您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞月報2023年2月
漏洞態(tài)勢
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2023年2月份采集安全漏洞共2104個。
本月接報漏洞17686個,其中信息技術產(chǎn)品漏洞(通用型漏洞)637個,網(wǎng)絡信息系統(tǒng)漏洞(事件型漏洞)17049個,其中漏洞平臺推送漏洞16479個。
重大漏洞通報
F5 BIG-IP 安全漏洞(CNNVD-202302-092、CVE-2023-22374)情況的報送。攻擊者可利用漏洞造成目標設備拒絕服務或執(zhí)行任意代碼。F5 BIG-IP 17.0.0版本,16.1.2.2版本至16.1.3版本,15.1.5.1版本至15.1.8版本,14.1.4.6版本至14.1.5版本,13.1.5版本等多個版本均受此漏洞影響。目前,F(xiàn)5官方已經(jīng)發(fā)布了漏洞修復補丁,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。
漏洞態(tài)勢
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,2023年2月份新增安全漏洞共2104個,從廠商分布來看,WordPress基金會公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布230個;從漏洞類型來看,跨站腳本類的漏洞占比最大,達到16.11%。本月新增漏洞中,超危漏洞304個、高危漏洞775個、中危漏洞980個、低危漏洞45個,相應修復率分別為70.39%、85.55%、86.73%以及80.00%。合計1763個漏洞已有修復補丁發(fā)布,本月整體修復率83.79%。
截至2023年2月28日,CNNVD采集漏洞總量已達203898個。
1.1 漏洞增長概況
2023年2月新增安全漏洞2104個,與上月(2271個)相比減少了7.35%。根據(jù)近6個月來漏洞新增數(shù)量統(tǒng)計圖,平均每月漏洞數(shù)量達到2101個。
圖1 2022年9月至2023年2月漏洞新增數(shù)量統(tǒng)計圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2023年2月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會公司漏洞達到230個,占本月漏洞總量的10.93%。
表1 2023年2月排名前十廠商新增安全漏洞統(tǒng)計表
1.2.2 漏洞產(chǎn)品分布
2023年2月主流操作系統(tǒng)的漏洞統(tǒng)計情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共39個,Windows 10漏洞數(shù)量最多,共37個,占主流操作系統(tǒng)漏洞總量的10.03%,排名第一。
表2 2023年2月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計表
1.2.3 漏洞類型分布
2023年2月份發(fā)布的漏洞類型分布如表3所示,其中跨站腳本類漏洞所占比例最大,約為16.11%。
表3 2023年2月漏洞類型統(tǒng)計表
1.2.4 漏洞危害等級分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。2023年2月漏洞危害等級分布如圖2所示,其中超危漏洞304條,占本月漏洞總數(shù)的14.45%。
圖2 2023年2月漏洞危害等級分布
1.3漏洞修復情況
1.3.1 整體修復情況
2023年2月漏洞修復情況按危害等級進行統(tǒng)計見圖3。其中中危漏洞修復率最高,達到86.73%,超危漏洞修復率最低,比例為70.39%。
1.3.2 廠商修復情況
2023年2月漏洞修復情況按漏洞數(shù)量前十廠商進行統(tǒng)計,其中WordPress基金會、Microsoft、Qualcomm等十個廠商共717條漏洞,占本月漏洞總數(shù)的34.08%,漏洞修復率為99.30%,詳細情況見表4。多數(shù)知名廠商對產(chǎn)品安全高度重視,產(chǎn)品漏洞修復比較及時,其中Microsoft、Qualcomm、Intel、Dell、Siemens、Google、Fortinet、IBM、Samsung等公司本月漏洞修復率均為100%,共712條漏洞已全部修復。
表4 2023年2月廠商修復情況統(tǒng)計表
1.4 重要漏洞實例
1.4.1 超危漏洞實例
2023年2月超危漏洞共304個,其中重要漏洞實例如表5所示。
表5 2023年2月超危漏洞實例
(詳情略)
1. WordPress plugin FL3R FeelBox SQL注入漏洞(CNNVD-202302-945)
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網(wǎng)站。WordPress plugin是一個應用插件。
WordPress plugin FL3R FeelBox 8.1 版本及之前版本存在SQL注入漏洞,該漏洞源于在使用用戶輸入數(shù)據(jù)拼接 SQL 語句之前,沒有對該數(shù)據(jù)進行轉(zhuǎn)義。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://wpscan.com/vulnerability/9bb6fde0-1347-496b-be03-3512e6b7e8f8
2. Schneider Electric Easy UPS Online Monitoring Software 代碼問題漏洞(CNNVD-202302-020)
Schneider Electric Easy UPS Online Monitoring Software是法國施耐德電氣(Schneider Electric)公司的一款電源監(jiān)控軟件。
Schneider Electric Easy UPS Online Monitoring Software 存在代碼問題漏洞,該漏洞源于存在無限制上傳危險類型文件漏洞,當攻擊者上傳惡意JSP文件時可能導致遠程代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://download.schneider-electric.com/files?p_Doc_SEVD-2022-347-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-01_Easy_UPS_Online_Monitoring_Software_Security_Notification.pdf
3. Atlassian JIRA Data Center 授權(quán)問題漏洞(CNNVD-202302-115)
Atlassian JIRA Server和Atlassian JIRA Data Center都是澳大利亞Atlassian公司的產(chǎn)品。Atlassian JIRA Server是一套缺陷跟蹤管理系統(tǒng)的服務器版本。該系統(tǒng)主要用于對工作中各類問題、缺陷進行跟蹤管理。Atlassian JIRA Data Center是Atlassian JIRA的數(shù)據(jù)中心版本。
Atlassian Jira Service Management Server 和 Data Center 存在安全漏洞,該漏洞源于允許攻擊者在某些情況下冒充另一個用戶并獲得對 Jira Service Management 實例的訪問權(quán)限,攻擊者利用該漏洞可以使用從未登錄過的帳戶的用戶的注冊令牌,以下產(chǎn)品和版本受到影響:5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0版本。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://jira.atlassian.com/browse/JSDSERVER-12312
4. Rancher Labs Rancher 操作系統(tǒng)命令注入漏洞(CNNVD-202302-500)
Rancher Labs Rancher是美國Rancher Labs公司的一套開源的企業(yè)級容器管理平臺。
SUSE Rancher wrangler存在操作系統(tǒng)命令注入漏洞,該漏洞源于特殊元素的不當中和,存在操作系統(tǒng)命令注入漏洞,允許遠程攻擊者通過傳遞精心設計的命令在底層主機中注入命令。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://github.com/rancher/wrangler/security/advisories/GHSA-qrg7-hfx7-95c5
5. Fortinet FortiWeb 緩沖區(qū)錯誤漏洞(CNNVD-202302-1453)
Fortinet FortiWeb是美國飛塔(Fortinet)公司的一款Web應用層防火墻,它能夠阻斷如跨站點腳本、SQL注入、Cookie中毒、schema中毒等攻擊的威脅,保證Web應用程序的安全性并保護敏感的數(shù)據(jù)庫內(nèi)容。
Fortinet FortiWeb 5.x 所有版本、6.0.7 及之前版本、6.1.2 及之前版本、6.2.6 及之前版本、6.3.16 及之前版本、6.4所有版本存在安全漏洞,該漏洞源于代理守護程序中存在多個基于堆棧的緩沖區(qū)溢出漏洞,攻擊者利用該漏洞可以通過特制的 HTTP 請求實現(xiàn)任意代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://fortiguard.com/psirt/FG-IR-21-186
6. Schneider Electric Easy UPS Online Monitoring Software 訪問控制錯誤漏洞(CNNVD-202302-021)
Schneider Electric Easy UPS Online Monitoring Software是法國施耐德電氣(Schneider Electric)公司的一款電源監(jiān)控軟件。
Schneider Electric Easy UPS Online Monitoring Software存在訪問控制錯誤漏洞,該漏洞源于缺少關鍵功能的身份驗證,不會對需要可證明的用戶身份或消耗大量資源的功能執(zhí)行任何身份驗證。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://download.schneider-electric.com/files?p_Doc_SEVD-2022-347-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-01_Easy_UPS_Online_Monitoring_Software_Security_Notification.pdf
7. OpenSSH 資源管理錯誤漏洞(CNNVD-202302-205)
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD計劃組的一套用于安全訪問遠程計算機的連接工具。該工具是SSH協(xié)議的開源實現(xiàn),支持對所有的傳輸進行加密,可有效阻止竊聽、連接劫持以及其他網(wǎng)絡級的攻擊。
OpenSSH 存在資源管理錯誤漏洞,該漏洞源于options.kex_algorithms 處理期間引入了雙重釋放漏洞。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://ftp.openbsd.org/pub/OpenBSD/patches/7.2/common/017_sshd.patch.sig
8. Schneider Electric IGSS Data Server 輸入驗證錯誤漏洞(CNNVD-202302-022)
Schneider Electric IGSS Data Server是法國施耐德電氣(Schneider Electric)公司的一個交互式圖形 Scada 系統(tǒng)的數(shù)據(jù)服務器。
Schneider Electric IGSS Data Server V15.0.0.22073及之前版本存在輸入驗證錯誤漏洞,該漏洞源于存在整數(shù)溢出或環(huán)繞漏洞,可能導致基于堆的緩沖區(qū)溢出,從而在攻擊者發(fā)送多條特制消息時可能導致拒絕服務和遠程代碼執(zhí)行。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-01_IGSS_Security_Notification_V2.0.pdf
1.4.2 高危漏洞實例
2023年2月高危漏洞共775個,其中重要漏洞實例如表6所示。
表6 2023年2月高危漏洞實例
(詳情略)
1. WordPress plugin Mapwiz SQL注入漏洞(CNNVD-202302-939)
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網(wǎng)站。WordPress plugin是一個應用插件。
WordPress plugin Mapwiz 1.0.1 版本及之前版本存在SQL注入漏洞,該漏洞源于在使用用戶輸入數(shù)據(jù)拼接 SQL 語句之前,沒有對該數(shù)據(jù)進行轉(zhuǎn)義。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://wpscan.com/vulnerability/009578b9-016d-49c2-9577-49756c35e1e8
2. Qualcomm 芯片代碼問題漏洞(CNNVD-202302-867)
Qualcomm 芯片是美國高通(Qualcomm)公司的芯片。一種將電路(主要包括半導體設備,也包括被動組件等)小型化的方式,并時常制造在半導體晶圓表面上。
Qualcomm 芯片 modem 模塊存在安全漏洞,該漏洞源于由于在處理來自服務器的 TCP 或 UDP 數(shù)據(jù)包時缺少空檢查而導致 modem 中的拒絕服務。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.qualcomm.com/company/product-security/bulletins/february-2023-bulletin
3. Intel SUR 授權(quán)問題漏洞(CNNVD-202302-1476)
Intel SUR是美國英特爾(Intel)公司的一個軟件資產(chǎn)管理器軟件。
Intel(R) SUR software 2.4.8902之前版本存在安全漏洞,該漏洞源于身份驗證不正確。攻擊者利用該漏洞可以升級權(quán)限。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
http://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00729.html
4. Fortinet FortiWeb 操作系統(tǒng)命令注入漏洞(CNNVD-202302-1422)
Fortinet FortiWeb是美國飛塔(Fortinet)公司的一款Web應用層防火墻,它能夠阻斷如跨站點腳本、SQL注入、Cookie中毒、schema中毒等攻擊的威脅,保證Web應用程序的安全性并保護敏感的數(shù)據(jù)庫內(nèi)容。
Fortinet FortiWeb存在安全漏洞,該漏洞源于存在操作系統(tǒng)命令注入漏洞,經(jīng)過身份驗證的攻擊者利用該漏洞可以通過精心設計的HTTP請求參數(shù)執(zhí)行未經(jīng)授權(quán)的代碼或命令。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.fortinet.com/products/web-application-firewall/fortiweb
5. SAMSUNG Mobile devices 緩沖區(qū)錯誤漏洞(CNNVD-202302-672)
SAMSUNG Mobile devices是韓國三星(SAMSUNG)公司的一系列的三星移動設備,包括手機、平板等。
SAMSUNG Mobile devices SMR Jan-2023 Release 1之前版本存在安全漏洞,該漏洞源于libSDKRecognitionText.spensdk.samsung.so庫中的mapToBuffer函數(shù)存在越界讀取漏洞。攻擊者利用該漏洞導致內(nèi)存訪問錯誤。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://security.samsungmobile.com/securityUpdate.smsb?year=2023&month=01
6. Timescale TimescaleDB 訪問控制錯誤漏洞(CNNVD-202302-1197)
Timescale TimescaleDB是美國Timescale公司的一個開源數(shù)據(jù)庫軟件。旨在使 SQL 可擴展以適用于時間序列數(shù)據(jù)。
Timescale TimescaleDB 2.8.0 到 2.9.2版本存在訪問控制錯誤漏洞,該漏洞源于在安裝期間,TimescaleDB 創(chuàng)建一個遙測作業(yè),該作業(yè)以安裝用戶身份運行, 然而遙測數(shù)據(jù)收集的一部分運行查詢未在鎖定的“search_path”下運行,從而允許惡意用戶創(chuàng)建將由遙測作業(yè)執(zhí)行的函數(shù),攻擊者利用該漏洞可以導致權(quán)限提升。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://github.com/timescale/timescaledb/security/advisories/GHSA-44jh-j22r-33wq
7. Fortinet FortiWeb 資源管理錯誤漏洞(CNNVD-202302-1430)
Fortinet FortiWeb是美國飛塔(Fortinet)公司的一款Web應用層防火墻,它能夠阻斷如跨站點腳本、SQL注入、Cookie中毒、schema中毒等攻擊的威脅,保證Web應用程序的安全性并保護敏感的數(shù)據(jù)庫內(nèi)容。
Fortinet FortiWeb 7.0.0版本至7.0.3版本存在安全漏洞,該漏洞源于存在雙重釋放漏洞。攻擊者利用該漏洞通過特制命令執(zhí)行未經(jīng)授權(quán)的代碼或命令。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://fortiguard.com/psirt/FG-IR-22-348
8. Siemens SiPass Integrated 輸入驗證錯誤漏洞(CNNVD-202302-1146)
Siemens SiPass Integrated是德國西門子(Siemens)公司的一個功能強大且極其靈活的門禁控制系統(tǒng)。
Siemens SiPass Integrated AC5102 (ACC-G2)和SiPass integrated ACC-AP存在輸入驗證錯誤漏洞,該漏洞源于未正確清理telnet命令行界面上的用戶輸入,經(jīng)過身份驗證的攻擊者利用該漏洞可以通過注入以root權(quán)限執(zhí)行的任意命令來提升權(quán)限。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://cert-portal.siemens.com/productcert/pdf/ssa-658793.pdf
二、漏洞平臺推送情況
2023年2月漏洞平臺推送漏洞16479個。
表7 2023年2月漏洞平臺推送情況表
三、接報漏洞情況
2023年2月接報漏洞1207個,其中信息技術產(chǎn)品漏洞(通用型漏洞)637個,網(wǎng)絡信息系統(tǒng)漏洞(事件型漏洞)570個。
表8 2023年2月接報漏洞情況表
(詳情略)
四、重大漏洞通報
4.1 F5 BIG-IP安全漏洞的通報
近日,F(xiàn)5 BIG-IP 安全漏洞(CNNVD-202302-092、CVE-2023-22374)情況的報送。攻擊者可利用漏洞造成目標設備拒絕服務或執(zhí)行任意代碼。F5 BIG-IP 17.0.0版本,16.1.2.2版本至16.1.3版本,15.1.5.1版本至15.1.8版本,14.1.4.6版本至14.1.5版本,13.1.5版本等多個版本均受此漏洞影響。目前,F(xiàn)5官方已經(jīng)發(fā)布了漏洞修復補丁,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。
. 漏洞介紹
F5 BIG-IP是美國F5公司的一款集成了網(wǎng)絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。該漏洞源于iControl SOAP 中存在格式化字符串漏洞,攻擊者利用該漏洞可以使 iControl SOAP CGI 進程崩潰或執(zhí)行任意代碼。
. 危害影響
F5 BIG-IP 17.0.0版本,16.1.2.2版本至16.1.3版本,15.1.5.1版本至15.1.8版本,14.1.4.6版本至14.1.5版本,13.1.5版本等多個版本均受此漏洞影響。
. 修復建議
目前,F(xiàn)5官方已經(jīng)發(fā)布了新版本修復了漏洞,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。參考鏈接如下:
https://my.f5.com/manage/s/article/K4918
來源:CNNVD安全動態(tài)