您所在的位置: 首页 >
安全研究 >
安全通告 >
2022年CNVD漏洞周报第32期
2022年08月08日-2022年08月14日)
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞548个,其中高危漏洞158个、中危漏洞300个、低危漏洞90个。漏洞平均分值为5.60。本周收录的漏洞中,涉及0day漏洞275个(占50%),其中互联网上出现“PESCMS跨站请求伪造漏洞(CNVD-2022-56093)、Online Fire Reporting System跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数5952个,与上周(6731个)环比减少12%。
图1 CNVD收录漏洞近10周平均分值分布图
本周漏洞事件处置情况
本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件19起,向基础电信企业通报漏洞事件15起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件504起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件127起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件50起。
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:(略)
本周,CNVD发布了《Microsoft发布2022年8月安全更新》。详情参见CNVD网站公告内容。
https://www.cnvd.org.cn/webinfo/show/7986
本周漏洞报送情况统计
本周报送情况如表1所示。其中,北京神州绿盟科技有限公司、新华三技术有限公司、深信服科技股份有限公司、安天科技集团股份有限公司、天津市国瑞数码安全系统股份有限公司等单位报送公开收集的漏洞数量较多。北京华顺信安科技有限公司、中国电信股份有限公司网络安全产品运营中心、河南信安世纪科技有限公司、贵州泰若数字科技有限公司、奇安星城网络安全运营服务(长沙)有限公司、河南东方云盾信息技术有限公司、山石网科通信技术股份有限公司、杭州迪普科技股份有限公司、星云博创科技有限公司、西门子(中国)有限公司、浙江木链物联网科技有限公司、平安银河实验室、广州安亿信软件科技有限公司、江苏天竞云合数据技术有限公司、上海纽盾科技股份有限公司、北京威努特技术有限公司、苏州棱镜七彩信息科技有限公司、重庆都会信息科技、北京六方云信息技术有限公司、福建省海峡信息技术有限公司、内蒙古洞明科技有限公司、河南灵创电子科技有限公司、博智安全科技股份有限公司、江苏耘和计算机系统工程有限公司、山东新潮信息技术有限公司、北京百度网讯科技有限公司、中科汇能科技有限公司、广电奇安网络科技(重庆)有限公司、黑龙江亿林网络股份有限公司、上海嘉韦思信息技术有限公司、京数安(北京)科技有限公司及其他个人白帽子向CNVD提交了5952个以事件型漏洞为主的原创漏洞,其中包括斗象科技(漏洞盒子)、上海交大、奇安信网神(补天平台)和三六零数字安全科技集团有限公司向CNVD共享的白帽子报送的4573条原创漏洞信息。
表1 漏洞报送情况统计表(略)
本周漏洞按类型和厂商统计
本周,CNVD收录了548个漏洞。WEB应用257个,应用程序174个,网络设备(交换机、路由器等网络端设备)73个,智能设备(物联网终端设备)33个,安全产品6个,操作系统5个。
表2 漏洞按影响类型统计表
图2 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及WordPress、Microsoft、Adobe等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,CNVD收录了60个电信行业漏洞,15个移动互联网行业漏洞,4个工控行业漏洞(如下图所示)。其中,“Cisco Small Business缓冲区溢出漏洞(CNVD-2022-56085)、D-Link DSL-3782缓冲区溢出漏洞(CNVD-2022-56666)”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图3 电信行业漏洞统计
图4 移动互联网行业漏洞统计
图5 工控系统行业漏洞统计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、IBM产品安全漏洞
IBM PowerVM VIOS是美国万国商业机器(IBM)的一个位于逻辑分区中的软件。该软件有助于在服务器内的客户端逻辑分区之间共享物理 I/O 资源。IBM Security Verify Information Queue是美国IBM公司的一个集成产品。利用 Kafka 技术和发布/订阅模型来集成 IBM Security 产品之间的数据。IBM Robotic Process Automation是美国IBM公司的一种机器人流程自动化产品。可帮助您以传统 RPA 的轻松和速度大规模自动化更多业务和 IT 流程。IBM QRadar Network Security是美国IBM公司的一个网络安全管理器。用于提供对网络上的活动和用户的更好的可见性和控制,同时使用深度数据包检查、启发式和基于行为的分析来检测和预防高级威胁。IBM Spectrum Protect Operations Center是美国IBM公司的一个为IBM Spectrum Protect环境提供可视化控制的软件。IBM CICS TX Advanced是美国IBM公司的一个综合的、单一的事务运行时包。可以为独立应用程序提供云原生部署模型。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞伪造恶意请求诱骗受害者点击执行敏感操作,可以获得登录访问令牌,篡改系统配置或导致拒绝服务等。
CNVD收录的相关漏洞包括:IBM PowerVM VIOS拒绝服务漏洞、IBM Security Verify Information Queue跨站请求伪造漏洞(CNVD-2022-55633)、IBM Robotic Process Automation访问控制错误漏洞、IBM QRadar Network Security信任管理问题漏洞、IBM QRadar Network Security信息泄露漏洞(CNVD-2022-55637)、IBM Spectrum Protect Operations Center暴力破解漏洞、IBM Robotic Process Automation信息泄露漏洞(CNVD-2022-55663)、IBM CICS TX Advanced访问控制错误漏洞。其中,“IBM PowerVM VIOS拒绝服务漏洞、IBM Spectrum Protect Operations Center暴力破解漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55629
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55633
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55632
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55636
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55637
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55664
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55663
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56086
2、Adobe产品安全漏洞
Adobe InCopy是美国Adobe公司的一款用于创作的文本编辑软件。Adobe Acrobat和Adobe Reader都是美国奥多比(Adobe)公司的产品。Adobe Acrobat是一套PDF文件编辑和转换工具。Adobe Reader是一套PDF文档阅读软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过特制数据可以触发超过分配缓冲区末尾的写入,在系统上执行任意代码。
CNVD收录的相关漏洞包括:Adobe InCopy缓冲区溢出漏洞(CNVD-2022-55642、CNVD-2022-55644)、Adobe Acrobat和Adobe Reader资源管理错误漏洞(CNVD-2022-56090、CNVD-2022-56092、CNVD-2022-56258)、Adobe Acrobat和Adobe Reader缓冲区溢出漏洞(CNVD-2022-56132、CNVD-2022-56130、CNVD-2022-56133)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55642
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55644
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56090
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56092
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56132
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56130
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56133
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56258
3、Siemens产品安全漏洞
Simcenter STAR-CCM+是一个多物理计算流体动力学(CFD)软件,用于模拟在真实世界条件下运行的产品。SCALANCE M-800、MUM-800和S615以及RUGGEDCOM RM1224工业路由器用于通过移动网络(如GPRS或UMTS)安全远程访问工厂,并具有防火墙的集成安全功能,以防止未经授权的访问,以及VPN来保护数据传输。SCALANCE SC-600设备(SC622-2C、SC632-2C、SC636-2C,SC642-2C、SC646-2C)用于保护受信任的工业网络免受不受信任的网络攻击。它们允许以不同的方式过滤传入和传出网络连接。SCALANCE W-1700产品是基于IEEE 802.11ac标准的无线通信设备。SCALANCE W-700产品是基于IEEE 802.11ax标准的无线通信设备。SCALANCE X switches用于连接工业部件,如可编程逻辑控制器(PLC)或人机接口(HMI)。Siemens Comos是德国西门子(Siemens)公司的一个工厂工程软件解决方案。用于过程工业。Siemens Syngo FastView是德国西门子(Siemens)公司的一个Dicom交换媒体上提供的Dicom 2图像的独立查看器。Teamcenter软件是一个现代化的、适应性强的产品生命周期管理 (PLM) 系统,它通过数字线程将人员和流程跨功能孤岛连接起来,以实现创新。SICAM A8000 RTU(远程终端装置)系列是一个模块化设备系列,适用于所有能源供应领域的远程控制和自动化应用。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞从组件(如内部网络拓扑或连接的系统)检索调试级别信息,执行远程代码,造成拒绝服务情况等。
CNVD收录的相关漏洞包括:Siemens Teamcenter命令注入漏洞、Siemens Teamcenter拒绝服务漏洞、Siemens SICAM A8000 Web Server Module身份验证绕过漏洞、Siemens Simcenter STAR-CCM+信息泄露漏洞、Siemens SCALANCE产品命令注入漏洞、Siemens Comos代码问题漏洞、Siemens Syngo FastView越界写入漏洞(CNVD-2022-56511、CNVD-2022-56512)。其中,“Siemens Teamcenter命令注入漏洞、Siemens Teamcenter拒绝服务漏洞、Siemens SCALANCE产品命令注入漏洞、Siemens Syngo FastView越界写入漏洞(CNVD-2022-56511、CNVD-2022-56512)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56473
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56472
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56478
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56477
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56476
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56510
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56511
https://www.cnvd.org.cn/flaw/show/CNVD-2022-56512
4、JetBrains产品安全漏洞
JetBrains TeamCity是捷克JetBrains公司的一套分布式构建管理和持续集成工具。该工具提供持续单元测试、代码质量分析和构建问题分析报告等功能。JetBrains IntelliJ IDEA是捷克Jetbrains公司的一套适用于Java语言的集成开发环境。JetBrains Rider是捷克Jetbrains公司的一套跨平台的.NET集成开发环境(IDE)。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,通过自定义JSON模式中的HTML描述执行本地代码等。
CNVD收录的相关漏洞包括:JetBrains TeamCity日志信息泄露漏洞、JetBrains TeamCity跨站脚本漏洞(CNVD-2022-55670)、JetBrains IntelliJ IDEA代码注入漏洞(CNVD-2022-55675、CNVD-2022-55674、CNVD-2022-55680、CNVD-2022-55681)、JetBrains IntelliJ IDEA跨站脚本漏洞、JetBrains Rider代码注入漏洞。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55671
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55670
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55675
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55674
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55680
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55679
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55677
https://www.cnvd.org.cn/flaw/show/CNVD-2022-55681
5、Tenda M3 formMasterMng函数堆栈溢出漏洞
Tenda M3是中国腾达(Tenda)公司的一款门禁控制器。本周,Tenda M3被披露存在函数堆栈溢出漏洞。攻击者可利用该漏洞导致拒绝服务攻击。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56548
更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小结:本周,IBM产品被披露存在多个漏洞,攻击者可利用漏洞伪造恶意请求诱骗受害者点击执行敏感操作,可以获得登录访问令牌, 篡改系统配置或导致拒绝服务等。此外,Adobe、Siemens、JetBrains等多款产品被披露存在多个漏洞,攻击者可利用漏洞通过特制数据可以触发超过分配缓冲区末尾的写入,在系统上执行任意代码,导致拒绝服务等。另外,Tenda M3被披露存在堆栈溢出漏洞。攻击者可利用该漏洞导致拒绝服务攻击。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
(编辑:CNVD)
来源:国家信息安全漏洞共享平台