0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 信息安全漏洞月报(2022年9月)

信息安全漏洞月报(2022年9月)


根据国家信息安全漏洞库(CNNVD)统计,2022年9月份采集安全漏洞共2133个。


本月接报漏洞57068个,其中信息技术产品漏洞(通用型漏洞)682个,网络信息系统漏洞(事件型漏洞)56386个,其中漏洞平台推送漏洞55352个。


重大漏洞通报


Linux kernel 数字错误漏洞(CNNVD-202208-3763、CVE-2022-2639)情况的报送。成功利用漏洞的攻击者可提升本地用户权限。linux kernel 3.13-5.18版本受漏洞影响。目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。


微软官方发布公告更新了Microsoft Windows TCP/IP component 安全漏洞(CNNVD-202209-917、CVE-2022-34718)、Microsoft Windows 安全漏洞(CNNVD-202209-913、CVE-2022-34721)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。


漏洞态势


一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,2022年9月份新增安全漏洞共2133个,从厂商分布来看,WordPress基金会公司产品的漏洞数量最多,共发布167个;从漏洞类型来看,缓冲区错误类的漏洞占比最大,达到15.24%。本月新增漏洞中,超危漏洞336个、高危漏洞942个、中危漏洞814个、低危漏洞41个,相应修复率分别为63.10%、73.25%、74.82%以及90.24%。合计1548个漏洞已有修复补丁发布,本月整体修复率72.57%。


截至2022年9月30日,CNNVD采集漏洞总量已达193427个。


1.1 漏洞增长概况

2022年9月新增安全漏洞2133个,与上月(2240个)相比减少了4.78%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2131个。

信息安全漏洞月报(2022年9月)图1


图1 2022年4月至2022年9月漏洞新增数量统计图


1.2 漏洞分布情况

1.2.1 漏洞厂商分布

2022年9月厂商漏洞数量分布情况如表1所示,WordPress基金会公司漏洞达到167个,占本月漏洞总量的7.83%。


表1 2022年9月排名前十厂商新增安全漏洞统计表

信息安全漏洞月报(2022年9月)表1


1.2.2 漏洞产品分布

2022年9月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共52个,Windows Server 2022漏洞数量最多,共45个,占主流操作系统漏洞总量的8.56%,排名第一。


表2 2022年9月主流操作系统漏洞数量统计

信息安全漏洞月报(2022年9月)表2


1.2.3 漏洞类型分布

2022年9月份发布的漏洞类型分布如表3所示,其中缓冲区错误类漏洞所占比例最大,约为15.24%。


表3 2022年9月漏洞类型统计表

信息安全漏洞月报(2022年9月)表3


1.2.4 漏洞危害等级分布

根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2022年9月漏洞危害等级分布如图2所示,其中超危漏洞336条,占本月漏洞总数的15.75%。

信息安全漏洞月报(2022年9月)图2


图2 2022年9月漏洞危害等级分布


1.3漏洞修复情

1.3.1 整体修复情况

2022年9月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到90.24%,超危漏洞修复率最低,比例为63.10%。


总体来看,本月整体修复率由上月的74.15%下降至本月的72.57%。

信息安全漏洞月报(2022年9月)图3


图3 2022年9月漏洞修复数量统计


1.3.2 厂商修复情况

2022年9月漏洞修复情况按漏洞数量前十厂商进行统计,其中WordPress基金会、Google、Microsoft等十个厂商共633条漏洞,占本月漏洞总数的29.68%,漏洞修复率为82.78%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Microsoft、Adobe、Cisco等公司本月漏洞修复率均为100%,共524条漏洞已全部修复。


表4 2022年9月厂商修复情况统计表

信息安全漏洞月报(2022年9月)表4


1.4 重要漏洞实例

1.4.1 超危漏洞实例

2022年9月超危漏洞共336个,其中重要漏洞实例如表5所示。


表5 2022年9月超危漏洞实例

信息安全漏洞月报(2022年9月)表5.1

信息安全漏洞月报(2022年9月)表5.2

信息安全漏洞月报(2022年9月)表5.3

信息安全漏洞月报(2022年9月)表5.4

信息安全漏洞月报(2022年9月)表5.5

信息安全漏洞月报(2022年9月)表5.6


1.多款ZOHO产品SQL注入漏洞(CNNVD-202209-1336)

ZOHO ManageEngine Password Manager Pro和ZOHO ManageEngine Access Manager Plus都是美国卓豪(ZOHO)公司的产品。ZOHO ManageEngine Password Manager Pro是一款密码管理器。ZOHO ManageEngine Access Manager Plus是一种特权会话管理解决方案,用于企业集中、保护和管理特权会话的远程访问。

ZOHO ManageEngine Password Manager Pro、PAM360和Access Manager Plus存在安全漏洞,该漏洞源于可能允许攻击者使用易受攻击的请求实现SQL注入执行自定义查询和访问数据库表条目。以下版本受到影响:Zoho ManageEngine Password Manager Pro 12120至12121之前的版本、PAM360 5550至5600之前的版本、4304至4305之前的版本。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-40300.html


2.Amazon AWS Redshift JDBC Driver 代码问题漏洞(CNNVD-202209-3090)

Amazon AWS是美国亚马逊(Amazon)公司的一款云计算平台,向个人、企业和政府提供一系列包括信息技术基础架构和应用的服务,如存储、数据库、计算、机器学习等等。

Amazon AWS Redshift JDBC Driver 2.1.0.8 版本之前存在安全漏洞,该漏洞源于 Object Factory 在从类名实例化对象时不检查类类型。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/aws/amazon-redshift-jdbc-driver/commit/40b143b4698faf90c788ffa89f2d4d8d2ad068b5


3.Trend Micro Apex One 授权问题漏洞(CNNVD-202209-1058)

Trend Micro Apex One是美国趋势科技(Trend Micro)公司的一款终端防护软件。

Trend Micro Apex One 2024(On-prem) SaaS版本存在安全漏洞,该漏洞源于如果远程攻击者向受影响产品发送特制请求,则可能会绕过产品的登录身份验证。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://success.trendmicro.com/dcx/s/solution/000291533?language=en_US


4.Dataprobe iBoot-PDU 操作系统命令注入漏洞(CNNVD-202209-1633)

Dataprobe iBoot-PDU是美国Dataprobe公司的一种可通过 Web 访问的受管 PDU 独立控制的插座。

Dataprobe iBoot-PDU FW存在操作系统命令注入漏洞,该漏洞源于某些特定函数不对用户提供的输入进行消毒,这可能会导致操作系统命令注入。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://dataprobe.com/support-iboot-pdu


5.Rockwell Automation ThinManager 缓冲区错误漏洞(CNNVD-202209-2416)

Rockwell Automation ThinManager是美国Rockwell Automation公司的一款瘦客户端管理软件。允许将瘦客户端同时分配给多个远程桌面服务器。

Rockwell Automation ThinManager 11.0.0版本至13.0.0版本存在安全漏洞,该漏洞源于易受基于堆的缓冲区溢出攻击。攻击者利用该漏洞可以发送特制的TFTP或HTTPS请求,导致基于堆的缓冲区溢出,从而使ThinServer进程崩溃。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1136847


6.Dataprobe iBoot-PDU 访问控制错误漏洞(CNNVD-202209-1624)

Dataprobe iBoot-PDU是美国Dataprobe公司的一种可通过 Web 访问的受管 PDU 独立控制的插座。

Dataprobe iBoot-PDU FW存在访问控制错误漏洞,该漏洞源于允许攻击者从云中访问设备的主管理页面。该特性允许用户远程连接设备,但是,目前的实现允许用户访问其他设备的信息。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://dataprobe.com/support-iboot-pdu


7.Huawei EMUI 资源管理错误漏洞(CNNVD-202209-1277)

Huawei EMUI是中国华为(Huawei)公司的一款基于Android开发的移动端操作系统。

Huawei EMUI存在资源管理错误漏洞,该漏洞源于存储模块中的存在双重释放漏洞,成功利用此漏洞将导致内存被释放两次。以下产品和版本受到影响:HUAWEI EMUI 10.0.0, EMUI 10.1.0, EMUI 10.1.1, EMUI 11.0.0, Magic UI 3.0.0, Magic UI 3.1.0, Magic UI 3.1.1, Magic UI 4.0.0。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://consumer.huawei.com/en/support/bulletin/2022/9/


8.Qualcomm 芯片 输入验证错误漏洞(CNNVD-202209-1223)

Qualcomm 芯片是美国高通(Qualcomm)公司的芯片。一种将电路(主要包括半导体设备,也包括被动组件等)小型化的方式,并时常制造在半导体晶圆表面上。

Snapdragon Auto、SnapdragonConsumer IOT、Snapdrago Mobile、Snapdrag Voice&Music存在安全漏洞,该漏洞源于在处理HFP-UNIT配置文件时,由于整数溢出导致蓝牙内存损坏。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.qualcomm.com/company/product-security/bulletins/september-2022-bulletin


1.4.2 高危漏洞实例

2022年9月高危漏洞共942个,其中重要漏洞实例如表6所示。


表6 2022年9月高危漏洞实例(详情略)


1.Solarwinds Orion Platform SQL注入漏洞(CNNVD-202209-3151)

Solarwinds Orion Platform是美国Solarwinds公司的一套网络故障和网络性能管理平台。该平台可对网络设备提供实时监测和分析,并支持定制网页介面、多种用户意见和对整个网络进行地图式浏览等。

Solarwinds Orion Platform 存在SQL注入漏洞。攻击者利用该漏洞进行权限提升或远程代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/solarwinds_platform_2022-3_release_notes.htm


2.Cisco IOS XE Software 代码问题漏洞(CNNVD-202209-2874)

Cisco IOS XE Software是美国思科(Cisco)公司的一个操作系统。用于企业有线和无线访问,汇聚,核心和WAN的单一操作系统,Cisco IOS XE降低了业务和网络的复杂性。

Cisco IOS XE Software存在代码问题漏洞,该漏洞源于在检查某些TCP DNS数据包时发生逻辑错误。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-alg-dos-KU9Z8kFX


3.Dell CloudLink 授权问题漏洞(CNNVD-202209-023)

Dell CloudLink是美国戴尔(Dell)公司的一个数据加密和密钥管理系统。

Dell CloudLink 7.1.3版本及之前版本存在安全漏洞。攻击者利用该漏洞绕过身份验证并访问 CloudLink系统控制台。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.dell.com/support/kbdoc/en-us/000202058/dsa-2022-210-dell-emc-cloudlink-security-update-for-multiple-security-vulnerabilities


4.Hitachi RAID Manager SRA 操作系统命令注入漏洞(CNNVD-202209-253)

Hitachi RAID Manager SRA是日本日立(Hitachi)公司的一个存储复制适配器软件。

Hitachi RAID Manager Storage Replication Adapter存在安全漏洞,该漏洞源于其允许远程认证用户通过OS命令注入执行任意OS命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.hitachi.co.jp/products/it/storage-solutions/global/sec_info/2022/2022_307.html


5.Intel NUC M15 缓冲区错误漏洞(CNNVD-202209-1581)

Intel NUC M15是美国英特尔(Intel)公司的一种笔记本电脑套件。

Intel NUC M15 Laptop Kit BC0076之前版本存在安全漏洞,该漏洞源于权限提升,在系统管理模式下执行任意代码,在SMM中运行任意代码还会绕过基于SMM的SPI闪存保护以防止修改,这可以帮助攻击者将固件后门/植入物安装到BIOS中。BIOS中的此类恶意固件代码可能会在重新安装操作系统后持续存在,恶意行为者可能会利用此漏洞绕过UEFI固件提供的安全机制。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00712.html


6.Cisco SD-WAN vManage Software 访问控制错误漏洞(CNNVD-202209-421)

Cisco SD-WAN vManage Software是美国思科(Cisco)公司的一款用于SD-WAN(软件定义广域网络)解决方案的管理软件。

Cisco SD-WAN vManage Software 20.6.4之前版本、20.9.1之前版本存在访问控制错误漏洞,该漏洞源于绑定配置中的漏洞可能允许未经身份验证的相邻攻击者访问 VPN0 逻辑网络,影响系统上的消息传递服务端口。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-msg-serv-AqTup7vs


7.Cisco Catalyst 资源管理错误漏洞(CNNVD-202209-2863)

Cisco Catalyst是美国思科(Cisco)公司的一系列交换机。

Cisco Catalyst 9100存在资源管理错误漏洞,该漏洞源于UDP数据报处理不当。远程攻击者利用该漏洞执行拒绝服务(DoS)攻击。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-udp-dos-XDyEwhNz


8.Indy Node 输入验证错误漏洞(CNNVD-202209-258)

Indy Node是美国Hyperledger开源的一种分布式账本的服务器部分。专为去中心化身份构建。

Indy Node 1.12.4之前的版本存在输入验证错误漏洞,该漏洞源于Indy-Node中的“pool-upgrade”请求处理程序允许未经身份验证的攻击者远程在网络中的节点上执行代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/hyperledger/indy-node/security/advisories/GHSA-r6v9-p59m-gj2p


二、漏洞平台推送情况

2022年9月漏洞平台推送漏洞55352个。


表7 2022年9月漏洞平台推送情况表

信息安全漏洞月报(2022年9月)表7


三、接报漏洞情况

2022年9月接报漏洞1716个,其中信息技术产品漏洞(通用型漏洞)682个,网络信息系统漏洞(事件型漏洞)1034个。


表8 2022年9月接报漏洞情况表(详情略)


四、重大漏洞通报


4.1 Linux kernel 数字错误漏洞的通报

近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 数字错误漏洞(CNNVD-202208-3763、CVE-2022-2639)情况的报送。成功利用漏洞的攻击者可提升本地用户权限。linux kernel 3.13-5.18版本受漏洞影响。目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。


. 漏洞介绍

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux Kernel openvswitch 模块在处理大量actions的情况下可能会触发越界写入问题。本地经过身份认证的攻击者可利用此漏洞将低权限用户提升至ROOT权限。


. 危害影响

成功利用漏洞的攻击者可提升本地用户权限。linux kernel 3.13-5.18版本受漏洞影响。


. 修复建议

目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方链接如下:

https://www.kernel.org/


4.2 微软多个安全漏洞的通报

近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞62个,影响到微软产品的其他厂商漏洞1个。包括Microsoft Windows TCP/IP component 安全漏洞(CNNVD-202209-917、CVE-2022-34718)、Microsoft Windows 安全漏洞(CNNVD-202209-913、CVE-2022-34721)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。


. 漏洞介绍

2022年9月13日,微软发布了2022年9月份安全更新,共63个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft HTTP.sys、Microsoft Lightweight Directory Access Protocol、Microsoft Windows DNS、Microsoft Windows Fax Service、Microsoft SharePoint等。CNNVD对其危害等级进行了评价,其中超危漏洞3个,高危漏洞52个,中危漏洞8个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。


. 漏洞详情

此次更新共包括62个新增漏洞的补丁程序,其中超危漏洞3个,高危漏洞52个,中危漏洞7个。

(详情略)


此次更新共包括1个影响微软产品的其他厂商漏洞的补丁程序,其中中危漏洞1个。

信息安全漏洞月报(2022年9月)表


. 修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

https://msrc.microsoft.com/update-guide/en-us


来源:CNNVD安全动态

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号