和晟思壯測控技術(shù)有限公司、螞蟻金服(杭州)網(wǎng)絡(luò)技術(shù)有限公司、廊坊市極致網(wǎng)絡(luò)科技有限公司、居易科技股份有限公司、江西銘軟科技有限公司、江蘇群立現(xiàn)代信息科技發(fā)展有限公司、惠普貿(mào)易(上海)有限公司、杭州??低晹?shù)字技術(shù)股份有限公司、桂林崇勝網(wǎng)絡(luò)科技有限公司、帆軟軟件有限公司、東芝(中國)有限公司、點(diǎn)都軟件(上海)有限公司、北京致遠(yuǎn)互聯(lián)軟件股份有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京五指互聯(lián)科技有限公司、北京書生電子技術(shù)有限公司、北京坤豆科技有限公司、北京九思協(xié)同軟件有限公司、北京金萬維科技有限公司、北京谷翔信息技術(shù)有限公司、北京東方通科技股份有限公司、北京百卓網(wǎng)絡(luò)技術(shù)有限公司、網(wǎng)展科技、阿里巴巴集團(tuán)安全應(yīng)急響應(yīng)中心、夢想cms 、ZZZCMS、YIXUNCMS、VACRON、TRENDnet、seacms、NetSarang、MacCMS、KEO、Grafana Labs、EasyGoAdmin和Apache。
本周漏洞報送情況統(tǒng)計
本周報送情況如表1所示。其中,新華三技術(shù)有限公司、深信服科技股份有限公司、廈門服云信息科技有限公司、杭州安恒信息技術(shù)股份有限公司、安天科技集團(tuán)股份有限公司等單位報送公開收集的漏洞數(shù)量較多。重慶都會信息科技有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、貴州泰若數(shù)字科技有限公司、杭州默安科技有限公司、江蘇保旺達(dá)軟件技術(shù)有限公司、星云博創(chuàng)科技有限公司、內(nèi)蒙古洞明科技有限公司、武漢安域信息安全技術(shù)有限公司、任子行網(wǎng)絡(luò)技術(shù)股份有限公司、河南信安世紀(jì)科技有限公司、長春嘉誠信息技術(shù)股份有限公司、山東云天安全技術(shù)有限公司、快頁信息技術(shù)有限公司、廣州百蘊(yùn)啟辰科技有限公司、北方實(shí)驗室(沈陽)股份有限公司、南京節(jié)點(diǎn)安全技術(shù)有限公司、上海嘉韋思信息技術(shù)有限公司、墨菲未來科技(北京)有限公司、麒麟軟件有限公司、有度網(wǎng)絡(luò)安全技術(shù)有限公司、上海紐盾科技股份有限公司、上海上訊信息技術(shù)股份有限公司、北京天地和興科技有限公司、南京禾盾信息科技有限公司、廈門捷諾通信息技術(shù)股份有限公司、山東澤鹿安全技術(shù)有限公司、廣州安億信軟件科技有限公司、四川賽闖檢測股份有限公司、河北華測信息技術(shù)有限公司、博智安全科技股份有限公司及其他個人白帽子向CNVD提交了3611個以事件型漏洞為主的原創(chuàng)漏洞,其中包括上海交大、斗象科技(漏洞盒子)和奇安信網(wǎng)神(補(bǔ)天平臺)向CNVD共享的白帽子報送的1354條原創(chuàng)漏洞信息。
表1 漏洞報送情況統(tǒng)計表
本周漏洞按類型和廠商統(tǒng)計
本周,CNVD收錄了160個漏洞。WEB應(yīng)用76個,應(yīng)用程序27個,網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)23個,操作系統(tǒng)23個,智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)8個,安全產(chǎn)品2個,數(shù)據(jù)庫1個。
表2 漏洞按影響類型統(tǒng)計表
圖6 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Google、F5、Delta Electronics等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了21個電信行業(yè)漏洞,22個移動互聯(lián)網(wǎng)行業(yè)漏洞,1個工控行業(yè)漏洞(如下圖所示)。其中,“Tenda AC6緩沖區(qū)溢出漏洞、Google Android權(quán)限提升漏洞(CNVD-2022-26766)”等漏洞的綜合評級為“高?!?。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請參照CNVD相關(guān)行業(yè)漏洞庫鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖7 電信行業(yè)漏洞統(tǒng)計
圖8 移動互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計
圖9 工控系統(tǒng)行業(yè)漏洞統(tǒng)計
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Google產(chǎn)品安全漏洞
Google Android是美國谷歌(Google)公司的的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。本周,上述產(chǎn)品被披露存在權(quán)限提升漏洞,攻擊者可利用漏洞升級權(quán)限。
CNVD收錄的相關(guān)漏洞包括:Google Android權(quán)限提升漏洞(CNVD-2022-26764、CNVD-2022-26762、CNVD-2022-26761、CNVD-2022-26766、CNVD-2022-26765、CNVD-2022-26773、CNVD-2022-26771、CNVD-2022-26782)。其中,“Google Android權(quán)限提升漏洞(CNVD-2022-26766)”的綜合評級為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26764
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26762
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26761
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26766
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26765
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26773
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26771
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26782
2、F5產(chǎn)品安全漏洞
F5 BIG-IP是美國F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理、負(fù)載均衡等功能的應(yīng)用交付平臺。F5 BIG-IQ是美國F5公司的一套基于軟件的云管理解決方案。該方案支持跨公共和私有云、傳統(tǒng)數(shù)據(jù)中心和混合環(huán)境部署應(yīng)用交付和網(wǎng)絡(luò)服務(wù)。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞提升權(quán)限,執(zhí)行未經(jīng)授權(quán)的操作,導(dǎo)致拒絕服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:F5 BIG-IP跨站腳本漏洞(CNVD-2022-26776、CNVD-2022-26778)、F5 BIG-IP輸入驗證錯誤漏洞(CNVD-2022-26839、CNVD-2022-26779)、F5 BIG-IP命令注入漏洞(CNVD-2022-26777)、F5 BIG-IQ訪問控制錯誤漏洞(CNVD-2022-26842)、F5 BIG-IP APM輸入驗證錯誤漏洞(CNVD-2022-26841)、F5 BIG-IP授權(quán)問題漏洞(CNVD-2022-26845)。其中,“F5 BIG-IQ訪問控制錯誤漏洞(CNVD-2022-26842)”的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26776
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26778
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26839
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26779
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26777
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26842
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26841
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26845
3、Tenda產(chǎn)品安全漏洞
Tenda AC9是中國騰達(dá)(Tenda)公司的一款無線路由器。本周,上述產(chǎn)品被披露存在命令注入和緩沖區(qū)溢出漏洞,攻擊者可利用漏洞導(dǎo)致任意命令執(zhí)行。
CNVD收錄的相關(guān)漏洞包括:Tenda AC9命令注入漏洞(CNVD-2022-26241、CNVD-2022-26245)、Tenda AC9緩沖區(qū)溢出漏洞(CNVD-2022-26244、CNVD-2022-26243、CNVD-2022-26242、CNVD-2022-26246、CNVD-2022-26247)、Tenda AC6緩沖區(qū)溢出漏洞。上述漏洞的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26241
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26245
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26244
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26243
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26242
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26246
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26247
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26249
4、Delta Electronics產(chǎn)品安全漏洞
Delta Electronics DIAEnergie是一個工業(yè)能源管理系統(tǒng),用于實(shí)時監(jiān)控和分析能源消耗、計算能源消耗和負(fù)載特性、優(yōu)化設(shè)備性能、改進(jìn)生產(chǎn)流程并最大限度地提高能源效率。本周,上述產(chǎn)品被披露存在SQL注入漏洞,攻擊者可利用漏洞注入任意SQL查詢、檢索和修改數(shù)據(jù)庫內(nèi)容以及執(zhí)行系統(tǒng)命令。
CNVD收錄的相關(guān)漏洞包括:Delta Electronics DIAEnergie SQL注入漏洞(CNVD-2022-27435、CNVD-2022-27434、CNVD-2022-27438、CNVD-2022-27437、CNVD-2022-27436、CNVD-2022-27441、CNVD-2022-27440、CNVD-2022-27439)。上述漏洞的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27435
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27434
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27438
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27437
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27436
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27441
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27440
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27439
5、Reolink Rlc-410W拒絕服務(wù)漏洞(CNVD-2022-27432)
Reolink Rlc-410W是中國Reolink公司的一款Wifi安全攝像頭。本周,ReolinkRLC-410W存在拒絕服務(wù)漏洞。攻擊者可利用漏洞通過編制的HTTP請求,導(dǎo)致重新啟動。目前,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶隨時關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-27432
小結(jié):本周,Google產(chǎn)品被披露存在權(quán)限提升漏洞,攻擊者可利用漏洞升級權(quán)限。此外,F(xiàn)5、Tenda、Delta Electronics等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞執(zhí)行未經(jīng)授權(quán)的操作,注入任意SQL查詢、檢索和修改數(shù)據(jù)庫內(nèi)容以及執(zhí)行系統(tǒng)命令,導(dǎo)致拒絕服務(wù)等。另外,Reolink Rlc-410W被披露存在拒絕服務(wù)漏洞,攻擊者可利用漏洞通過編制的HTTP請求,導(dǎo)致重新啟動。建議相關(guān)用戶隨時關(guān)注上述廠商主頁,及時獲取修復(fù)補(bǔ)丁或解決方案。
本周重要漏洞攻擊驗證情況
本周,CNVD建議注意防范以下已公開漏洞攻擊驗證情況。
1、Apache James Server遠(yuǎn)程命令執(zhí)行漏洞
驗證描述
Apache James Server是美國阿帕奇(Apache)軟件基金會的一款采用純Java技術(shù)開發(fā)的開源SMTP和POP3郵件服務(wù)器及NNTP新聞服務(wù)器。
Apache James Server存在遠(yuǎn)程命令執(zhí)行漏洞。攻擊者可利用該漏洞在瀏覽器上下文中執(zhí)行任意代碼。
驗證信息
POC鏈接:
https://cxsecurity.com/issue/WLB-2021090142
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27430
信息提供者
深信服科技股份有限公司
注:以上驗證信息(方法)可能帶有攻擊性,僅供安全研究之用。請廣大用戶加強(qiáng)對漏洞的防范工作,盡快下載相關(guān)補(bǔ)丁。
原文來源:CNVD漏洞平臺