您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
2022年CNVD漏洞周報(bào)第24期
(2022年06月13日-2022年06月19日)
本周漏洞態(tài)勢(shì)研判情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國(guó)家信息安全漏洞共享平臺(tái)(以下簡(jiǎn)稱CNVD)本周共收集、整理信息安全漏洞474個(gè),其中高危漏洞146個(gè)、中危漏洞284個(gè)、低危漏洞44個(gè)。漏洞平均分值為5.93。本周收錄的漏洞中,涉及0day漏洞361個(gè)(占76%),其中互聯(lián)網(wǎng)上出現(xiàn)“CSCMS Music Portal System SQL注入漏洞、Badminton Center Management System SQL注入漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)9231個(gè),與上周(42217個(gè))環(huán)比減少78%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
本周漏洞事件處置情況
本周,CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件28起,向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件33起,協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門漏洞事件449起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高??蒲性核到y(tǒng)漏洞事件83起,向國(guó)家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件115起。
此外,CNVD通過(guò)已建立的聯(lián)系機(jī)制或涉事單位公開聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
紫光軟件系統(tǒng)有限公司、珠海金山辦公軟件有限公司、中信科移動(dòng)通信技術(shù)股份有限公司、中科方德軟件有限公司、浙江禾匠信息科技有限公司、友訊電子設(shè)備(上海)有限公司、用友網(wǎng)絡(luò)科技股份有限公司、兄弟(中國(guó))商業(yè)有限公司、西門子(中國(guó))有限公司、無(wú)錫銳泰節(jié)能系統(tǒng)科學(xué)有限公司、微軟(中國(guó))有限公司、天維爾信息科技股份有限公司、天津神州浩天科技有限公司、四平市九州易通科技有限公司、思科系統(tǒng)(中國(guó))網(wǎng)絡(luò)技術(shù)有限公司、深圳搜豹網(wǎng)絡(luò)有限公司、深圳市圖美電子技術(shù)有限公司、深圳市金蝶天燕云計(jì)算股份有限公司、深圳市吉祥騰達(dá)科技有限公司、深信服科技股份有限公司、上海卓卓網(wǎng)絡(luò)科技有限公司、上海喜馬拉雅科技有限公司、上??咸貎x表股份有限公司、上海黃豆網(wǎng)絡(luò)科技有限公司、上海泛微網(wǎng)絡(luò)科技股份有限公司、上海二三四五網(wǎng)絡(luò)科技有限公司、上海貝銳信息科技股份有限公司、山東金鐘科技集團(tuán)股份有限公司、廈門三五互聯(lián)科技股份有限公司、青島東軟載波智能電子有限公司、普聯(lián)技術(shù)有限公司、南京康尼機(jī)電股份有限公司、明騰網(wǎng)絡(luò)股份有限公司、昆明云濤科技有限公司、康吉諾(北京)科技有限公司、江西銘軟科技有限公司、吉翁電子(深圳)有限公司、湖南省思派電子科技有限公司、湖南創(chuàng)星科技股份有限公司、湖南翱云網(wǎng)絡(luò)科技有限公司、恒鋒信息科技股份有限公司、杭州易軟共創(chuàng)網(wǎng)絡(luò)科技有限公司、漢王科技股份有限公司、海南有趣科技有限公司、廣州圖創(chuàng)計(jì)算機(jī)軟件開發(fā)有限公司、廣州南方衛(wèi)星導(dǎo)航儀器有限公司、廣州好象科技有限公司、廣東精工智能系統(tǒng)有限公司、富士膠片商業(yè)創(chuàng)新(中國(guó))有限公司、烽火通信科技股份有限公司、東莞市東城飛飛網(wǎng)絡(luò)科技經(jīng)營(yíng)部、北京中創(chuàng)視訊科技有限公司、北京值得買科技股份有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京欣泉科技有限公司、北京網(wǎng)康科技有限公司、北京天融信科技有限公司、北京數(shù)科網(wǎng)維技術(shù)有限責(zé)任公司、北京神州綠盟科技有限公司、北京巧巧時(shí)代網(wǎng)絡(luò)科技有限公司、北京靈州網(wǎng)絡(luò)技術(shù)有限公司、北京良精志誠(chéng)科技有限責(zé)任公司、北京九思協(xié)同軟件有限公司、北京漢邦高科數(shù)字技術(shù)股份有限公司、北京寶蘭德軟件股份有限公司、北京愛(ài)奇藝科技有限公司、三菱電機(jī)株式會(huì)社、眾山小讀書APP、狂雨小說(shuō)cms、WordPress、VMware, Inc.、UCMS、StarDot Technologies、SparkPost、osCommerce、NETGEAR、Moddable、JreCms、JPress、jfinal cms、J2eeFAST、AxonIQ和Axis Communications AB。
本周,CNVD發(fā)布了《Microsoft發(fā)布2022年6月安全更新》。詳情參見CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7801
本周漏洞報(bào)送情況統(tǒng)計(jì)
本周報(bào)送情況如表1所示。其中,新華三技術(shù)有限公司、深信服科技股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京神州綠盟科技有限公司、安天科技集團(tuán)股份有限公司等單位報(bào)送公開收集的漏洞數(shù)量較多。北京華順信安科技有限公司、貴州泰若數(shù)字科技有限公司、上海紐盾科技股份有限公司、重慶都會(huì)信息科技有限公司、河南東方云盾信息技術(shù)有限公司、北京安帝科技有限公司、北京云科安信科技有限公司(Seraph安全實(shí)驗(yàn)室)、浙江木鏈物聯(lián)網(wǎng)科技有限公司、山谷網(wǎng)安科技股份有限公司、中科匯能科技有限公司、武漢安域信息安全技術(shù)有限公司、西安交大捷普網(wǎng)絡(luò)科技有限公司、平安銀河實(shí)驗(yàn)室、河南靈創(chuàng)電子科技有限公司、中國(guó)煙草總公司湖北省公司、廣東唯頂信息科技股份有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、北京六方云信息技術(shù)有限公司、網(wǎng)宿科技股份有限公司、廣州百蘊(yùn)啟辰科技有限公司、北京墨云科技有限公司、北京機(jī)沃科技有限公司、上海嘉韋思信息技術(shù)有限公司、江蘇保旺達(dá)軟件技術(shù)有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司、南京凱茜數(shù)字科技有限公司及其他個(gè)人白帽子向CNVD提交了9231個(gè)以事件型漏洞為主的原創(chuàng)漏洞,其中包括奇安信網(wǎng)神(補(bǔ)天平臺(tái))、斗象科技(漏洞盒子)、三六零數(shù)字安全科技集團(tuán)有限公司和上海交大向CNVD共享的白帽子報(bào)送的7011條原創(chuàng)漏洞信息。
表1 漏洞報(bào)送情況統(tǒng)計(jì)表(略)
本周漏洞按類型和廠商統(tǒng)計(jì)
本周,CNVD收錄了474個(gè)漏洞。WEB應(yīng)用223個(gè),應(yīng)用程序120個(gè),網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)77個(gè),智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)21個(gè),安全產(chǎn)品16個(gè),操作系統(tǒng)16個(gè),數(shù)據(jù)庫(kù)1個(gè)。
表2 漏洞按影響類型統(tǒng)計(jì)表
圖2 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Google、WordPress、Siemens等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計(jì)如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計(jì)表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了61個(gè)電信行業(yè)漏洞,15個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞,26個(gè)工控行業(yè)漏洞(如下圖所示)。其中,“H3C Magic R100緩沖區(qū)溢出漏洞、Cisco Unified CM和Unified CM SME任意文件寫入漏洞、Siemens SINEMA Remote Connect Server命令注入漏洞”等漏洞的綜合評(píng)級(jí)為“高?!薄O嚓P(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫(kù)鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計(jì)
圖4 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Adobe產(chǎn)品安全漏洞
Adobe Acrobat是一套PDF文件編輯和轉(zhuǎn)換工具。Adobe Acrobat Reader是一款PDF查看器。該軟件用于打印,簽名和注釋PDF。Adobe InCopy是美國(guó)Adobe公司的一款用于創(chuàng)作的文本編輯軟件。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞讀取系統(tǒng)上的敏感信息,在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:多款A(yù)dobe產(chǎn)品越界讀取漏洞(CNVD-2022-45905、CNVD-2022-45904、CNVD-2022-45906、CNVD-2022-45908、CNVD-2022-45907、CNVD-2022-45910、CNVD-2022-45911)、Adobe InCopy越界寫入漏洞(CNVD-2022-45913)。其中,“多款A(yù)dobe產(chǎn)品越界讀取漏洞(CNVD-2022-45906)、Adobe InCopy越界寫入漏洞(CNVD-2022-45913)”的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45905
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45904
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45906
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45908
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45907
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45910
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45911
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45913
2、Google產(chǎn)品安全漏洞
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Bootloader是其中的一個(gè)啟動(dòng)加載程序。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞通過(guò)精心設(shè)計(jì)的HTML頁(yè)面執(zhí)行沙盒逃逸,導(dǎo)致權(quán)限提升,造成應(yīng)用拒絕服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:Google Chrome資源管理錯(cuò)誤漏洞(CNVD-2022-44716、CNVD-2022-44715、CNVD-2022-44718、CNVD-2022-44717、CNVD-2022-44720、CNVD-2022-44719)、Google Android拒絕服務(wù)漏洞(CNVD-2022-45914)、Google Android權(quán)限提升漏洞(CNVD-2022-45915)。其中,“Google Android權(quán)限提升漏洞(CNVD-2022-45915)”的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44716
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44715
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44718
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44717
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44720
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44719
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45914
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45915
3、Cisco產(chǎn)品安全漏洞
Cisco Firepower Threat Defense是一套提供下一代防火墻服務(wù)的統(tǒng)一軟件。Cisco Adaptive Security Appliances Software是一套防火墻和網(wǎng)絡(luò)安全平臺(tái)。該平臺(tái)提供了對(duì)數(shù)據(jù)和網(wǎng)絡(luò)資源的高度安全的訪問(wèn)等功能。Cisco Unified Communications Manager是美國(guó)思科(Cisco)公司的一款統(tǒng)一通信系統(tǒng)中的呼叫處理組件。該組件提供了一種可擴(kuò)展、可分布和高可用的企業(yè)IP電話呼叫處理解決方案。Unified Communications Manager Session Management Edition是Unified Communications Manager的會(huì)話管理版。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞訪問(wèn)底層操作系統(tǒng)上的敏感文件,執(zhí)行任意腳本代碼,造成拒絕服務(wù)條件(DoS)等。
CNVD收錄的相關(guān)漏洞包括:Cisco Adaptive Security Appliance和Firepower Threat Defense信息泄露漏洞、Cisco Adaptive Security Appliance和Firepower Threat Defense拒絕服務(wù)漏洞(CNVD-2022-44686、CNVD-2022-44689)、Cisco Adaptive Security Appliance和Firepower Threat Defense權(quán)限提升漏洞、Cisco Unified CM和Unified CM SME任意文件讀取漏洞、Cisco Unified CM和Unified CM SME任意文件寫入漏洞、Cisco Unified CM和Unified CM SME跨站腳本漏洞、Cisco Unified CM和Unified CM SME拒絕服務(wù)漏洞。其中,“Cisco Adaptive Security Appliance和Firepower Threat Defense拒絕服務(wù)漏洞(CNVD-2022-44686、CNVD-2022-44689)、Cisco Adaptive Security Appliance和Firepower Threat Defense權(quán)限提升漏洞、Cisco Unified CM和Unified CM SME任意文件寫入漏洞”漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44687
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44686
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44689
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44688
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44704
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44703
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44707
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44706
4、Siemens產(chǎn)品安全漏洞
SINEMA Remote Connect是一個(gè)遠(yuǎn)程網(wǎng)絡(luò)管理平臺(tái),可輕松管理總部、服務(wù)技術(shù)人員和已安裝機(jī)器或工廠之間的隧道連接 (VPN)。Mendix SAML Module允許使用SAML對(duì)云應(yīng)用程序中的用戶進(jìn)行身份驗(yàn)證。該模塊可以與任何支持SAML2.0或Shibboleth的身份提供者進(jìn)行通信。Xpedition Enterprise是一款PCB設(shè)計(jì)流程,提供從系統(tǒng)設(shè)計(jì)定義到制造執(zhí)行的集成。SICAM GridEdge只需單擊幾下即可使您現(xiàn)有的IEC61850設(shè)備具有物聯(lián)網(wǎng)功能。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞創(chuàng)建具有管理權(quán)限的新用戶,更改用戶的數(shù)據(jù),注入任意代碼并提升權(quán)限等。
CNVD收錄的相關(guān)漏洞包括:Siemens SINEMA Remote Connect Server用戶管理錯(cuò)誤漏洞、Siemens SINEMA Remote Connect Server數(shù)據(jù)真實(shí)性驗(yàn)證錯(cuò)誤漏洞、Siemens SINEMA Remote Connect Server身份驗(yàn)證錯(cuò)誤漏洞、Siemens Mendix SAML Module跨站腳本漏洞、Siemens Xpedition Designer本地權(quán)限提升漏洞、Siemens SICAM GridEdge身份驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-45216)、Siemens SICAM GridEdge資源泄漏漏洞、Siemens SICAM GridEdge身份驗(yàn)證錯(cuò)誤漏洞。上述漏洞的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45221
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45227
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45229
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45212
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45209
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45216
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45215
https://www.cnvd.org.cn/flaw/show/CNVD-2022-45217
5、D-Link DIR-816 A2命令注入漏洞(CNVD-2022-45933)
D-Link DIR-816 A2是中國(guó)臺(tái)灣友訊(D-Link)公司的一款無(wú)線路由器。本周,D-Link DIR-816 A2被披露存在命令注入漏洞。該漏洞源于/goform/setSysAdm中的admuser和admpass參數(shù)未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞通過(guò)精心設(shè)計(jì)的負(fù)載將權(quán)限提升到root。目前,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶隨時(shí)關(guān)注廠商主頁(yè),以獲取最新版本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-45933
更多高危漏洞如表4所示,詳細(xì)信息可根據(jù)CNVD編號(hào),在CNVD官網(wǎng)進(jìn)行查詢。參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小結(jié):本周,Adobe產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞讀取系統(tǒng)上的敏感信息,在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。此外,Google、Cisco、Siemens等多款產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞訪問(wèn)底層操作系統(tǒng)上的敏感文件,創(chuàng)建具有管理權(quán)限的新用戶,更改用戶的數(shù)據(jù),執(zhí)行任意腳本代碼,導(dǎo)致權(quán)限提升,造成拒絕服務(wù)條件(DoS)等。另外,D-Link
DIR-816
A2被披露存在命令注入漏洞。攻擊者可利用該漏洞通過(guò)精心設(shè)計(jì)的負(fù)載將權(quán)限提升到root。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁(yè),及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。
來(lái)源:國(guó)家信息安全漏洞共享平臺(tái)