2022年04月11日-2022年04月17日
本周漏洞態勢研判情況
國家信息安全漏洞共享平台(以下簡稱CNVD)本周共收集、整理信息安全漏洞311個,其中高危漏洞108個、中危漏洞177個、低危漏洞26個。漏洞平均分值為6.00。本周收錄的漏洞中,涉及0day漏洞196個(占63%),其中互聯網上出現「Appneta Tcpreplay緩衝區溢出漏洞、Pimcore SQL注入漏洞(CNVD-2022-29569)」等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數4626個,與上周(3611個)環比增加28%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數按周統計
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業單位通報漏洞事件31起,向基礎電信企業通報漏洞事件48起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件1778起,協調教育行業應急組織驗證和處置高校科研院所系統漏洞事件122起,向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件120起。
圖3 CNVD各行業漏洞處置情況按周統計
圖4 CNCERT各分中心處置情況按周統計
圖5 CNVD教育行業應急組織處置情況按周統計
此外,CNVD通過已建立的聯繫機制或涉事單位公開聯繫渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞,具體處置單位情況如下所示:
淄博閃靈網絡科技有限公司、珠海新華通軟件股份有限公司、珠海金山辦公軟件有限公司、重慶遠秋科技有限公司、正方軟件股份有限公司、浙江深大智能科技有限公司、浙江大華技術股份有限公司、長沙友點軟件科技有限公司、長沙米拓信息技術有限公司、長沙德尚網絡科技有限公司、友訊電子設備(上海)有限公司、用友網絡科技股份有限公司、易時代新圖軟件有限公司、兄弟(中國)商業有限公司、新天科技股份有限公司、小米科技有限責任公司、夏普商貿(中國)有限公司、西安九佳易信息資訊有限公司、西安菜瓜雲信息科技有限公司、西安佰聯網絡技術有限公司、武漢類森科技有限公司、溫州互引信息技術有限公司、微軟(中國)有限公司、網新科技集團有限公司、通用電氣(GE)公司、騰億網絡科技有限公司、太原迅易科技有限公司、蘇州萬戶網絡科技有限公司、蘇州科達科技股份有限公司、四平市九州易通科技有限公司、四川蜀天夢圖數據科技有限公司、思科系統(中國)網絡技術有限公司、深圳英飛拓科技股份有限公司、深圳維盟科技股份有限公司、深圳市迅捷通信技術有限公司、深圳市信銳網科技術有限公司、深圳市美科星通信技術有限公司、深圳市吉祥騰達科技有限公司、深圳市多度科技有限公司、深圳市博思高科技有限公司、深圳市必聯電子有限公司、深圳前海微眾銀行股份有限公司、深圳華視美達信息技術有限公司、深圳和新科技有限公司、上海卓卓網絡科技有限公司、上海新朋程信息科技有限公司、上海聲閱智能科技有限公司、上海商派網絡科技有限公司、上海夢之路數字科技有限公司、上海肯特儀表股份有限公司、上海華測導航技術股份有限公司、上海孚盟軟件有限公司、上海酆澤信息技術有限公司、上海泛微網絡科技股份有限公司、上海艾泰科技有限公司、熵基科技股份有限公司、山東金鐘科技集團股份有限公司、廈門四信通信科技有限公司、廈門海豹他趣信息技術股份有限公司、三星(中國)投資有限公司、潤申信息科技(上海)有限公司、青島自動化儀表有限公司、青島易軟天創網絡科技有限公司、麒麟軟件有限公司、普聯技術有限公司、邁普通信技術股份有限公司、靈寶簡好網絡科技有限公司、敬業鋼鐵有限公司、江蘇曼荼羅軟件股份有限公司、佳能(中國)有限公司、吉翁電子(深圳)有限公司、惠普貿易(上海)有限公司、華碩電腦(上海)有限公司、湖南建研信息技術股份有限公司、黑龍江立高科技股份有限公司、河北先河環保科技股份有限公司、河北白晶環境科技有限公司、杭州益仕行信息技術有限公司、杭州海康威視數字技術股份有限公司、杭州迪普科技股份有限公司、海南贊贊網絡科技有限公司、廣州易東信息安全技術有限公司、廣州圖創計算機軟件開發有限公司、廣州市保倫電子有限公司、廣州紅帆科技有限公司、廣聯達科技股份有限公司、廣東盈世計算機科技有限公司、廣東拓迪智能科技有限公司、高德軟件有限公司、富士膠片商業創新(中國)有限公司、福建鑫諾醫療股份有限公司、福建方維信息科技有限公司、東華醫為科技有限公司、東莞市智躍軟件科技有限公司、東莞市冬驚魚網絡科技有限公司、帝興軟件開發有限公司、成都星銳藍海網絡科技有限公司、成都萬江港利科技有限公司、北京易聊科技有限公司、北京億信華辰軟件有限責任公司、北京星網銳捷網絡技術有限公司、北京五指互聯科技有限公司、北京通達信科科技有限公司、北京神州視翰科技有限公司、北京清元優軟科技有限公司、北京派網軟件有限公司、北京謀智火狐信息技術有限公司、北京靈州網絡技術有限公司、北京獵鷹安全科技有限公司、北京九思協同軟件有限公司、北京京東叄佰陸拾度電子商務有限公司、北京金和網絡股份有限公司、北京東華萬興軟件有限公司、安科瑞電氣股份有限公司、安徽旭帆信息科技有限公司、安徽省科大奧銳科技有限公司、安徽科迅教育裝備集團有限公司、阿里巴巴集團安全應急響應中心、百度安全應急響應中心、簡單CMS、熊海CMS、信呼、小z博客、Yeelight、worldeyecam、WEAVEWORKS、The Apache Software Foundation、TaoCMS、Sonatype、Solar monitor、SEACMS、phpMyAdmin、Oracle、NETGEAR、mySCADA Technologies、Mlflow、Ivanti、HashiCorp、Glyph & Cog, LLC、Geovision、fibergate、emlog、Dreamer CMS、DaiCuo、CODESYS Group、Alpha Technologies、ABB集團。
本周,CNVD發布了《Microsoft發布2022年4月安全更新》。詳情參見CNVD網站公告內容。
https://www.cnvd.org.cn/webinfo/show/7601
本周漏洞報送情況統計
本周報送情況如表1所示。其中,深信服科技股份有限公司、新華三技術有限公司、杭州安恆信息技術股份有限公司、安天科技集團股份有限公司、北京天融信網絡安全技術有限公司等單位報送公開收集的漏洞數量較多。重慶都會信息科技有限公司、杭州海康威視數字技術股份有限公司、杭州默安科技有限公司、貴州泰若數字科技有限公司、內蒙古洞明科技有限公司、北京山石網科信息技術有限公司、長春嘉誠信息技術股份有限公司、上海紐盾科技股份有限公司、廣州百蘊啟辰科技有限公司、河南東方雲盾信息技術有限公司、任子行網絡技術股份有限公司、浙江大學控制科學與工程學院、杭州美創科技有限公司、北方實驗室(瀋陽)股份有限公司、北京威努特技術有限公司、廣西等保安全測評有限公司、武漢安域信息安全技術有限公司、河南靈創電子科技有限公司、墨菲未來科技(北京)有限公司、河南信安世紀科技有限公司、廣東藍爵網絡安全技術股份有限公司、北京遠禾科技有限公司、海南神州希望網絡有限公司、上海上訊信息技術股份有限公司、快頁信息技術有限公司、北京機沃科技有限公司、廣西塔易信息技術有限公司、江蘇保旺達軟件技術有限公司、山石網科通信技術股份有限公司、北京冠程科技有限公司、河南金盾信安檢測評估中心有限公司、河北華測信息技術有限公司及其他個人白帽子向CNVD提交了4626個以事件型漏洞為主的原創漏洞,其中包括上海交大和奇安信網神(補天平台)向CNVD共享的白帽子報送的1712條原創漏洞信息。
表1 漏洞報送情況統計表
本周漏洞按類型和廠商統計
本周,CNVD收錄了311個漏洞。WEB應用114個,應用程序83個,網絡設備(交換機、路由器等網絡端設備)55個,操作系統30個,智能設備(物聯網終端設備)26個,數據庫3個。
表2 漏洞按影響類型統計表
圖6 本周漏洞按影響類型分布
CNVD整理和發布的漏洞涉及Siemens、Google、WordPress等多家廠商的產品,部分漏洞數量按廠商統計如表3所示。
表3 漏洞產品涉及廠商分布統計表
本周,CNVD收錄了收錄了27個電信行業漏洞,27個移動互聯網行業漏洞,21個工控行業漏洞(如下圖所示)。其中,「Google Android權限提升漏洞(CNVD-2022-28921)、SiemensSIMATIC Energy Manager訪問控制錯誤漏洞」等漏洞的綜合評級為「高危」。相關廠商已經發布了漏洞的修補程序,請參照CNVD相關行業漏洞庫鏈接。
電信行業漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯網行業漏洞鏈接:http://mi.cnvd.org.cn/
工控系統行業漏洞鏈接:http://ics.cnvd.org.cn/
圖7 電信行業漏洞統計
圖8 移動互聯網行業漏洞統計
圖9 工控系統行業漏洞統計
本周重要漏洞安全告警
本周,CNVD整理和發布以下重要安全漏洞信息。
1、WordPress產品安全漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發的博客平台。該平台支持在PHP和MySQL的服務器上架設個人博客網站。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞在客戶端執行JavaScript代碼,上傳任意文件,竊取數據庫敏感數據等。
CNVD收錄的相關漏洞包括:WordPress插件授權問題漏洞、WordPress Social Sharing plugin跨站腳本漏洞、WordPress Popup Like box plugin跨站腳本漏洞、WordPress Pz-LinkCard plugin跨站腳本漏洞、WordPress Sermon Browser plugin跨站請求偽造漏洞、WordPress Plezi plugin跨站腳本漏洞、WordPress Popup Builder plugin SQL注入漏洞、WordPress Narnoo Distributor plugin路徑遍歷漏洞。其中,「WordPress Popup Builder plugin SQL注入漏洞」的綜合評級為「高危」。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28801
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29855
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29858
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29857
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29856
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29860
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29859
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29862
2、Siemens產品安全漏洞
SCALANCE X switches用於連接可編程邏輯控制器等工業組件(PLC)或人機界面(HMI)。SIPLUS extreme專為在極端條件下可靠運行而設計。Simcenter Femap是一種高級仿真應用程序,用於創建、編輯和檢查複雜產品或系統的有限元模型。SIMATIC PCS neo是一種分布式控制系統 (DCS)。TIA Administrator是一個基於Web的框架。Siemens NetworkPlanner (SINETPLAN) 支持您作為基於 PROFINET 的自動化系統的規劃者。TIA Portal是一款PC軟件。SIMATIC S7-400 CPU系列產品專為工業環境中的過程控制而設計。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞在設備上執行任意代碼,導致拒絕服務等。
CNVD收錄的相關漏洞包括:Siemens SCALANCE X-300 Switch Family Devices緩衝區溢出漏洞(CNVD-2022-28480、CNVD-2022-28484、CNVD-2022-28479)、SiemensSCALANCE X-300 Switch Family Devices跨站請求偽造漏洞、Siemens Simcenter Femap存在越界寫入漏洞(CNVD-2022-28488)、SiemensTIA Administrator拒絕服務漏洞、Siemens SimcenterFemap越界讀取漏洞(CNVD-2022-28490)、SiemensSIMATIC S7-400 CPU拒絕服務漏洞。上述漏洞的綜合評級為「高危」。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28480
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28479
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28484
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28483
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28488
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28491
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28490
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28495
3、Google產品安全漏洞
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Android是一套以Linux為基礎的開源操作系統。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞在系統上執行任意代碼或造成拒絕服務情況,提升權限等。
CNVD收錄的相關漏洞包括:Google Chrome V8代碼執行漏洞(CNVD-2022-28467)、GoogleChrome File System API信息泄露漏洞、Google Android權限提升漏洞(CNVD-2022-28909、CNVD-2022-28911、CNVD-2022-28910、CNVD-2022-28917、CNVD-2022-28915、CNVD-2022-28918)。其中,除「Google Android權限提升漏洞(CNVD-2022-28917、CNVD-2022-28915、CNVD-2022-28918)」外,其餘漏洞的綜合評級為「高危」。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28467
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28466
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28909
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28911
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28910
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28917
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28915
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28918
4、Microsoft產品安全漏洞
Microsoft Windows是一款由美國微軟公司開發的窗口化操作系統。Microsoft Office是一款辦公軟件套件產品。該產品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等。MicrosoftSharePoint是一套企業業務協作平台。該平台用於對業務信息進行整合,並能夠共享工作、與他人協同工作、組織項目和工作組、搜索人員和信息。Microsoft Visual Studio Code是一款開源的代碼編輯器。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞在目標主機上執行代碼、提升權限等。
CNVD收錄的相關漏洞包括:Microsoft Windows Win32k權限提升漏洞(CNVD-2022-29559、CNVD-2022-29560)、Microsoft Windows Telephony Server權限提升漏洞(CNVD-2022-29562)、MicrosoftWindows Upgrade Assistant遠程代碼執行漏洞(CNVD-2022-29561)、Microsoft Office遠程代碼執行漏洞(CNVD-2022-29564)、MicrosoftWindows Kernel信息泄露漏洞(CNVD-2022-29563)、MicrosoftSharePoint Server欺騙漏洞(CNVD-2022-29567)、Microsoft Visual Studio Code代碼注入漏洞(CNVD-2022-29568)。其中,「Microsoft Windows Win32k權限提升漏洞(CNVD-2022-29559、CNVD-2022-29560)、Microsoft Office遠程代碼執行漏洞(CNVD-2022-29564)」的綜合評級為「高危」。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29559
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29562
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29561
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29560
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29564
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29563
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29567
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29568
5、Linux kernel緩衝區溢出漏洞(CNVD-2022-29295)
Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。本周,Linuxkernel被披露存在緩衝區溢出漏洞。攻擊者可利用該漏洞繞過Linux內核的訪問限制,通過特定內容來讀取或修改數據。目前,廠商尚未發布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29295
小結:本周,WordPress產品被披露存在多個漏洞,攻擊者可利用漏洞在客戶端執行JavaScript代碼,上傳任意文件,竊取數據庫敏感數據等。此外,Siemens、Google、Microsoft等多款產品被披露存在多個漏洞,攻擊者可利用漏洞在系統上執行任意代碼,提升權限導致拒絕服務等。另外,Linux kernel被披露存在緩衝區溢出漏洞。攻擊者可利用該漏洞繞過Linux內核的訪問限制,通過特定內容來讀取或修改數據。建議相關用戶隨時關註上述廠商主頁,及時獲取修復補丁或解決方案。
本周重要漏洞攻擊驗證情況
本周,CNVD建議注意防範以下已公開漏洞攻擊驗證情況。
1、Pimcore SQL注入漏洞(CNVD-2022-29569)
驗證描述
Pimcore是奧地利Pimcore公司的一套開源的用於創建和管理Web應用程序的Web內容管理平台。該平台集成了Web內容管理、電子商務框架和產品信息管理等應用。
Pimcore 10.3.5之前版本存在SQL注入漏洞,該漏洞源於ElementController.php缺少對外部輸入SQL語句的驗證,攻擊者可利用該漏洞執行非法SQL命令竊取數據庫敏感數據。
驗證信息
POC鏈接:
https://huntr.dev/bounties/ae8dc737-844e-40da-a9f7-e72d8e50f6f9/
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29569
信息提供者
新華三技術有限公司
註:以上驗證信息(方法)可能帶有攻擊性,僅供安全研究之用。請廣大用戶加強對漏洞的防範工作,儘快下載相關補丁。
關於CNVD
國家信息安全漏洞共享平台(China National Vulnerability Database,簡稱CNVD)是CNCERT聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的信息安全漏洞信息共享知識庫,致力於建立國家統一的信息安全漏洞收集、發布、驗證、分析等應急處理體系。
關於CNCERT
國家計算機網絡應急技術處理協調中心(簡稱「國家互聯網應急中心」,英文簡稱是CNCERT或CNCERT/CC),成立於2002年9月,為非政府非盈利的網絡安全技術中心,是我國網絡安全應急體系的核心協調機構。
作為國家級應急中心,CNCERT的主要職責是:按照「積極預防、及時發現、快速響應、力保恢復」的方針,開展互聯網網絡安全事件的預防、發現、預警和協調處置等工作,維護國家公共互聯網安全,保障基礎信息網絡和重要信息系統的安全運行。
網址:www.cert.org.cn
郵箱:vreport@cert.org.cn
電話:010-82991537
關注CNVD漏洞平台
留言列表