您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞月報(2022年9月)
根據國家信息安全漏洞庫(CNNVD)統(tǒng)計,2022年9月份采集安全漏洞共2133個。
本月接報漏洞57068個,其中信息技術產品漏洞(通用型漏洞)682個,網絡信息系統(tǒng)漏洞(事件型漏洞)56386個,其中漏洞平臺推送漏洞55352個。
重大漏洞通報
Linux kernel 數(shù)字錯誤漏洞(CNNVD-202208-3763、CVE-2022-2639)情況的報送。成功利用漏洞的攻擊者可提升本地用戶權限。linux kernel 3.13-5.18版本受漏洞影響。目前,Linux官方已經發(fā)布了版本更新修復了該漏洞,建議用戶及時確認產品版本,盡快采取修補措施。
微軟官方發(fā)布公告更新了Microsoft Windows TCP/IP component 安全漏洞(CNNVD-202209-917、CVE-2022-34718)、Microsoft Windows 安全漏洞(CNNVD-202209-913、CVE-2022-34721)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據,提升權限等。微軟多個產品和系統(tǒng)受漏洞影響。目前,微軟官方已經發(fā)布了漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
漏洞態(tài)勢
一、公開漏洞情況
根據國家信息安全漏洞庫(CNNVD)統(tǒng)計,2022年9月份新增安全漏洞共2133個,從廠商分布來看,WordPress基金會公司產品的漏洞數(shù)量最多,共發(fā)布167個;從漏洞類型來看,緩沖區(qū)錯誤類的漏洞占比最大,達到15.24%。本月新增漏洞中,超危漏洞336個、高危漏洞942個、中危漏洞814個、低危漏洞41個,相應修復率分別為63.10%、73.25%、74.82%以及90.24%。合計1548個漏洞已有修復補丁發(fā)布,本月整體修復率72.57%。
截至2022年9月30日,CNNVD采集漏洞總量已達193427個。
1.1 漏洞增長概況
2022年9月新增安全漏洞2133個,與上月(2240個)相比減少了4.78%。根據近6個月來漏洞新增數(shù)量統(tǒng)計圖,平均每月漏洞數(shù)量達到2131個。
圖1 2022年4月至2022年9月漏洞新增數(shù)量統(tǒng)計圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2022年9月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會公司漏洞達到167個,占本月漏洞總量的7.83%。
表1 2022年9月排名前十廠商新增安全漏洞統(tǒng)計表
1.2.2 漏洞產品分布
2022年9月主流操作系統(tǒng)的漏洞統(tǒng)計情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共52個,Windows Server 2022漏洞數(shù)量最多,共45個,占主流操作系統(tǒng)漏洞總量的8.56%,排名第一。
表2 2022年9月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計
1.2.3 漏洞類型分布
2022年9月份發(fā)布的漏洞類型分布如表3所示,其中緩沖區(qū)錯誤類漏洞所占比例最大,約為15.24%。
表3 2022年9月漏洞類型統(tǒng)計表
1.2.4 漏洞危害等級分布
根據漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。2022年9月漏洞危害等級分布如圖2所示,其中超危漏洞336條,占本月漏洞總數(shù)的15.75%。
圖2 2022年9月漏洞危害等級分布
1.3漏洞修復情
1.3.1 整體修復情況
2022年9月漏洞修復情況按危害等級進行統(tǒng)計見圖3。其中低危漏洞修復率最高,達到90.24%,超危漏洞修復率最低,比例為63.10%。
總體來看,本月整體修復率由上月的74.15%下降至本月的72.57%。
圖3 2022年9月漏洞修復數(shù)量統(tǒng)計
1.3.2 廠商修復情況
2022年9月漏洞修復情況按漏洞數(shù)量前十廠商進行統(tǒng)計,其中WordPress基金會、Google、Microsoft等十個廠商共633條漏洞,占本月漏洞總數(shù)的29.68%,漏洞修復率為82.78%,詳細情況見表4。多數(shù)知名廠商對產品安全高度重視,產品漏洞修復比較及時,其中Microsoft、Adobe、Cisco等公司本月漏洞修復率均為100%,共524條漏洞已全部修復。
表4 2022年9月廠商修復情況統(tǒng)計表
1.4 重要漏洞實例
1.4.1 超危漏洞實例
2022年9月超危漏洞共336個,其中重要漏洞實例如表5所示。
表5 2022年9月超危漏洞實例
1.多款ZOHO產品SQL注入漏洞(CNNVD-202209-1336)
ZOHO ManageEngine Password Manager Pro和ZOHO ManageEngine Access Manager Plus都是美國卓豪(ZOHO)公司的產品。ZOHO ManageEngine Password Manager Pro是一款密碼管理器。ZOHO ManageEngine Access Manager Plus是一種特權會話管理解決方案,用于企業(yè)集中、保護和管理特權會話的遠程訪問。
ZOHO ManageEngine Password Manager Pro、PAM360和Access Manager Plus存在安全漏洞,該漏洞源于可能允許攻擊者使用易受攻擊的請求實現(xiàn)SQL注入執(zhí)行自定義查詢和訪問數(shù)據庫表條目。以下版本受到影響:Zoho ManageEngine Password Manager Pro 12120至12121之前的版本、PAM360 5550至5600之前的版本、4304至4305之前的版本。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-40300.html
2.Amazon AWS Redshift JDBC Driver 代碼問題漏洞(CNNVD-202209-3090)
Amazon AWS是美國亞馬遜(Amazon)公司的一款云計算平臺,向個人、企業(yè)和政府提供一系列包括信息技術基礎架構和應用的服務,如存儲、數(shù)據庫、計算、機器學習等等。
Amazon AWS Redshift JDBC Driver 2.1.0.8 版本之前存在安全漏洞,該漏洞源于 Object Factory 在從類名實例化對象時不檢查類類型。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://github.com/aws/amazon-redshift-jdbc-driver/commit/40b143b4698faf90c788ffa89f2d4d8d2ad068b5
3.Trend Micro Apex One 授權問題漏洞(CNNVD-202209-1058)
Trend Micro Apex One是美國趨勢科技(Trend Micro)公司的一款終端防護軟件。
Trend Micro Apex One 2024(On-prem) SaaS版本存在安全漏洞,該漏洞源于如果遠程攻擊者向受影響產品發(fā)送特制請求,則可能會繞過產品的登錄身份驗證。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://success.trendmicro.com/dcx/s/solution/000291533?language=en_US
4.Dataprobe iBoot-PDU 操作系統(tǒng)命令注入漏洞(CNNVD-202209-1633)
Dataprobe iBoot-PDU是美國Dataprobe公司的一種可通過 Web 訪問的受管 PDU 獨立控制的插座。
Dataprobe iBoot-PDU FW存在操作系統(tǒng)命令注入漏洞,該漏洞源于某些特定函數(shù)不對用戶提供的輸入進行消毒,這可能會導致操作系統(tǒng)命令注入。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://dataprobe.com/support-iboot-pdu
5.Rockwell Automation ThinManager 緩沖區(qū)錯誤漏洞(CNNVD-202209-2416)
Rockwell Automation ThinManager是美國Rockwell Automation公司的一款瘦客戶端管理軟件。允許將瘦客戶端同時分配給多個遠程桌面服務器。
Rockwell Automation ThinManager 11.0.0版本至13.0.0版本存在安全漏洞,該漏洞源于易受基于堆的緩沖區(qū)溢出攻擊。攻擊者利用該漏洞可以發(fā)送特制的TFTP或HTTPS請求,導致基于堆的緩沖區(qū)溢出,從而使ThinServer進程崩潰。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1136847
6.Dataprobe iBoot-PDU 訪問控制錯誤漏洞(CNNVD-202209-1624)
Dataprobe iBoot-PDU是美國Dataprobe公司的一種可通過 Web 訪問的受管 PDU 獨立控制的插座。
Dataprobe iBoot-PDU FW存在訪問控制錯誤漏洞,該漏洞源于允許攻擊者從云中訪問設備的主管理頁面。該特性允許用戶遠程連接設備,但是,目前的實現(xiàn)允許用戶訪問其他設備的信息。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://dataprobe.com/support-iboot-pdu
7.Huawei EMUI 資源管理錯誤漏洞(CNNVD-202209-1277)
Huawei EMUI是中國華為(Huawei)公司的一款基于Android開發(fā)的移動端操作系統(tǒng)。
Huawei EMUI存在資源管理錯誤漏洞,該漏洞源于存儲模塊中的存在雙重釋放漏洞,成功利用此漏洞將導致內存被釋放兩次。以下產品和版本受到影響:HUAWEI EMUI 10.0.0, EMUI 10.1.0, EMUI 10.1.1, EMUI 11.0.0, Magic UI 3.0.0, Magic UI 3.1.0, Magic UI 3.1.1, Magic UI 4.0.0。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://consumer.huawei.com/en/support/bulletin/2022/9/
8.Qualcomm 芯片 輸入驗證錯誤漏洞(CNNVD-202209-1223)
Qualcomm 芯片是美國高通(Qualcomm)公司的芯片。一種將電路(主要包括半導體設備,也包括被動組件等)小型化的方式,并時常制造在半導體晶圓表面上。
Snapdragon Auto、SnapdragonConsumer IOT、Snapdrago Mobile、Snapdrag Voice&Music存在安全漏洞,該漏洞源于在處理HFP-UNIT配置文件時,由于整數(shù)溢出導致藍牙內存損壞。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.qualcomm.com/company/product-security/bulletins/september-2022-bulletin
1.4.2 高危漏洞實例
2022年9月高危漏洞共942個,其中重要漏洞實例如表6所示。
表6 2022年9月高危漏洞實例(詳情略)
1.Solarwinds Orion Platform SQL注入漏洞(CNNVD-202209-3151)
Solarwinds Orion Platform是美國Solarwinds公司的一套網絡故障和網絡性能管理平臺。該平臺可對網絡設備提供實時監(jiān)測和分析,并支持定制網頁介面、多種用戶意見和對整個網絡進行地圖式瀏覽等。
Solarwinds Orion Platform 存在SQL注入漏洞。攻擊者利用該漏洞進行權限提升或遠程代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/solarwinds_platform_2022-3_release_notes.htm
2.Cisco IOS XE Software 代碼問題漏洞(CNNVD-202209-2874)
Cisco IOS XE Software是美國思科(Cisco)公司的一個操作系統(tǒng)。用于企業(yè)有線和無線訪問,匯聚,核心和WAN的單一操作系統(tǒng),Cisco IOS XE降低了業(yè)務和網絡的復雜性。
Cisco IOS XE Software存在代碼問題漏洞,該漏洞源于在檢查某些TCP DNS數(shù)據包時發(fā)生邏輯錯誤。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-alg-dos-KU9Z8kFX
3.Dell CloudLink 授權問題漏洞(CNNVD-202209-023)
Dell CloudLink是美國戴爾(Dell)公司的一個數(shù)據加密和密鑰管理系統(tǒng)。
Dell CloudLink 7.1.3版本及之前版本存在安全漏洞。攻擊者利用該漏洞繞過身份驗證并訪問 CloudLink系統(tǒng)控制臺。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.dell.com/support/kbdoc/en-us/000202058/dsa-2022-210-dell-emc-cloudlink-security-update-for-multiple-security-vulnerabilities
4.Hitachi RAID Manager SRA 操作系統(tǒng)命令注入漏洞(CNNVD-202209-253)
Hitachi RAID Manager SRA是日本日立(Hitachi)公司的一個存儲復制適配器軟件。
Hitachi RAID Manager Storage Replication Adapter存在安全漏洞,該漏洞源于其允許遠程認證用戶通過OS命令注入執(zhí)行任意OS命令。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.hitachi.co.jp/products/it/storage-solutions/global/sec_info/2022/2022_307.html
5.Intel NUC M15 緩沖區(qū)錯誤漏洞(CNNVD-202209-1581)
Intel NUC M15是美國英特爾(Intel)公司的一種筆記本電腦套件。
Intel NUC M15 Laptop Kit BC0076之前版本存在安全漏洞,該漏洞源于權限提升,在系統(tǒng)管理模式下執(zhí)行任意代碼,在SMM中運行任意代碼還會繞過基于SMM的SPI閃存保護以防止修改,這可以幫助攻擊者將固件后門/植入物安裝到BIOS中。BIOS中的此類惡意固件代碼可能會在重新安裝操作系統(tǒng)后持續(xù)存在,惡意行為者可能會利用此漏洞繞過UEFI固件提供的安全機制。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00712.html
6.Cisco SD-WAN vManage Software 訪問控制錯誤漏洞(CNNVD-202209-421)
Cisco SD-WAN vManage Software是美國思科(Cisco)公司的一款用于SD-WAN(軟件定義廣域網絡)解決方案的管理軟件。
Cisco SD-WAN vManage Software 20.6.4之前版本、20.9.1之前版本存在訪問控制錯誤漏洞,該漏洞源于綁定配置中的漏洞可能允許未經身份驗證的相鄰攻擊者訪問 VPN0 邏輯網絡,影響系統(tǒng)上的消息傳遞服務端口。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-msg-serv-AqTup7vs
7.Cisco Catalyst 資源管理錯誤漏洞(CNNVD-202209-2863)
Cisco Catalyst是美國思科(Cisco)公司的一系列交換機。
Cisco Catalyst 9100存在資源管理錯誤漏洞,該漏洞源于UDP數(shù)據報處理不當。遠程攻擊者利用該漏洞執(zhí)行拒絕服務(DoS)攻擊。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-udp-dos-XDyEwhNz
8.Indy Node 輸入驗證錯誤漏洞(CNNVD-202209-258)
Indy Node是美國Hyperledger開源的一種分布式賬本的服務器部分。專為去中心化身份構建。
Indy Node 1.12.4之前的版本存在輸入驗證錯誤漏洞,該漏洞源于Indy-Node中的“pool-upgrade”請求處理程序允許未經身份驗證的攻擊者遠程在網絡中的節(jié)點上執(zhí)行代碼。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://github.com/hyperledger/indy-node/security/advisories/GHSA-r6v9-p59m-gj2p
二、漏洞平臺推送情況
2022年9月漏洞平臺推送漏洞55352個。
表7 2022年9月漏洞平臺推送情況表
三、接報漏洞情況
2022年9月接報漏洞1716個,其中信息技術產品漏洞(通用型漏洞)682個,網絡信息系統(tǒng)漏洞(事件型漏洞)1034個。
表8 2022年9月接報漏洞情況表(詳情略)
四、重大漏洞通報
4.1 Linux kernel 數(shù)字錯誤漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關于Linux kernel 數(shù)字錯誤漏洞(CNNVD-202208-3763、CVE-2022-2639)情況的報送。成功利用漏洞的攻擊者可提升本地用戶權限。linux kernel 3.13-5.18版本受漏洞影響。目前,Linux官方已經發(fā)布了版本更新修復了該漏洞,建議用戶及時確認產品版本,盡快采取修補措施。
. 漏洞介紹
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內核。Linux Kernel openvswitch 模塊在處理大量actions的情況下可能會觸發(fā)越界寫入問題。本地經過身份認證的攻擊者可利用此漏洞將低權限用戶提升至ROOT權限。
. 危害影響
成功利用漏洞的攻擊者可提升本地用戶權限。linux kernel 3.13-5.18版本受漏洞影響。
. 修復建議
目前,Linux官方已經發(fā)布了版本更新修復了該漏洞,建議用戶及時確認產品版本,盡快采取修補措施。官方鏈接如下:
https://www.kernel.org/
4.2 微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了多個安全漏洞的公告,其中微軟產品本身漏洞62個,影響到微軟產品的其他廠商漏洞1個。包括Microsoft Windows TCP/IP component 安全漏洞(CNNVD-202209-917、CVE-2022-34718)、Microsoft Windows 安全漏洞(CNNVD-202209-913、CVE-2022-34721)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據,提升權限等。微軟多個產品和系統(tǒng)受漏洞影響。目前,微軟官方已經發(fā)布了漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
. 漏洞介紹
2022年9月13日,微軟發(fā)布了2022年9月份安全更新,共63個漏洞的補丁程序,CNNVD對這些漏洞進行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft HTTP.sys、Microsoft Lightweight Directory Access Protocol、Microsoft Windows DNS、Microsoft Windows Fax Service、Microsoft SharePoint等。CNNVD對其危害等級進行了評價,其中超危漏洞3個,高危漏洞52個,中危漏洞8個。微軟多個產品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。
. 漏洞詳情
此次更新共包括62個新增漏洞的補丁程序,其中超危漏洞3個,高危漏洞52個,中危漏洞7個。
(詳情略)
此次更新共包括1個影響微軟產品的其他廠商漏洞的補丁程序,其中中危漏洞1個。
. 修復建議
目前,微軟官方已經發(fā)布補丁修復了上述漏洞,建議用戶及時確認漏洞影響,盡快采取修補措施。微軟官方補丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來源:CNNVD安全動態(tài)