您所在的位置: 首頁 >
安全研究 >
安全通告 >
CNVD漏洞周報2022年第31期
2022年08月01日-2022年08月07日
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞550個,其中高危漏洞202個、中危漏洞292個、低危漏洞56個。漏洞平均分值為6.11。本周收錄的漏洞中,涉及0day漏洞312個(占57%),其中互聯(lián)網(wǎng)上出現(xiàn)“Nsasoft US LLC SpotAuditor拒絕服務漏洞、Totolink A3600R緩沖區(qū)溢出漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業(yè)單位的事件型漏洞總數(shù)6731個,與上周(7660個)環(huán)比減少12%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件24起,向基礎電信企業(yè)通報漏洞事件9起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件285起,協(xié)調(diào)教育行業(yè)應急組織驗證和處置高校科研院所系統(tǒng)漏洞事件42起,向國家上級信息安全協(xié)調(diào)機構上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件53起。
圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計
圖4 CNCERT各分中心處置情況按周統(tǒng)計
圖5 CNVD教育行業(yè)應急組織處置情況按周統(tǒng)計
此外,CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:(略)
本周,CNVD發(fā)布了《F5公司發(fā)布2022年8月安全更新》。詳情參見CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7961
本周漏洞報送情況統(tǒng)計
本周報送情況如表1所示。其中,新華三技術有限公司、安天科技集團股份有限公司、北京天融信網(wǎng)絡安全技術有限公司、杭州安恒信息技術股份有限公司、恒安嘉新(北京)科技股份公司等單位報送公開收集的漏洞數(shù)量較多。北京華順信安科技有限公司、河南信安世紀科技有限公司、山石網(wǎng)科通信技術股份有限公司、河南東方云盾信息技術有限公司、河南靈創(chuàng)電子科技有限公司、中國銀行、蘇州棱鏡七彩信息科技有限公司、浙江木鏈物聯(lián)網(wǎng)科技有限公司、工業(yè)和信息化部電子第五研究所、貴州泰若數(shù)字科技有限公司、西藏熙安信息技術有限責任公司、重慶都會信息科技有限公司、中國電信股份有限公司上海研究院、上海紐盾科技股份有限公司、平安銀河實驗室、黑龍江億林網(wǎng)絡股份有限公司、任子行網(wǎng)絡技術股份有限公司、江蘇國泰新點軟件有限公司、內(nèi)蒙古洞明科技有限公司、南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司、廣州易東信息安全技術有限公司、廣州安億信軟件科技有限公司、上海端御信息科技有限公司及其他個人白帽子向CNVD提交了6731個以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、上海交大、奇安信網(wǎng)神(補天平臺)和三六零數(shù)字安全科技集團有限公司向CNVD共享的白帽子報送的5185條原創(chuàng)漏洞信息。
表1 漏洞報送情況統(tǒng)計表(略)
本周漏洞按類型和廠商統(tǒng)計
本周,CNVD收錄了550個漏洞。WEB應用203個,應用程序195個,網(wǎng)絡設備(交換機、路由器等網(wǎng)絡端設備)103個,操作系統(tǒng)30個,智能設備(物聯(lián)網(wǎng)終端設備)11個,數(shù)據(jù)庫5個,安全產(chǎn)品3個。
表2 漏洞按影響類型統(tǒng)計表
圖6 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Jenkins、IBM、Tenda等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了82個電信行業(yè)漏洞,30個移動互聯(lián)網(wǎng)行業(yè)漏洞,6個工控行業(yè)漏洞(如下圖所示)。其中,“Cisco Small Business緩沖區(qū)溢出漏洞(CNVD-2022-54905)、MongoDB緩沖區(qū)溢出漏洞”等漏洞的綜合評級為“高?!?。相關廠商已經(jīng)發(fā)布了漏洞的修補程序,請參照CNVD相關行業(yè)漏洞庫鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖7 電信行業(yè)漏洞統(tǒng)計
圖8 移動互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計
圖9 工控系統(tǒng)行業(yè)漏洞統(tǒng)計
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Cisco產(chǎn)品安全漏洞
Cisco Nexus Dashboard是美國思科(Cisco)公司的一個單一控制臺。能夠簡化數(shù)據(jù)中心網(wǎng)絡的運營和管理。Cisco IOS XE是一套為其網(wǎng)絡設備開發(fā)的操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞導致拒絕服務,權限提升等。
CNVD收錄的相關漏洞包括:Cisco Nexus Dashboard訪問控制錯誤漏洞、Cisco Nexus Dashboard權限提升漏洞(CNVD-2022-54958、CNVD-2022-54959)、Cisco Nexus Dashboard操作系統(tǒng)命令注入漏洞、Cisco IOS XE AVC-FNF拒絕服務漏洞、Cisco IOS XE Wireless Controller software拒絕服務漏洞、Cisco IOS XE權限提升漏洞( CNVD-2022-55150)、Cisco IOS XE AppNav-XE拒絕服務漏洞。其中,除“Cisco Nexus Dashboard權限提升漏洞(CNVD-2022-54958、CNVD-2022-54959)”外,其余漏洞的綜合評級為“高?!薄D壳?,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關的網(wǎng)絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54909
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54959
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54958
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54960
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55147
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55145
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55150
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55148
2、F5產(chǎn)品安全漏洞
F5 BIG-IP是F5公司的一款集成了網(wǎng)絡流量編排、負載均衡、智能DNS,遠程接入策略管理等功能的應用交付平臺。F5 BIG-IP APM Edge Client for Windows是一款客戶端訪問控制認證接入客戶端應用程序。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞導致拒絕服務。
CNVD收錄的相關漏洞包括:F5 BIG-IP APM和F5 SSL Orchestrator拒絕服務漏洞、F5 BIG-IP HTTP MRF拒絕服務漏洞、F5 BIG-IP APM空指針指針解引用漏洞、F5 BIG-IP消息路由MQTT拒絕服務漏洞、F5 BIG-IP HTTP2配置文件拒絕服務漏洞、F5 BIG-IP TLS 1.3 iRule空指針解引用漏洞、F5 BIG-IP TMM ClientSSL配置文件拒絕服務漏洞、F5 BIG-IP TMM iRule拒絕服務漏洞。上述漏洞的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關的網(wǎng)絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55179
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55178
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55185
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55184
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55183
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55182
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55181
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55186
3、IBM產(chǎn)品安全漏洞
IBM CICS TX Standard and Advanced是美國IBM公司的綜合的、單一的事務運行時包??梢詾楠毩贸绦蛱峁┰圃渴鹉P?。IBM Cognos Analytics是一套商業(yè)智能軟件。該軟件包括報表、儀表板和記分卡等,并可通過分析關鍵因素與關鍵人等內(nèi)容,協(xié)助企業(yè)調(diào)整決策。IBM Financial Transaction Manager for Digital Payments是一款金融事務管理器。該產(chǎn)品主要用于監(jiān)控、跟蹤和報告金融支付和交易。IBM Curam Social Program Management是一種業(yè)務和技術解決方案,可在動態(tài)可配置架構之上提供預構建的健康和社交計劃組件、業(yè)務流程、工具集和界面。IBM Security Verify Information Queue(使用首字母縮寫詞“ISIQ”)是一個跨產(chǎn)品集成商,利用Kafka技術和發(fā)布/訂閱模型在IBM Security產(chǎn)品之間集成數(shù)據(jù)。IBM WebSphere Application Server(WAS)是一款應用服務器產(chǎn)品。該產(chǎn)品是JavaEE和Web服務應用程序的平臺,也是IBM WebSphere軟件平臺的基礎。IBM InfoSphere InformationServer是一種數(shù)據(jù)集成軟件平臺,可以幫助企業(yè)從分散在系統(tǒng)中的復雜的異類信息中獲得更多價值。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,上傳任意文件,導致任意命令執(zhí)行等。
CNVD收錄的相關漏洞包括:IBM CICS TX Standard and Advanced操作系統(tǒng)命令注入漏洞、IBM Cognos Analytics文件上傳漏洞、IBM Financial Transaction Manager for Digital Payments SQL注入漏洞、IBM Curam Social Program Management代碼問題漏洞(CNVD-2022-54649)、IBM Security Verify Information Queue信息泄露漏洞(CNVD-2022-54888)、IBM WebSphere Application Server信息泄露漏洞(CNVD-2022-54962)、IBM InfoSphere Information Server SQL注入漏洞(CNVD-2022-54979)、IBM WebSphere Application Server跨站腳本漏洞。其中,除“IBM WebSphere Application Server信息泄露漏洞(CNVD-2022-54962)、IBM WebSphere Application Server跨站腳本漏洞”外,其余漏洞的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關的網(wǎng)絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54640
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54642
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54646
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54649
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54888
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54962
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54979
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55504
4、Oracle產(chǎn)品安全漏洞
Oracle Solaris是美國甲骨文(Oracle)公司的一套UNIX操作系統(tǒng)。Oracle ZFS Storage Appliance是一個支持閃存、PB級文件存儲并內(nèi)置Oracle數(shù)據(jù)庫的存儲設備。Oracle Enterprise Manager Base Platform是一套本地管理平臺。該平臺主要用于管理Oracle產(chǎn)品部署。Oracle Financial Services Applications是一套金融服務軟件。該產(chǎn)品包括核心銀行、網(wǎng)上銀行和財產(chǎn)管理等。FLEXCUBE Universal Banking是其中的一個互聯(lián)網(wǎng)和移動銀行業(yè)務解決方案組件。Oracle WebLogic Server是一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應用服務中間件,它提供了一個現(xiàn)代輕型開發(fā)平臺,支持應用從開發(fā)到生產(chǎn)的整個生命周期管理,并簡化了應用的部署和管理。Oracle Essbase是一個應用軟件。使組織能夠使用假設分析和數(shù)據(jù)可視化工具從多維數(shù)據(jù)集中快速生成洞察力。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞導致對Enterprise Manager Base Platform可訪問數(shù)據(jù)的更新、插入或刪除,Oracle Solaris掛起或頻繁重復崩潰等。
CNVD收錄的相關漏洞包括:Oracle Solaris拒絕服務漏洞(CNVD-2022-54629)、Oracle ZFS Storage Appliance輸入驗證錯誤漏洞、Oracle Solaris輸入驗證錯誤漏洞(CNVD-2022-54631)、Oracle Solaris拒絕服務漏洞(CNVD-2022-54630)、Oracle Enterprise Manager Base Platform輸入驗證錯誤漏洞、Oracle Financial Services Applications輸入驗證錯誤漏洞、Oracle WebLogic Server Core組件輸入驗證錯誤漏洞、Oracle Essbase信息泄露漏洞。其中,“Oracle Solaris拒絕服務漏洞(CNVD-2022-54629)、Oracle Solaris輸入驗證錯誤漏洞(CNVD-2022-54631)、Oracle Enterprise Manager Base Platform輸入驗證錯誤漏洞”的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關的網(wǎng)絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54629
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54632
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54631
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54630
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54637
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54635
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54634
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54633
5、Google Android安全繞過漏洞(CNVD-2022-54478)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。本周,Google Android被披露存在安全繞過漏洞。攻擊者可利用該漏洞繞過身份驗證并獲得訪問權限。目前,廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54478
小結:本周,Cisco產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞導致拒絕服務,權限提升等。此外,F(xiàn)5、IBM、Oracle等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,上傳任意文件,導致拒絕服務,任意命令執(zhí)行等。另外,Google Android被披露存在安全繞過漏洞。攻擊者可利用該漏洞繞過身份驗證并獲得訪問權限。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
本周重要漏洞攻擊驗證情況
本周,CNVD建議注意防范以下已公開漏洞攻擊驗證情況。
1、Totolink A3600R緩沖區(qū)溢出漏洞
驗證描述
TotoLink A3600R是中國臺灣吉翁電子(TotoLink)公司的一款6天線1200M無線路由器。
Totolink A3600R V4.1.2cu.5182_B20201102版本存在緩沖區(qū)溢出漏洞,該漏洞源于在infostat.cgi的fread函數(shù)中包含堆棧器溢出,攻擊者可利用該漏洞通過參數(shù)CONTENT_LENGTH導致拒絕服務 (DoS)。
驗證信息
POC鏈接:
https://github.com/molezsbd/iot-cve/tree/master/totolink/a3600r
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-54650
信息提供者
京東科技信息技術有限公司
注:以上驗證信息(方法)可能帶有攻擊性,僅供安全研究之用。請廣大用戶加強對漏洞的防范工作,盡快下載相關補丁。
原文來源: CNVD漏洞平臺