您所在的位置: 首頁 >
安全研究 >
安全通告 >
CNNVD信息安全漏洞月報2023年1月
漏洞態(tài)勢
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2023年1月采集安全漏洞共2271個。
本月接報漏洞17648個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)434個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)17214個,其中漏洞平臺推送漏洞2851個。
重大漏洞通報
微軟官方發(fā)布公告更新了Microsoft Windows Local Security Authority Subsystem Service 安全漏洞(CNNVD-202301-725/CVE-2023-21524)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
漏洞態(tài)勢
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2023年1月份新增安全漏洞共2271個,從廠商分布來看,WordPress基金會公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布240個;從漏洞類型來看,跨站腳本類的漏洞占比最大,達到14.75%。本月新增漏洞中,超危漏洞346個、高危漏洞875個、中危漏洞1011個、低危漏洞39個,相應(yīng)修復(fù)率分別為84.39%、81.71%、89.71%以及82.05%。合計1946個漏洞已有修復(fù)補丁發(fā)布,本月整體修復(fù)率85.69%。
截至2023年1月31日,CNNVD采集漏洞總量已達201794個。
1.1 漏洞增長概況
2023年1月新增安全漏洞2271個,與上月(2173個)相比增加了4.51%。根據(jù)近6個月來漏洞新增數(shù)量統(tǒng)計圖,平均每月漏洞數(shù)量達到2123個。
圖1 2022年8月至2023年1月漏洞新增數(shù)量統(tǒng)計圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2023年1月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會公司漏洞達到240個,占本月漏洞總量的10.57%。
表1 2023年1月排名前十廠商新增安全漏洞統(tǒng)計表
1.2.2 漏洞產(chǎn)品分布
2023年1月主流操作系統(tǒng)的漏洞統(tǒng)計情況如表2所示。Windows系列操作系統(tǒng)漏洞數(shù)量共67個,Android漏洞數(shù)量最多,共66個,占主流操作系統(tǒng)漏洞總量的9.69%,排名第一。
表2 2023年1月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計
1.2.3 漏洞類型分布
2023年1月份發(fā)布的漏洞類型分布如表3所示,其中跨站腳本類漏洞所占比例最大,約為14.75%。
表3 2023年1月漏洞類型統(tǒng)計表
1.2.4 漏洞危害等級分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。2023年1月漏洞危害等級分布如圖2所示,其中超危漏洞346條,占本月漏洞總數(shù)的15.24%。
圖2 2023年1月漏洞危害等級分布
1.3漏洞修復(fù)情
1.3.1 整體修復(fù)情況
2023年1月漏洞修復(fù)情況按危害等級進行統(tǒng)計見圖3。其中中危漏洞修復(fù)率最高,達到89.71%,高危漏洞修復(fù)率最低,比例為81.71%。本月整體修復(fù)率由上月的75.29%上升至本月的79.38%。
圖3 2023年1月漏洞修復(fù)數(shù)量統(tǒng)計
1.3.2 廠商修復(fù)情況
2023年1月漏洞修復(fù)情況按漏洞數(shù)量前十廠商進行統(tǒng)計,其中WordPress基金會、Microsoft、Google等十個廠商共665條漏洞,占本月漏洞總數(shù)的29.28%,漏洞修復(fù)率為94.59%,詳細情況見表4。多數(shù)知名廠商對產(chǎn)品安全高度重視,產(chǎn)品漏洞修復(fù)比較及時,其中Microsoft、Oracle、Adobe、AMD、IBM、Juniper Networks、Aruba Networks、Apple等公司本月漏洞修復(fù)率均為100%,共629條漏洞已全部修復(fù)。
表4 2023年1月廠商修復(fù)情況統(tǒng)計表
1.4 重要漏洞實例
1.4.1 超危漏洞實例
2023年1月超危漏洞共346個,其中重要漏洞實例如表5所示。
表5 2023年1月超危漏洞實例
(詳情略)
1、IBM Sterling B2B Integrator SQL注入漏洞(CNNVD-202301-280)
IBM Sterling B2B Integrator是美國國際商業(yè)機器(IBM)公司的一套集成了重要的B2B流程、交易和關(guān)系的軟件。該軟件支持與不同的合作伙伴社區(qū)之間實現(xiàn)復(fù)雜的B2B流程的安全集成。
IBM Sterling B2B Integrator Standard Edition存在SQL注入漏洞,攻擊者利用該漏洞可以發(fā)送特制的 SQL 語句,從而允許攻擊者查看、添加、修改或刪除后端數(shù)據(jù)庫中的信息,以下產(chǎn)品和版本受到影響:IBM Sterling B2B Integrator 6.0.0.0 到 6.0.3.6版本、6.1.0.0到 6.1.0.5版本、6.1.1.0到 6.1.1.1版本、6.1.2.0版本。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.ibm.com/support/pages/node/6852453
2、Apache Dubbo 代碼問題漏洞(CNNVD-202301-129)
Apache Dubbo是美國阿帕奇(Apache)基金會的一款基于Java的輕量級RPC(遠程過程調(diào)用)框架。該產(chǎn)品提供了基于接口的遠程呼叫、容錯和負載平衡以及自動服務(wù)注冊和發(fā)現(xiàn)等功能。
Apache Dubbo 2.6.10之前版本、2.7.10 之前版本存在代碼問題漏洞,該漏洞源于容易受到通過 Telnet 處理程序中的任意bean 操作進行預(yù)授權(quán)遠程代碼執(zhí)行的攻擊,攻擊者利用該漏洞可以實現(xiàn)遠程代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/
3、ZOHO ManageEngine ServiceDesk Plus 授權(quán)問題漏洞(CNNVD-202301-1573)
ZOHO ManageEngine ServiceDesk Plus(SDP)是美國卓豪(ZOHO)公司的一套基于ITIL架構(gòu)的IT服務(wù)管理軟件。該軟件集成了事件管理、問題管理、資產(chǎn)管理IT項目管理、采購與合同管理等功能模塊。
Zoho ManageEngine ServiceDesk Plus 10611之前版本、13x版本至13004之前版本存在授權(quán)問題漏洞,該漏洞源于易受身份驗證繞過的影響。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.manageengine.com/products/service-desk-msp/cve-2023-22964.html
4、Western Digital My Cloud 操作系統(tǒng)命令注入漏洞(CNNVD-202301-2076)
Western Digital My Cloud是美國西部數(shù)據(jù)(Western Digital)公司的一款個人云存儲設(shè)備。
Western Digital My Cloud OS5 5.26.119之前版本存在安全漏洞,該漏洞源于DDNS服務(wù)配置中存在命令注入漏洞,允許攻擊者在root用戶的上下文中執(zhí)行代碼。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.westerndigital.com/en-in/support/product-security/wdc-23002-my-cloud-firmware-version-5-26-119
5、Apache Portable Runtime 緩沖區(qū)錯誤漏洞(CNNVD-202301-2413)
Apache Portable Runtime(APR,Apache可移植運行庫)是美國阿帕奇(Apache)基金會的一個為上層應(yīng)用程序提供可跨越多個操作系統(tǒng)平臺使用的底層支持接口庫。
Apache Portable Runtime 1.7.0及以前版本存在緩沖區(qū)錯誤漏洞,該漏洞源于其apr_socket_sendv()函數(shù)允許攻擊者實現(xiàn)整數(shù)溢出導(dǎo)致在棧緩沖區(qū)末端之外寫入數(shù)據(jù)。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://lists.apache.org/thread/5pfdfn7h0vsdo5xzjn97vghp0x42jj2r
6、SAP NetWeaver AS 訪問控制錯誤漏洞(CNNVD-202301-637)
SAP NetWeaver AS是德國思愛普(SAP)公司的一款SAP網(wǎng)絡(luò)應(yīng)用服務(wù)器。它不僅能提供網(wǎng)絡(luò)服務(wù),且還是SAP軟件的基本平臺。
基于Java的SAP NetWeaver AS 7.50版本存在訪問控制錯誤漏洞,該漏洞源于其訪問控制不當(dāng)導(dǎo)致未經(jīng)身份驗證的攻擊者可以附加到開放接口并使用開放的命名和目錄API訪問服務(wù),這些服務(wù)可用于執(zhí)行影響當(dāng)前系統(tǒng)上用戶和數(shù)據(jù)的未授權(quán)操作。這可能允許攻擊者擁有對用戶數(shù)據(jù)的完全讀訪問權(quán),對用戶數(shù)據(jù)進行修改,并使系統(tǒng)內(nèi)的服務(wù)不可用。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://launchpad.support.sap.com/#/notes/3268093
7、Apache DolphinScheduler 輸入驗證錯誤漏洞(CNNVD-202301-261)
Apache DolphinScheduler是美國阿帕奇(Apache)基金會的一個分布式的基于DAG可視化的工作流任務(wù)調(diào)度系統(tǒng)。
Apache DolphinScheduler 3.0.1版本及之前版本、3.1.0版本及之前版本存在輸入驗證錯誤漏洞,該漏洞源于script alert plugin參數(shù)驗證不正確。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:https://lists.apache.org/thread/r0wqzkjsoq17j6ww381kmpx3jjp9hb6r
1.4.2 高危漏洞實例
2023年1月高危漏洞共875個,其中重要漏洞實例如表6所示。
表6 2023年1月高危漏洞實例
(詳情略)
1、Aruba Networks EdgeConnect Enterprise Orchestrator SQL注入漏洞(CNNVD-202301-334)
Aruba Networks EdgeConnect Enterprise Orchestrator是美國Aruba Networks公司的一種集中式SD-WAN 管理解決方案。為企業(yè)用戶提供優(yōu)化、管理、自動化和實時可見性和監(jiān)控特性服務(wù)。
Aruba Networks EdgeConnect Enterprise Orchestrator存在安全漏洞。攻擊者利用該漏洞執(zhí)行SQL注入攻擊,從而獲取和修改基礎(chǔ)數(shù)據(jù)庫中的敏感信息。以下產(chǎn)品及版本受到影響:Aruba EdgeConnect Enterprise Orchestrator 9.2.1.40179版本及之前版本、9.1.4.40436版本及之前版本、9.0.7.40110版本及之前版本、8.10.23.40015版本及之前版本。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-021.txt
2、Zyxel GS1920 代碼問題漏洞(CNNVD-202301-828)
Zyxel GS1920是中國合勤(Zyxel)公司的一款交換機。
Zyxel GS1920-24v2 V4.70(ABMH.8)C0之前版本存在安全漏洞,該漏洞源于HTTP請求處理功能中未正確檢查異?;虍惓G闆r,可能允許未經(jīng)身份驗證的攻擊者破壞內(nèi)存內(nèi)容并導(dǎo)致拒絕服務(wù)(DoS)。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-command-injection-and-buffer-overflow-vulnerabilities-of-cpe-fiber-onts-and-wifi-extenders
3、Netcomm路由器 授權(quán)問題漏洞(CNNVD-202301-913)
Netcomm NF20等都是澳大利亞Netcomm公司的一款路由器。
Netcomm路由器存在安全漏洞,該漏洞源于其身份驗證旁路允許未經(jīng)身份驗證的用戶訪問內(nèi)容。以下型號受到影響:NF20MESH、NF20和NL1902。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁:
https://www.netcomm.net
4、FortiTester 操作系統(tǒng)命令注入漏洞(CNNVD-202301-133)
FortiTester是FortiTester公司的一款基于Fortinet 專業(yè)的網(wǎng)絡(luò)流量測試工具。
FortiTester 7.1.0、7.0所有版本、4.0.0至4.2.0版本、2.3.0至3.9.1版本存在安全漏洞,該漏洞源于使用的多個特殊元素中和不當(dāng),存在操作系統(tǒng)命令注入漏洞,可能允許經(jīng)過身份驗證的攻擊者在底層shell中執(zhí)行任意命令。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.fortiguard.com/psirt/FG-IR-22-274
5、Juniper Networks Junos OS 緩沖區(qū)錯誤漏洞(CNNVD-202301-1039)
Juniper Networks Junos OS是美國瞻博網(wǎng)絡(luò)(Juniper Networks)公司的一套專用于該公司的硬件設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)。該操作系統(tǒng)提供了安全編程接口和Junos SDK。
Juniper Networks Junos OS存在安全漏洞,該漏洞源于H.323 ALG中存在越界寫入漏洞,從而導(dǎo)致拒絕服務(wù)。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://supportportal.juniper.net/s/article/2023-01-Security-Bulletin-Junos-OS-MX-Series-and-SRX-Series-The-flow-processing-daemon-flowd-will-crash-when-a-specific-H-323-packet-is-received-CVE-2023-22415?language=en_US
6、WordPress plugin Royal Elementor Addons 訪問控制錯誤漏洞(CNNVD-202301-676)
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。
WordPress plugin Royal Elementor Addons 1.3.59版本及之前版本存在訪問控制錯誤漏洞,該漏洞源于訪問控制不足。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://www.wordfence.com/blog/2023/01/eleven-vulnerabilities-patched-in-royal-elementor-addons/
7、Linux kernel 資源管理錯誤漏洞(CNNVD-202301-574)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。
Linux kernel 存在資源管理錯誤漏洞,該漏洞源于 MCTP 實現(xiàn)中存在競爭條件,導(dǎo)致釋放后重用,攻擊者利用該漏洞可以導(dǎo)致拒絕服務(wù)(系統(tǒng)崩潰)或可能執(zhí)行任意代碼。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://ubuntu.com/security/notices/USN-5793-1
8、Google Chrome 輸入驗證錯誤漏洞(CNNVD-202301-091)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。
Google Chrome 104.0.5112.79之前版本存在安全漏洞,該漏洞源于窗口管理器中存在整數(shù)溢出,允許遠程攻擊者說服用戶參與特定的UI交互以通過精心設(shè)計的UI交互執(zhí)行越界內(nèi)存寫入。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop.html
二、漏洞平臺推送情況
2023年1月漏洞平臺推送漏洞14797個。
表7 2023年1月漏洞平臺推送情況表
三、接報漏洞情況
2023年1月接報漏洞2851個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)434個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)2417個。
表8 2023年1月接報漏洞情況表
(詳情略)
四、重大漏洞通報
4.1 微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了101個安全漏洞的公告,包括Microsoft Windows Local Security Authority Subsystem Service 安全漏洞(CNNVD-202301-725、CVE-2023-21524)、Microsoft Windows iSCSI 安全漏洞(CNNVD-202301-810、CVE-2023-21527)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
. 漏洞介紹
2023年1月10日,微軟發(fā)布了2023年1月份安全更新,共101個漏洞的補丁程序,CNNVD對這些漏洞進行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Windows Authentication Methods、Microsoft Lightweight Directory Access Protocol、Microsoft Windows Management Instrumentation、Microsoft Windows Local Security Authority Subsystem Service、Microsoft OLE DB Provider for SQL Server等。CNNVD對其危害等級進行了評價,其中超危漏洞1個,高危漏洞85個,中危漏洞14個,低危漏洞1個。微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問
https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。
. 漏洞詳情
此次更新共包括3個更新漏洞的補丁程序,其中超危漏洞1個,高危漏洞1個,中危漏洞1個。
(詳情略)
. 修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補丁修復(fù)了上述漏洞,建議用戶及時確認漏洞影響,盡快采取修補措施。微軟官方補丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
文章來源:CNNVD安全動態(tài)