您所在的位置: 首頁 >
安全研究 >
安全通告 >
CNVD漏洞周報2022年第11期
本周漏洞態勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞576個,其中高危漏洞172個、中危漏洞340個、低危漏洞64個。漏洞平均分值為5.81。本周收錄的漏洞中,涉及0day漏洞289個(占50%),其中互聯網上出現“Snipe-IT跨站腳本漏洞(CNVD-2022-19845)、PeteReport跨站請求偽造漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數4022個,與上周(4325個)環比減少7%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數按周統計
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業單位通報漏洞事件21起,向基礎電信企業通報漏洞事件59起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件690起,協調教育行業應急組織驗證和處置高??蒲性核到y漏洞事件96起,向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件61起。
圖3 CNVD各行業漏洞處置情況按周統計
圖4 CNCERT各分中心處置情況按周統計
圖5 CNVD教育行業應急組織處置情況按周統計
此外,CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞,具體處置單位情況如下所示:
遵義欣騰達信息技術有限公司、淄博閃靈網絡科技有限公司、逐鹿科技有限公司上海分公司、珠海派諾科技股份有限公司、珠海金山辦公軟件有限公司、中新網絡信息安全股份有限公司、中科博華信息科技有限公司、鄭州天邁科技股份有限公司、正方軟件股份有限公司、浙江浙大中控信息技術有限公司、長沙友點軟件科技有限公司、漳州豆殼網絡科技有限公司、友訊電子設備(上海)有限公司、兄弟(中國)商業有限公司、暇光軟件科技(上海)有限公司、武漢神州數碼云科網絡技術有限公司、武漢達夢數據庫股份有限公司、溫州互引信息技術有限公司、微軟(中國)有限公司、天津南大通用數據技術股份有限公司、太原迅易科技有限公司、索尼(中國)有限公司、蘇州同牧網絡科技有限公司、蘇州科達科技股份有限公司、四創科技有限公司、四川迅睿云軟件開發有限公司、深圳小信科技有限公司、深圳市迅雷網絡技術有限公司、深圳市深海捷科技有限公司、深圳市明源云科技有限公司、深圳市朗馳欣創科技股份有限公司、深圳市科邁通訊技術有限公司、深圳市吉祥騰達科技有限公司、深圳市和為順網絡技術有限公司、深圳市博思協創網絡科技有限公司、深圳市必聯電子有限公司、深圳飛思安諾網絡技術有限公司、深一科技集團有限公司、上海卓卓網絡科技有限公司、上海銀狐信息科技有限公司、上海七牛信息技術有限公司、上海脈信網絡科技有限公司、上海斐訊數據通信技術有限公司、上海泛微網絡科技股份有限公司、上海二三四五網絡科技有限公司、上海創圖網絡科技股份有限公司、上海貝銳信息科技股份有限公司、熵基科技股份有限公司、陜西漢投中小企業金融服務有限公司、山石網科通信技術股份有限公司、山脈科技股份有限公司、山東資略信息技術有限公司、廈門科汛軟件有限公司、廈門科拓通訊技術股份有限公司、群暉網絡科技(上海)有限公司、青島極光軟件科技有限公司、南京致匯達網絡科技有限公司、南京數旗科技有限公司、南京埃斯頓自動化股份有限公司、靈寶簡好網絡科技有限公司、聯奕科技股份有限公司、吉翁電子(深圳)有限公司、惠普貿易(上海)有限公司、淮南市銀泰軟件科技有限公司、河南碩朗通訊有限公司、杭州易軟共創網絡科技有限公司、杭州聯創信息技術有限公司、杭州??低晹底旨夹g股份有限公司、杭州飛致云信息科技有限公司、杭州當虹科技股份有限公司、瀚高基礎軟件股份有限公司、海南贊贊網絡科技有限公司、廣州市動景計算機科技有限公司、廣州魯邦通物聯網科技股份有限公司、廣州巨杉軟件開發有限公司、廣州紅帆科技有限公司、廣州恒企教育科技有限公司、廣州好象科技有限公司、廣西金中軟件集團有限公司、廣聯達科技股份有限公司、福州網鈦軟件科技有限公司、福建銀達匯智信息科技股份有限公司、福建升騰資訊有限公司、烽火通信科技股份有限公司、東芝(中國)有限公司、東華醫為科技有限公司、東華軟件股份公司、大連華天軟件有限公司、北京字節跳動科技有限公司、北京中慶納博信息技術有限公司、北京亞控科技發展有限公司、北京星網銳捷網絡技術有限公司、北京五指互聯科技有限公司、北京通達信科科技有限公司、北京人大金倉信息技術股份有限公司、北京平凱星辰科技發展有限公司、北京派網軟件有限公司、北京京東叁佰陸拾度電子商務有限公司、北京慧圖科技(集團)股份有限公司、北京超圖軟件股份有限公司、北京百卓網絡技術有限公司、安徽中技國醫醫療科技有限公司、安徽省科大奧銳科技有限公司、愛普生(中國)有限公司、阿里巴巴集團安全應急響應中心、騰訊安全應急響應中心、易貝CMS、信呼、zzcms、Yamaha Corporation、VyOS、Vmware、The PostgreSQL Global Development Group、The Apache SoftwareFoundation、SonicWall、SemCms、SchoolCMS、PingCAP、PHPMyWind、Notable、MuYuCMS、Geovision、ForU CMS、emlog、DrayTek Corp.、Dynacolor, Inc.和Adobe。
本周漏洞報送情況統計
本周報送情況如表1所示。其中,新華三技術有限公司、安天科技集團股份有限公司、北京天融信網絡安全技術有限公司、北京神州綠盟科技有限公司、杭州安恒信息技術股份有限公司等單位報送公開收集的漏洞數量較多。重慶都會信息科技有限公司、長春嘉誠信息技術股份有限公司、杭州默安科技有限公司、北京山石網科信息技術有限公司、江蘇保旺達軟件技術有限公司、南京樹安信息技術有限公司、貴州多彩寶互聯網服務有限公司、山東云天安全技術有限公司、華魯數智信息技術(北京)有限公司、開元華創科技(集團)有限公司、星云博創科技有限公司、上海見形信息科技有限公司、天津偕行科技有限公司、北京安華金和科技有限公司、武漢安域信息安全技術有限公司、深圳昂楷科技有限公司、貴州泰若數字科技有限公司、河南靈創電子科技有限公司、上海紐盾科技股份有限公司、博智安全科技股份有限公司、河南信安世紀科技有限公司、任子行網絡技術股份有限公司、上海市信息安全測評認證中心、思而聽網絡科技有限公司、內蒙古洞明科技有限公司、廣西等保安全測評有限公司、杭州美創科技有限公司、天津啟明星辰信息技術有限公司、蘇州棱鏡七彩信息科技有限公司、交通運輸信息安全中心有限公司(TISEC洪椒戰隊)、廣西塔易信息技術有限公司、武漢非尼克斯軟件技術有限公司、廣州安億信軟件科技有限公司、北京冠程科技有限公司、南京禾盾信息科技有限公司及其他個人白帽子向CNVD提交了4022個以事件型漏洞為主的原創漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信網神(補天平臺)向CNVD共享的白帽子報送的2104條原創漏洞信息。
表1 漏洞報送情況統計表
本周漏洞按類型和廠商統計
本周,CNVD收錄了576個漏洞。WEB應用271個,應用程序130個,網絡設備(交換機、路由器等網絡端設備)75個,操作系統44個,智能設備(物聯網終端設備)33個,數據庫17個,安全產品6個。
表2 漏洞按影響類型統計表
圖6 本周漏洞按影響類型分布
CNVD整理和發布的漏洞涉及WordPress、Huawei、Google等多家廠商的產品,部分漏洞數量按廠商統計如表3所示。
表3 漏洞產品涉及廠商分布統計表
本周行業漏洞收錄情況
本周,CNVD收錄了51個電信行業漏洞,26個移動互聯網行業漏洞,4個工控行業漏洞(如下圖所示)。其中,“D-Link DIR-859緩沖區溢出漏洞、Tenda-AX3緩沖區溢出漏洞、Huawei Emui和MagicUI堆緩沖區溢出漏洞”等漏洞的綜合評級為“高?!?。相關廠商已經發布了漏洞的修補程序,請參照CNVD相關行業漏洞庫鏈接。
電信行業漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯網行業漏洞鏈接:http://mi.cnvd.org.cn/
工控系統行業漏洞鏈接:http://ics.cnvd.org.cn/
圖7 電信行業漏洞統計
圖8 移動互聯網行業漏洞統計
圖9 工控系統行業漏洞統計
本周重要漏洞安全告警
本周,CNVD整理和發布以下重要安全漏洞信息。
1、T產品安全漏洞P-Link
TP-Link TL-WR886N是中國普聯(TP-Link)公司的一款路由器。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞使應用程序崩潰,在系統上執行任意代碼。
CNVD收錄的相關漏洞包括:TP-Link TL-WR886N緩沖區溢出漏洞(CNVD-2022-20072、CNVD-2022-20075、CNVD-2022-20074、CNVD-2022-20073、CNVD-2022-20077、CNVD-2022-20076)、TP-Link TL-WR886N棧溢出漏洞(CNVD-2022-20081、CNVD-2022-20080)。上述漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20072
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20075
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20074
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20073
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20077
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20076
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20081
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20080
2、Fortinet產品安全漏洞
Fortinet FortiMail是美國飛塔(Fortinet)公司的一套電子郵件安全網關產品。該產品提供電子郵件安全防護和數據保護等功能。Fortinet FortiWeb是美國飛塔(Fortinet)公司的一款Web應用層防火墻,它能夠阻斷如跨站點腳本、SQL注入、Cookie中毒、schema中毒等攻擊的威脅,保證Web應用程序的安全性并保護敏感的數據庫內容。Fortinet FortiExtender是美國飛塔(Fortinet)公司的一款無線WAN(廣域網)擴展器設備。Fortinet FortiClientEms是美國Fortinet公司的一個集中式中央管理系統。Fortinet FortiNAC是美國飛塔(Fortinet)公司的一套網絡訪問控制解決方案。該產品主要用于網絡訪問控制和物聯網安全防護。Fortinet FortiProxy SSL VPN是美國Fortinet公司的一個應用軟件。提供了一個入侵檢測功能。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞對其進行解密并顯示或更改其內容,在設備文件系統中執行任意文件和目錄刪除,通過特制的命令執行任意代碼等。
CNVD收錄的相關漏洞包括:Fortinet FortiMail跨站腳本漏洞(CNVD-2022-19073)、Fortinet FortiWeb路徑遍歷漏洞(CNVD-2022-19072)、Fortinet FortiExtender命令注入漏洞、Fortinet FortiClientEms代碼問題漏洞、Fortinet FortiNAC權限提升漏洞、Fortinet FortiProxy SSL VPN跨站請求偽造漏洞、Fortinet FortiWeb緩沖區溢出漏洞(CNVD-2022-19074)、Fortinet FortiMail加密問題漏洞。其中,“Fortinet FortiWeb路徑遍歷漏洞(CNVD-2022-19072)、Fortinet FortiExtender命令注入漏洞、Fortinet FortiClientEms代碼問題漏洞、Fortinet FortiNAC權限提升漏洞” 的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-19073
https://www.cnvd.org.cn/flaw/show/CNVD-2022-19072
https://www.cnvd.org.cn/flaw/show/CNVD-2022-19071
https://www.cnvd.org.cn/flaw/show/CNVD-2022-19077
https://www.cnvd.org.cn/flaw/show/CNVD-2022-19076
https://www.cnvd.org.cn/flaw/show/CNVD-2022-19075
https://www.cnvd.org.cn/flaw/show/CNVD-2022-19074
https://www.cnvd.org.cn/flaw/show/CNVD-2022-19078
3、Huawei產品安全漏洞
Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。Huawei eCNS280_TD是中國華為(Huawei)公司的無線寬帶集群系統的核心網設備。Huawei ESE620X vESS是中國華為(Huawei)公司的一個虛擬企業服務控制器。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,繞過目標系統上的授權過程,導致拒絕服務等。
CNVD收錄的相關漏洞包括:Huawei Emui和Magic UI緩沖區溢出漏洞(CNVD-2022-20296)、Huawei Emui和Magic UI堆緩沖區溢出漏洞、Huawei Emui和Magic UI拒絕服務漏洞(CNVD-2022-20298)、Huawei Emui和Magic UI類型混淆漏洞、Huawei Emui和Magic UI IFAA模塊越界讀取漏洞、Huawei Emui和Magic UI camera組件空指針解引用漏洞、Huawei eCNS280_TD和ESE620X vESS授權問題漏洞、Huawei eCNS280_TD和ESE620X vESS越界讀取漏洞。其中,“Huawei Emui和Magic UI緩沖區溢出漏洞(CNVD-2022-20296)、Huawei Emui和Magic UI堆緩沖區溢出漏洞、Huawei Emui和Magic UI拒絕服務漏洞(CNVD-2022-20298)、Huawei Emui和Magic UI IFAA模塊越界讀取漏洞”的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20296
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20295
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20298
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20297
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20300
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20305
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20324
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20323
4、Google產品安全漏洞
Google Android Automotive Os是美國谷歌(Google)公司的一種直接在車載硬件上運行的操作系統和平臺。Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,繞過安全限制,在系統上執行任意代碼或造成拒絕服務情況等。
CNVD收錄的相關漏洞包括:Google Android Automotive Os信息泄露漏洞、Google Chrome安全特征問題漏洞(CNVD-2022-20550)、Google Chrome GPU代碼執行漏洞(CNVD-2022-20554)、Google Chrome Mojo整數溢出漏洞、Google Chrome Animation代碼執行漏洞、Google Chrome安全特征問題漏洞(CNVD-2022-20551)、Google Chrome Tab Groups緩沖區溢出漏洞、Google Chrome Webstore API代碼執行漏洞。其中,除“Google Android Automotive Os信息泄露漏洞”外,其余漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20539
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20550
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20554
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20553
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20552
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20551
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20557
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20556
5、Tenda AX12緩沖區溢出漏洞
Tenda AX12是中國騰達(Tenda)公司的一款雙頻千兆Wifi6無線路由器。本周,Tenda AX12被披露存在緩沖區溢出漏洞。該漏洞源于函數sub_422CE4中包含堆棧緩沖區溢出。攻擊者可利用該漏洞通過strcpy參數引發拒絕服務(DoS)。目前,廠商尚未發布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-20581
小結:本周,TP-Link產品被披露存在多個漏洞,攻擊者可利用漏洞使應用程序崩潰,在系統上執行任意代碼。此外,Fortinet、Huawei、Google等多款產品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,繞過安全限制,在系統上執行任意代碼,導致拒絕服務等。另外,Tenda AX12被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞通過strcpy參數引發拒絕服務 (DoS)。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
本周重要漏洞攻擊驗證情況
本周,CNVD建議注意防范以下已公開漏洞攻擊驗證情況。
1、Snipe-IT跨站腳本漏洞(CNVD-2022-19845)
驗證描述
Snipe-IT是一套開源IT資產/許可證管理系統。
Snipe-IT存在跨站腳本漏洞,該漏洞源于WEB應用缺少對客戶端數據的正確驗證,攻擊者可利用該漏洞執行客戶端代碼。
驗證信息
POC鏈接:
https://huntr.dev/bounties/6dccc49e-3843-4a4a-b397-5c659e5f8bfe/
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-19845
信息提供者
哈爾濱安天科技集團股份有限公司
注:以上驗證信息(方法)可能帶有攻擊性,僅供安全研究之用。請廣大用戶加強對漏洞的防范工作,盡快下載相關補丁。
來源:CNVD漏洞平臺