您所在的位置: 首頁 >
安全研究 >
安全通告 >
2022年CNVD漏洞周報第28期
(2022年07月11日-2022年07月17日)
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞474個,其中高危漏洞208個、中危漏洞225個、低危漏洞41個。漏洞平均分值為6.21。本周收錄的漏洞中,涉及0day漏洞317個(占67%),其中互聯(lián)網(wǎng)上出現(xiàn)“H3C Magic R100緩沖區(qū)溢出漏洞(CNVD-2022-50705)、TOTOLINK N600R緩沖區(qū)溢出漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關(guān)和企事業(yè)單位的事件型漏洞總數(shù)6909個,與上周(7858個)環(huán)比減少12%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件23起,向基礎(chǔ)電信企業(yè)通報漏洞事件22起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件507起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗證和處置高??蒲性核到y(tǒng)漏洞事件124起,向國家上級信息安全協(xié)調(diào)機構(gòu)上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件86起。
此外,CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:(詳情略)
本周,CNVD發(fā)布了《Microsoft發(fā)布2022年6月安全更新》。詳情參見CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7891
本周漏洞報送情況統(tǒng)計
本周報送情況如表1所示。其中,新華三技術(shù)有限公司、深信服科技股份有限公司、北京神州綠盟科技有限公司、北京數(shù)字觀星科技有限公司、安天科技集團股份有限公司等單位報送公開收集的漏洞數(shù)量較多。北京華順信安科技有限公司、西門子(中國)有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、河南東方云盾信息技術(shù)有限公司、上海嘉韋思信息技術(shù)有限公司、星云博創(chuàng)科技有限公司、廣州易東信息安全技術(shù)有限公司、蘇州棱鏡七彩信息科技有限公司、浙江木鏈物聯(lián)網(wǎng)科技有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司、廣電奇安網(wǎng)絡(luò)科技(重慶)有限公司、博智安全科技股份有限公司、湖北珞格科技發(fā)展有限公司、巨鵬信息科技有限公司、北京冠程科技有限公司、山東新潮信息技術(shù)有限公司、吉林省信睿網(wǎng)絡(luò)信息安全有限公司、江蘇保旺達(dá)軟件技術(shù)有限公司、奇安星城網(wǎng)絡(luò)安全運營服務(wù)(長沙)有限公司、杭州美創(chuàng)科技有限公司、北京機沃科技有限公司、平安銀河實驗室、浙江安騰信息技術(shù)有限公司、北京華云安信息技術(shù)有限公司、河南信安世紀(jì)科技有限公司、思而聽網(wǎng)絡(luò)科技有限公司及其他個人白帽子向CNVD提交了6909個以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信網(wǎng)神(補天平臺)向CNVD共享的白帽子報送的5196條原創(chuàng)漏洞信息。
表1 漏洞報送情況統(tǒng)計表(略)
本周漏洞按類型和廠商統(tǒng)計
本周,CNVD收錄了474個漏洞。WEB應(yīng)用153個,應(yīng)用程序142個,網(wǎng)絡(luò)設(shè)備(交換機、路由器等網(wǎng)絡(luò)端設(shè)備)128個,智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)17個,數(shù)據(jù)庫16個,操作系統(tǒng)11個,安全產(chǎn)品7個。
表2 漏洞按影響類型統(tǒng)計表
圖2 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Siemens、H3C、Apache等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了88個電信行業(yè)漏洞,19個移動互聯(lián)網(wǎng)行業(yè)漏洞,25個工控行業(yè)漏洞(如下圖所示)。其中,“Robustel R1510操作系統(tǒng)命令注入漏洞(CNVD-2022-51422)、Siemens SIMATIC CP SRCS VPN Feature命令注入漏洞 ”等漏洞的綜合評級為“高?!?。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補程序,請參照CNVD相關(guān)行業(yè)漏洞庫鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計
圖4 移動互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、IBM產(chǎn)品安全漏洞
IBM Jazz Team Server是美國IBM公司的一個應(yīng)用服務(wù)器。提供了基礎(chǔ)服務(wù),這些服務(wù)使一組工具可以作為單個邏輯服務(wù)器一起工作,并且包括提供工具特定功能的任意數(shù)量的Jazz Team Server Extensions。IBM DB2是一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)的執(zhí)行環(huán)境主要有UNIX、Linux、IBMi、z/OS以及Windows服務(wù)器版本。IBM Spectrum Copy Data Management是美國國際商業(yè)機器公司(IBM)的實現(xiàn)數(shù)據(jù)中心副本管理流程的現(xiàn)代化、簡化和自動化。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞從系統(tǒng)發(fā)送未經(jīng)授權(quán)的請求,可能導(dǎo)致網(wǎng)絡(luò)枚舉或促進其他攻擊,信息泄露等。
CNVD收錄的相關(guān)漏洞包括:IBM Jazz Team Server服務(wù)器端請求偽造漏洞(CNVD-2022-51652、CNVD-2022-51654)、IBM DB2信息泄露漏洞(CNVD-2022-51656)、IBM DB2拒絕服務(wù)漏洞(CNVD-2022-51655)、IBM Jazz Team Server信息泄露漏洞(CNVD-2022-51653、CNVD-2022-51660)、IBM Jazz Team Server點擊劫持漏洞、IBM Spectrum Copy Data Management信息泄露漏洞(CNVD-2022-51662) 。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51652
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51656
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51655
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51654
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51653
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51660
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51657
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51662
2、Apache產(chǎn)品安全漏洞
Apache SystemDS是美國阿帕奇(Apache)基金會的用于端到端數(shù)據(jù)科學(xué)生命周期的開源機器學(xué)習(xí)系統(tǒng)。Apache NiFi是一套數(shù)據(jù)處理和分發(fā)系統(tǒng)。該系統(tǒng)主要用于數(shù)據(jù)路由、轉(zhuǎn)換和系統(tǒng)中介邏輯。Apache NiFi Registry是其中的一個用于存儲和管理版本化流程的注冊表。Apache Hadoop是一套開源的分布式系統(tǒng)基礎(chǔ)架構(gòu)。該產(chǎn)品能夠?qū)Υ罅繑?shù)據(jù)進行分布式處理,并具有高可靠性、高擴展性、高容錯性等特點。Apache Flume是一種分布式、可靠且可用的服務(wù)。用于高效收集、聚合和移動大量日志數(shù)據(jù)。Apache HTTP Server是一款開源網(wǎng)頁服務(wù)器。該服務(wù)器具有快速、可靠且可通過簡單的API進行擴充的特點。Apache Archiva是一套用于管理一個或多個遠(yuǎn)程存儲的軟件。該軟件提供遠(yuǎn)程Repository代理、基于角色的安全訪問管理和使用情況報告等功能。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在Linux和macOS平臺上注入操作系統(tǒng)命令,導(dǎo)致yarn級別的用戶可能以root用戶身份執(zhí)行任意命令等。
CNVD收錄的相關(guān)漏洞包括:Apache SystemDS拒絕服務(wù)漏洞、Apache NiFi命令注入漏洞、Apache Hadoop權(quán)限提升漏洞(CNVD-2022-51055)、Apache Flume遠(yuǎn)程代碼執(zhí)行漏洞、Apache HTTP Server信息泄露漏洞(CNVD-2022-51060)、Apache HTTP Server HTTP請求走私漏洞、Apache Hadoop緩沖區(qū)溢出漏洞(CNVD-2022-51057)、Apache Archiva安全特征問題漏洞。其中,“Apache Hadoop權(quán)限提升漏洞(CNVD-2022-51055)、Apache Flume遠(yuǎn)程代碼執(zhí)行漏洞、Apache Hadoop緩沖區(qū)溢出漏洞(CNVD-2022-51057)”的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51052
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51056
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51055
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51054
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51060
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51058
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51057
https://www.cnvd.org.cn/flaw/show/CNVD-2022-51062
3、SAP產(chǎn)品安全漏洞
SAP 3D Visual Enterprise Viewer是德國思愛普(SAP)公司的一款3D視圖查看器。該軟件支持在所有行業(yè)標(biāo)準(zhǔn)的桌面應(yīng)用中發(fā)布2D、3D場景,并支持以獨立可執(zhí)行程序和ActiveX空間單獨安裝。SAP PowerDesigner是德國思愛普(SAP)公司的一款數(shù)據(jù)庫設(shè)計軟件。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞繞過系統(tǒng)的根磁盤訪問限制,在系統(tǒng)磁盤根路徑上寫入或創(chuàng)建程序文件,并提升應(yīng)用程序的權(quán)限,導(dǎo)致應(yīng)用程序崩潰并且用戶暫時無法使用,直到重新啟動應(yīng)用程序等。
CNVD收錄的相關(guān)漏洞包括:SAP 3D Visual Enterprise Viewer輸入驗證錯誤漏洞(CNVD-2022-50937、CNVD-2022-50936、CNVD-2022-50940、CNVD-2022-50939、CNVD-2022-50938、CNVD-2022-50942、CNVD-2022-50941)、SAP PowerDesigner代碼問題漏洞。其中,“SAP PowerDesigner代碼問題漏洞”的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50937
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50936
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50940
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50939
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50938
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50942
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50941
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50943
4、Fortinet產(chǎn)品安全漏洞
Fortinet FortiGate是美國飛塔(Fortinet)公司的一套網(wǎng)絡(luò)安全平臺。該平臺提供防火墻、防病毒和入侵防御(IPS)、應(yīng)用控制、反垃圾郵件、無線控制器和廣域網(wǎng)加速等功能。FortiSOAR是一種安全編排、自動化和響應(yīng) (SOAR) 解決方案。Fortinet FortiProxy SSL VPN是一個應(yīng)用軟件。提供了一個入侵檢測功能。Fortinet FortiOS是一套專用于FortiGate網(wǎng)絡(luò)安全平臺上的安全操作系統(tǒng)。該系統(tǒng)為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內(nèi)容過濾和反垃圾郵件等多種安全功能。Fortinet FortiWLC是一款無線局域網(wǎng)控制器。Fortinet FortiPortal是FortiGate、FortiWiFi和FortiAP產(chǎn)品線的高級、功能豐富的托管安全分析和管理支持工具,可作為虛擬機供MSP使用。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞竊取潛在的敏感信息,更改網(wǎng)頁的外觀,執(zhí)行網(wǎng)絡(luò)釣魚和偷渡式下載攻擊,繞過已實施的安全限制,獲取對網(wǎng)關(guān)API數(shù)據(jù)的未經(jīng)授權(quán)的訪問等。
CNVD收錄的相關(guān)漏洞包括:Fortinet FortiGate跨站腳本漏洞(CNVD-2022-50950)、Fortinet FortiSOAR訪問控制錯誤漏洞、Fortinet FortiProxy SSL VPN跨站腳本漏洞、Fortinet FortiOS信息泄露漏洞(CNVD-2022-50947)、Fortinet FortiWLM SQL注入漏洞(CNVD-2022-50953)、Fortinet FortiWLM路徑遍歷漏洞、Fortinet FortiPortal安全特征問題漏洞、Fortinet FortiGate輸入驗證錯誤漏洞。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50950
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50949
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50948
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50947
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50953
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50952
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50955
https://www.cnvd.org.cn/flaw/show/CNVD-2022-50954
5、Huawei HarmonyOS權(quán)限管理不當(dāng)漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。本周,Huawei HarmonyOS被披露存在權(quán)限管理不當(dāng)漏洞。攻擊者利用該漏洞可導(dǎo)致獲取CPLC信息。目前,廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51605
更多高危漏洞如表4所示,詳細(xì)信息可根據(jù)CNVD編號,在CNVD官網(wǎng)進行查詢。
參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小結(jié):本周,IBM產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞從系統(tǒng)發(fā)送未經(jīng)授權(quán)的請求,可能導(dǎo)致網(wǎng)絡(luò)枚舉或促進其他攻擊,信息泄露等。此外,Apache、SAP、Fortinet等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞竊取潛在的敏感信息,更改網(wǎng)頁的外觀,繞過系統(tǒng)的根磁盤訪問限制,在系統(tǒng)磁盤根路徑上寫入或創(chuàng)建程序文件,并提升應(yīng)用程序的權(quán)限,在Linux和macOS平臺上注入操作系統(tǒng)命令。另外,HarmonyOS被披露存在權(quán)限管理不當(dāng)漏洞。攻擊者可利用漏洞導(dǎo)致獲取CPLC信息。建議相關(guān)用戶隨時關(guān)注上述廠商主頁,及時獲取修復(fù)補丁或解決方案。
來源:國家信息安全漏洞共享平臺