漏洞态势
根据国家信息安全漏洞库(CNNVD)统计,2023年1月采集安全漏洞共2271个。
本月接报漏洞17648个,其中信息技术产品漏洞(通用型漏洞)434个,网络信息系统漏洞(事件型漏洞)17214个,其中漏洞平台推送漏洞2851个。
重大漏洞通报
微软官方发布公告更新了Microsoft Windows Local Security Authority Subsystem Service 安全漏洞(CNNVD-202301-725/CVE-2023-21524)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2023年1月份新增安全漏洞共2271个,从厂商分布来看,WordPress基金会公司产品的漏洞数量最多,共发布240个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到14.75%。本月新增漏洞中,超危漏洞346个、高危漏洞875个、中危漏洞1011个、低危漏洞39个,相应修复率分别为84.39%、81.71%、89.71%以及82.05%。合计1946个漏洞已有修复补丁发布,本月整体修复率85.69%。
截至2023年1月31日,CNNVD采集漏洞总量已达201794个。
1.1 漏洞增长概况
2023年1月新增安全漏洞2271个,与上月(2173个)相比增加了4.51%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2123个。
图1 2022年8月至2023年1月漏洞新增数量统计图
1.2 漏洞分布情况
1.2.1 漏洞厂商分布
2023年1月厂商漏洞数量分布情况如表1所示,WordPress基金会公司漏洞达到240个,占本月漏洞总量的10.57%。
表1 2023年1月排名前十厂商新增安全漏洞统计表
1.2.2 漏洞产品分布
2023年1月主流操作系统的漏洞统计情况如表2所示。Windows系列操作系统漏洞数量共67个,Android漏洞数量最多,共66个,占主流操作系统漏洞总量的9.69%,排名第一。
表2 2023年1月主流操作系统漏洞数量统计
1.2.3 漏洞类型分布
2023年1月份发布的漏洞类型分布如表3所示,其中跨站脚本类漏洞所占比例最大,约为14.75%。
表3 2023年1月漏洞类型统计表
1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2023年1月漏洞危害等级分布如图2所示,其中超危漏洞346条,占本月漏洞总数的15.24%。
图2 2023年1月漏洞危害等级分布
1.3漏洞修复情
1.3.1 整体修复情况
2023年1月漏洞修复情况按危害等级进行统计见图3。其中中危漏洞修复率最高,达到89.71%,高危漏洞修复率最低,比例为81.71%。本月整体修复率由上月的75.29%上升至本月的79.38%。
图3 2023年1月漏洞修复数量统计
1.3.2 厂商修复情况
2023年1月漏洞修复情况按漏洞数量前十厂商进行统计,其中WordPress基金会、Microsoft、Google等十个厂商共665条漏洞,占本月漏洞总数的29.28%,漏洞修复率为94.59%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Microsoft、Oracle、Adobe、AMD、IBM、Juniper Networks、Aruba Networks、Apple等公司本月漏洞修复率均为100%,共629条漏洞已全部修复。
表4 2023年1月厂商修复情况统计表
1.4 重要漏洞实例
1.4.1 超危漏洞实例
2023年1月超危漏洞共346个,其中重要漏洞实例如表5所示。
表5 2023年1月超危漏洞实例
(详情略)
1、IBM Sterling B2B Integrator SQL注入漏洞(CNNVD-202301-280)
IBM Sterling B2B Integrator是美国国际商业机器(IBM)公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。
IBM Sterling B2B Integrator Standard Edition存在SQL注入漏洞,攻击者利用该漏洞可以发送特制的 SQL 语句,从而允许攻击者查看、添加、修改或删除后端数据库中的信息,以下产品和版本受到影响:IBM Sterling B2B Integrator 6.0.0.0 到 6.0.3.6版本、6.1.0.0到 6.1.0.5版本、6.1.1.0到 6.1.1.1版本、6.1.2.0版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6852453
2、Apache Dubbo 代码问题漏洞(CNNVD-202301-129)
Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。
Apache Dubbo 2.6.10之前版本、2.7.10 之前版本存在代码问题漏洞,该漏洞源于容易受到通过 Telnet 处理程序中的任意bean 操作进行预授权远程代码执行的攻击,攻击者利用该漏洞可以实现远程代码执行。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/
3、ZOHO ManageEngine ServiceDesk Plus 授权问题漏洞(CNNVD-202301-1573)
ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。
Zoho ManageEngine ServiceDesk Plus 10611之前版本、13x版本至13004之前版本存在授权问题漏洞,该漏洞源于易受身份验证绕过的影响。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.manageengine.com/products/service-desk-msp/cve-2023-22964.html
4、Western Digital My Cloud 操作系统命令注入漏洞(CNNVD-202301-2076)
Western Digital My Cloud是美国西部数据(Western Digital)公司的一款个人云存储设备。
Western Digital My Cloud OS5 5.26.119之前版本存在安全漏洞,该漏洞源于DDNS服务配置中存在命令注入漏洞,允许攻击者在root用户的上下文中执行代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.westerndigital.com/en-in/support/product-security/wdc-23002-my-cloud-firmware-version-5-26-119
5、Apache Portable Runtime 缓冲区错误漏洞(CNNVD-202301-2413)
Apache Portable Runtime(APR,Apache可移植运行库)是美国阿帕奇(Apache)基金会的一个为上层应用程序提供可跨越多个操作系统平台使用的底层支持接口库。
Apache Portable Runtime 1.7.0及以前版本存在缓冲区错误漏洞,该漏洞源于其apr_socket_sendv()函数允许攻击者实现整数溢出导致在栈缓冲区末端之外写入数据。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/5pfdfn7h0vsdo5xzjn97vghp0x42jj2r
6、SAP NetWeaver AS 访问控制错误漏洞(CNNVD-202301-637)
SAP NetWeaver AS是德国思爱普(SAP)公司的一款SAP网络应用服务器。它不仅能提供网络服务,且还是SAP软件的基本平台。
基于Java的SAP NetWeaver AS 7.50版本存在访问控制错误漏洞,该漏洞源于其访问控制不当导致未经身份验证的攻击者可以附加到开放接口并使用开放的命名和目录API访问服务,这些服务可用于执行影响当前系统上用户和数据的未授权操作。这可能允许攻击者拥有对用户数据的完全读访问权,对用户数据进行修改,并使系统内的服务不可用。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://launchpad.support.sap.com/#/notes/3268093
7、Apache DolphinScheduler 输入验证错误漏洞(CNNVD-202301-261)
Apache DolphinScheduler是美国阿帕奇(Apache)基金会的一个分布式的基于DAG可视化的工作流任务调度系统。
Apache DolphinScheduler 3.0.1版本及之前版本、3.1.0版本及之前版本存在输入验证错误漏洞,该漏洞源于script alert plugin参数验证不正确。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://lists.apache.org/thread/r0wqzkjsoq17j6ww381kmpx3jjp9hb6r
1.4.2 高危漏洞实例
2023年1月高危漏洞共875个,其中重要漏洞实例如表6所示。
表6 2023年1月高危漏洞实例
(详情略)
1、Aruba Networks EdgeConnect Enterprise Orchestrator SQL注入漏洞(CNNVD-202301-334)
Aruba Networks EdgeConnect Enterprise Orchestrator是美国Aruba Networks公司的一种集中式SD-WAN 管理解决方案。为企业用户提供优化、管理、自动化和实时可见性和监控特性服务。
Aruba Networks EdgeConnect Enterprise Orchestrator存在安全漏洞。攻击者利用该漏洞执行SQL注入攻击,从而获取和修改基础数据库中的敏感信息。以下产品及版本受到影响:Aruba EdgeConnect Enterprise Orchestrator 9.2.1.40179版本及之前版本、9.1.4.40436版本及之前版本、9.0.7.40110版本及之前版本、8.10.23.40015版本及之前版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-021.txt
2、Zyxel GS1920 代码问题漏洞(CNNVD-202301-828)
Zyxel GS1920是中国合勤(Zyxel)公司的一款交换机。
Zyxel GS1920-24v2 V4.70(ABMH.8)C0之前版本存在安全漏洞,该漏洞源于HTTP请求处理功能中未正确检查异常或异常情况,可能允许未经身份验证的攻击者破坏内存内容并导致拒绝服务(DoS)。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-command-injection-and-buffer-overflow-vulnerabilities-of-cpe-fiber-onts-and-wifi-extenders
3、Netcomm路由器 授权问题漏洞(CNNVD-202301-913)
Netcomm NF20等都是澳大利亚Netcomm公司的一款路由器。
Netcomm路由器存在安全漏洞,该漏洞源于其身份验证旁路允许未经身份验证的用户访问内容。以下型号受到影响:NF20MESH、NF20和NL1902。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.netcomm.net
4、FortiTester 操作系统命令注入漏洞(CNNVD-202301-133)
FortiTester是FortiTester公司的一款基于Fortinet 专业的网络流量测试工具。
FortiTester 7.1.0、7.0所有版本、4.0.0至4.2.0版本、2.3.0至3.9.1版本存在安全漏洞,该漏洞源于使用的多个特殊元素中和不当,存在操作系统命令注入漏洞,可能允许经过身份验证的攻击者在底层shell中执行任意命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.fortiguard.com/psirt/FG-IR-22-274
5、Juniper Networks Junos OS 缓冲区错误漏洞(CNNVD-202301-1039)
Juniper Networks Junos OS是美国瞻博网络(Juniper Networks)公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统提供了安全编程接口和Junos SDK。
Juniper Networks Junos OS存在安全漏洞,该漏洞源于H.323 ALG中存在越界写入漏洞,从而导致拒绝服务。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://supportportal.juniper.net/s/article/2023-01-Security-Bulletin-Junos-OS-MX-Series-and-SRX-Series-The-flow-processing-daemon-flowd-will-crash-when-a-specific-H-323-packet-is-received-CVE-2023-22415?language=en_US
6、WordPress plugin Royal Elementor Addons 访问控制错误漏洞(CNNVD-202301-676)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Royal Elementor Addons 1.3.59版本及之前版本存在访问控制错误漏洞,该漏洞源于访问控制不足。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wordfence.com/blog/2023/01/eleven-vulnerabilities-patched-in-royal-elementor-addons/
7、Linux kernel 资源管理错误漏洞(CNNVD-202301-574)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux kernel 存在资源管理错误漏洞,该漏洞源于 MCTP 实现中存在竞争条件,导致释放后重用,攻击者利用该漏洞可以导致拒绝服务(系统崩溃)或可能执行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://ubuntu.com/security/notices/USN-5793-1
8、Google Chrome 输入验证错误漏洞(CNNVD-202301-091)
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 104.0.5112.79之前版本存在安全漏洞,该漏洞源于窗口管理器中存在整数溢出,允许远程攻击者说服用户参与特定的UI交互以通过精心设计的UI交互执行越界内存写入。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop.html
二、漏洞平台推送情况
2023年1月漏洞平台推送漏洞14797个。
表7 2023年1月漏洞平台推送情况表
三、接报漏洞情况
2023年1月接报漏洞2851个,其中信息技术产品漏洞(通用型漏洞)434个,网络信息系统漏洞(事件型漏洞)2417个。
表8 2023年1月接报漏洞情况表
(详情略)
四、重大漏洞通报
4.1 微软多个安全漏洞的通报
近日,微软官方发布了101个安全漏洞的公告,包括Microsoft Windows Local Security Authority Subsystem Service 安全漏洞(CNNVD-202301-725、CVE-2023-21524)、Microsoft Windows iSCSI 安全漏洞(CNNVD-202301-810、CVE-2023-21527)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
. 漏洞介绍
2023年1月10日,微软发布了2023年1月份安全更新,共101个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft Windows Authentication Methods、Microsoft Lightweight Directory Access Protocol、Microsoft Windows Management Instrumentation、Microsoft Windows Local Security Authority Subsystem Service、Microsoft OLE DB Provider for SQL Server等。CNNVD对其危害等级进行了评价,其中超危漏洞1个,高危漏洞85个,中危漏洞14个,低危漏洞1个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问
https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。
. 漏洞详情
此次更新共包括3个更新漏洞的补丁程序,其中超危漏洞1个,高危漏洞1个,中危漏洞1个。
(详情略)
. 修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:
https://msrc.microsoft.com/update-guide/en-us
文章来源:CNNVD安全动态
