本周漏洞態勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞484個,其中高危漏洞104個、中危漏洞328個、低危漏洞52個。漏洞平均分值為5.58。本周收錄的漏洞中,涉及0day漏洞344個(占71%),其中互聯網上出現“webTareas路徑遍歷漏洞、webTareas跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數20493個,與上周(13110個)環比增加56%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數按周統計
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業單位通報漏洞事件24起,向基礎電信企業通報漏洞事件28起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件623起,協調教育行業應急組織驗證和處置高校科研院所系統漏洞事件147起,向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件54起。
此外,CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞,具體處置單位情況如下所示:
淄博閃靈網絡科技有限公司、珠海玖時光科技有限公司、重慶新光互動科技有限公司、重慶華人會信息技術有限公司、中新網絡信息安全股份有限公司、中建西部建設股份有限公司、中國電信集團公司、浙江中易慧能科技有限公司、長沙友點軟件科技有限公司、友訊電子設備(上海)有限公司、用友網絡科技股份有限公司、煙臺晴好網絡科技有限公司、兄弟(中國)商業有限公司、新天科技股份有限公司、新都(青島)辦公系統有限公司、西安九佳易信息資訊有限公司、武漢達夢數據庫股份有限公司、微軟(中國)有限公司、同望科技股份有限公司、通力電梯有限公司、宿遷鑫潮信息技術有限公司、松下電器(中國)有限公司、世邦通信股份有限公司、石家莊捷搜網絡科技有限公司、深圳市友華通信技術有限公司、深圳市迅捷通信技術有限公司、深圳市西迪特科技有限公司、深圳市深日科技有限公司、深圳市藍凌軟件股份有限公司、深圳市吉祥騰達科技有限公司、深圳市朝恒輝網絡科技有限公司、深圳極速創想科技有限公司、深圳華望技術有限公司、紹興市青年軟件開發有限公司、上海華測導航技術股份有限公司、上海創圖網絡科技股份有限公司、山東領圖信息科技股份有限公司、廈門網中網軟件有限公司、廈門鳳凰創壹軟件有限公司、全訊匯聚網絡科技(北京)有限公司、普聯技術有限公司、南京科遠智慧科技集團股份有限公司、南京華設科技股份有限公司、摩莎科技(上海)有限公司、煤炭科學研究總院研究生院、龍采科技集團有限責任公司、廊坊市極致網絡科技有限公司、昆明云濤科技有限公司、佳能(中國)有限公司、吉翁電子(深圳)有限公司、華為技術有限公司、合肥優視嵌入式技術有限責任公司、合肥久鑫網絡科技有限公司、杭州順網科技股份有限公司、漢王科技股份有限公司、桂林佳朋信息科技有限公司、貴州奧德網絡科技有限公司、廣州市成格信息技術有限公司、廣州獵客軟件科技有限公司、廣東旭誠科技有限公司、富泰華工業(深圳)有限公司、福州網鈦軟件科技有限公司、福建銀達匯智信息科技股份有限公司、福建星網銳捷通訊股份有限公司、帆軟軟件有限公司、東莞市信源計算機科技股份有限公司、得力集團有限公司、戴爾(中國)有限公司、大唐電信科技股份有限公司、大連龍采科技開發有限公司、成都萬江港利科技股份有限公司、成都生動網絡科技有限公司、成都愛誠科技有限公司、貝爾金國際有限公司、北京中遠麒麟科技有限公司、北京中創視訊科技有限公司、北京中成科信科技發展有限公司、北京星網銳捷網絡技術有限公司、北京偉業前程科技有限公司、北京網康科技有限公司、北京通達志成科技有限公司、北京通達信科科技有限公司、北京上元信安技術有限公司、北京康心心理信息技術有限公司、北京火星高科數字科技有限公司、北京漢邦高科數字技術股份有限公司、北京碧海威科技有限公司、北京奧博威斯科技有限公司、奧壹科技(廣州)有限公司、安科訊(福建)科技有限公司、無憂網絡、若依、京瓷辦公信息系統株式會社、zzcms、XnSoft、wazuh、VelosLLC、The Apache Software Foundation、Sapido Technology Inc、phpyun、Nacos、MuuCmf、Hancom、Genexis和Bandisoft。
本周漏洞報送情況統計
本周報送情況如表1所示。其中,北京奇虎科技有限公司、新華三技術有限公司、哈爾濱安天科技集團股份有限公司、廈門服云信息科技有限公司、北京神州綠盟科技有限公司等單位報送公開收集的漏洞數量較多。貴州多彩寶互聯網服務有限公司、聯想集團、山東云天安全技術有限公司、北京信聯科匯科技有限公司、河南靈創電子科技有限公司、廣東藍爵網絡安全技術股份有限公司、新疆海狼科技有限公司、長春嘉誠信息技術股份有限公司、杭州海康威視數字技術股份有限公司、南京樹安信息技術有限公司、浙江木鏈物聯網科技有限公司、福建省海峽信息技術有限公司、北京安帝科技有限公司、杭州迪普科技股份有限公司、內蒙古云科數據服務股份有限公司、內蒙古洞明科技有限公司、南京眾智維信息科技有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、北京山石網科信息技術有限公司、北京華云安信息技術有限公司、重慶都會信息科技、北京網御星云信息技術有限公司、河南信安世紀科技有限公司、安元實驗室、蘇州棱鏡七彩信息科技有限公司、北京美亞柏科網絡安全科技有限公司、奇安信-工控安全實驗室、百度在線網絡技術有限公司、中移(杭州)信息技術有限公司、騰訊安全天馬實驗室、四川博恩信息技術有限公司、深圳市魔方安全科技有限公司、北京水木羽林科技有限公司、思而聽網絡科技有限公司、杭州天谷信息科技有限公司、北京機沃科技有限公司、山石網科通信技術股份有限公司、廣州安億信軟件科技有限公司、鄭州天宇鴻圖電子科技有限公司、安徽長泰科技有限公司、云南南天電子信息產業股份有限公司、華泰人壽保險股份有限公司、北方實驗室(沈陽)股份有限公司、蘇州棱鏡七彩信息科技有限公司、中國銀河證券股份有限公司、天訊瑞達通信技術有限公司及其他個人白帽子向CNVD提交了20493個以事件型漏洞為主的原創漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信網神(補天平臺)向CNVD共享的白帽子報送的17506條原創漏洞信息。
表1 漏洞報送情況統計表
本周漏洞按類型和廠商統計
本周,CNVD收錄了484個漏洞。智能設備(物聯網終端設備)159個, WEB應用138個,應用程序79個,網絡設備(交換機、路由器等網絡端設備)45個,操作系統43個,安全產品18個,數據庫2個。
表2 漏洞按影響類型統計表
圖6 本周漏洞按影響類型分布
CNVD整理和發布的漏洞涉及Huawei、Google、IBM等多家廠商的產品,部分漏洞數量按廠商統計如表3所示。
表3 漏洞產品涉及廠商分布統計表
本周行業漏洞收錄情況
本周,CNVD收錄了20個電信行業漏洞,30個移動互聯網行業漏洞,20個工控行業漏洞(如下圖所示)。其中,“Huawei Emui和Magic UI內存訪問越界漏洞、Huawei Emui和Magic UI劫持未經驗證提供商漏洞”等漏洞的綜合評級為“高危”。相關廠商已經發布了漏洞的修補程序,請參照CNVD相關行業漏洞庫鏈接。
電信行業漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯網行業漏洞鏈接:http://mi.cnvd.org.cn/
工控系統行業漏洞鏈接:http://ics.cnvd.org.cn/
本周重要漏洞安全告警
本周,CNVD整理和發布以下重要安全漏洞信息。
1、IBM產品安全漏洞
IBM InfoSphere Information Server是一個數據集成平臺,包含一系列產品,使您能夠理解、清理、監控、轉換及傳送數據,以及協作以彌合業務與IT之間的差距。Ibm InfoSphere DataStage Flow Designer是美國Ibm公司的一個基于 Web 的數據階段流程設計器。IBM Cognos Analytics是美國IBM公司的一套商業智能軟件,可提供有價值的信息、安全的數據治理和報告。IBM Security Guardium是美國IBM公司的一套提供數據保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Sterling B2B Integrator是美國IBM公司的一套集成了重要的B2B流程、交易和關系的軟件。該軟件支持與不同的合作伙伴社區之間實現復雜的B2B流程的安全集成。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞獲取受影響組件敏感信息,非法執行SQL命令竊取數據庫敏感數據,越權訪問“新作業”頁面,遠程執行代碼等。
CNVD收錄的相關漏洞包括:IBM InfoSphere Information Server信息泄露漏洞(CNVD-2021-87010)、IBM Planning Analytics信息泄露漏洞(CNVD-2021-87013)、IBM InfoSphere DataStage Flow Designer代碼問題漏洞、IBM Sterling B2B Integrator授權問題漏洞(CNVD-2021-87017)、IBM Cognos Analytics權限提升漏洞(CNVD-2021-87015)、IBM Cognos Analytics遠程代碼執行漏洞、IBM Security Guardium硬編碼憑證漏洞、IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2021-87020)。其中“IBM Security Guardium硬編碼憑證漏洞、IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2021-87020)”漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87010
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87013
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87012
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87017
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87015
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87014
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87021
https://www.cnvd.org.cn/flaw/show/CNVD-2021-87020
2、Huawei產品安全漏洞
Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。Huawei FusionCompute是中國華為(Huawei)公司的一款計算機虛擬化引擎。該產品提供虛擬資源管理器(VRM)和計算節點代理(CNA)等。Huawei AIS-BW50-00是中國華為(Huawei)公司的一款便攜式藍牙音箱。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞導致進程異常,劫持設備并偽造UI誘使用戶執行惡意命令,在特定場景下處理證書文件時進行命令注入,在目標設備中執行任意代碼等。
CNVD收錄的相關漏洞包括:Huawei Emui和Magic UI遠程DoS漏洞(CNVD-2021-84859)、Huawei Emui和Magic UI配置缺陷漏洞(CNVD-2021-84858、CNVD-2021-84860)、Huawei Emui和Magic UI目錄遍歷漏洞、Huawei Emui和Magic UI內存訪問越界漏洞、Huawei Emui和Magic UI劫持未經驗證提供商漏洞、Huawei FusionCompute命令注入漏洞(CNVD-2021-84882)、Huawei AIS-BW50-00授權問題漏洞。其中“Huawei Emui和Magic UI內存訪問越界漏洞、Huawei Emui和Magic UI劫持未經驗證提供商漏洞、Huawei FusionCompute命令注入漏洞(CNVD-2021-84882)、Huawei AIS-BW50-00授權問題漏洞”漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84860
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84859
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84858
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84857
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84869
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84877
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84882
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84884
3、Mozilla產品安全漏洞
Rust是Mozilla基金會的一款通用、編譯型編程語言。本周,上述產品被披露存在多個漏洞,攻擊者可利用該漏洞創建釋放后使用訪問,導致并發程序中的數據競爭的錯誤,導致緩沖區溢出或堆溢出等。
CNVD收錄的相關漏洞包括:Mozilla Rust資源管理錯誤漏洞(CNVD-2021-85285、CNVD-2021-85301)、Mozilla Rust內存損壞漏洞、Mozilla Rust命令注入漏洞(CNVD-2021-85287)、Mozilla Rust緩沖區溢出漏洞(CNVD-2021-85300、CNVD-2021-85299、CNVD-2021-85298、CNVD-2021-85297、)。其中“Mozilla Rust資源管理錯誤漏洞(CNVD-2021-85301)”漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-85285
https://www.cnvd.org.cn/flaw/show/CNVD-2021-85284
https://www.cnvd.org.cn/flaw/show/CNVD-2021-85287
https://www.cnvd.org.cn/flaw/show/CNVD-2021-85300
https://www.cnvd.org.cn/flaw/show/CNVD-2021-85299
https://www.cnvd.org.cn/flaw/show/CNVD-2021-85298
https://www.cnvd.org.cn/flaw/show/CNVD-2021-85297
https://www.cnvd.org.cn/flaw/show/CNVD-2021-85301
4、Google產品安全漏洞
Chrome是由Google開發的一款Web瀏覽工具。本周,上述產品被披露存在多個漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息,導致程序崩潰或者拒絕服務等。
CNVD收錄的相關漏洞包括:Google Chrome輸入驗證不足漏洞(CNVD-2021-84801)、Google Chrome WebApp Installer實現不當漏洞、Google Chrome釋放后重用漏洞(CNVD-2021-84803、CNVD-2021-84808)、Google Chrome iFrame Sandbox實現不當漏洞、Google Chrome競爭條件漏洞(CNVD-2021-84805)、Google Chrome越界讀取漏洞(CNVD-2021-84804)、Google Chrome Blink實現不當漏洞(CNVD-2021-84806)。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84801
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84800
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84803
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84802
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84805
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84804
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84806
https://www.cnvd.org.cn/flaw/show/CNVD-2021-84808
5、D-Link DIR-823G命令注入漏洞(CNVD-2021-85889)
D-Link DIR-823G是一款AC1200M雙頻千兆無線路由器。本周,DIR-823G被披露存在命令注入漏洞。攻擊者可通過登錄部分的Captcha字段中的shell元字符利用該漏洞執行任意Web腳本。目前,廠商尚未發布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-85889
小結:本周,IBM產品被披露存在多個漏洞,攻擊者可利用該漏洞獲取受影響組件敏感信息,非法執行SQL命令竊取數據庫敏感數據,越權訪問“新作業”頁面,遠程執行代碼等。此外,Huawei、Mozilla、Google等多款產品被披露存在多個漏洞,攻擊者可利用漏洞導致進程異常,劫持設備并偽造UI誘使用戶執行惡意命令,在特定場景下處理證書文件時進行命令注入,在目標設備中執行任意代碼,獲取數據庫敏感信息,導致程序崩潰或者拒絕服務等。另外,D-Link DIR-823G被披露存在命令注入漏洞。攻擊者可通過登錄部分的Captcha字段中的shell元字符利用該漏洞執行任意Web腳本。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
