一顆小胡椒
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞475個,其中高危漏洞306個、中危漏洞157個、低危漏洞12個。漏洞平均分值為6.98。本周收錄的漏洞中,涉及0day漏洞410個(占86%),其中互聯網上出現“novel-plus文件上傳漏洞、 Personnel Property Equipment System跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的漏洞總數7156個,與上周(7988個)環比減少10%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數按周統計
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業單位通報漏洞事件28起,向基礎電信企業通報漏洞事件16起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件647起,協調教育行業應急組織驗證和處置高校科研院所系統漏洞事件117起,向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件58起。
圖3 CNVD各行業漏洞處置情況按周統計
圖4 CNCERT各分中心處置情況按周統計
圖5 CNVD教育行業應急組織處置情況按周統計
此外, CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞,具體處置單位情況如下所示:
重慶與異或科技有限公司、中金亞洲(北京)國際互聯網科技有限公司、智互聯(深圳)科技有限公司、浙江新再靈科技股份有限公司、掌如科技服務有限公司、長沙巴巴開源網絡科技有限公司、元生軟件科技(廣東)有限公司、友訊電子設備(上海)有限公司、用友網絡科技股份有限公司、兄弟(中國)商業有限公司、新開普電子股份有限公司、新華三智能終端有限公司、武漢金同方科技有限公司、濰坊濱海人才發展集團有限公司、崴遠科技股份有限公司、統信軟件技術有限公司、天維爾信息科技股份有限公司、梯子數字文化揚州有限公司、騰訊安全應急響應中心、臺達集團、蘇州盛科通信股份有限公司、蘇州宏云智能科技有限公司、四川三德信息技術有限責任公司、神州數碼控股有限公司、深圳市興海物聯科技有限公司、深圳市思迅軟件股份有限公司、深圳市雙夢科技有限公司、深圳市尼高企業形象設計有限公司、深圳市漫步者科技股份有限公司、深圳市吉祥騰達科技有限公司、深圳市海融易通電子有限公司、深圳市鼎微科技有限公司、深圳市頂訊網絡科技有限公司、深圳市艾森互動科技有限公司、深圳華視美達信息技術有限公司、深圳邦健生物醫療設備股份有限公司、上海卓卓網絡科技有限公司、上海卓越睿新數碼科技股份有限公司、上海洲馬網絡科技有限公司、上海英立視數字科技有限公司、上海喜馬拉雅科技有限公司、上海力軟信息技術有限公司、上海寰創通信科技股份有限公司、上海華測導航技術股份有限公司、上海酆澤信息技術有限公司、上海泛微網絡科技股份有限公司、上海博達數據通信有限公司、上海百勝軟件股份有限公司、上海艾泰科技有限公司、上海阿法迪智能數字科技股份有限公司、熵基科技股份有限公司、山脈科技股份有限公司、山東科德電子有限公司、山東金鐘科技集團股份有限公司、山東廣安車聯科技股份有限公司、山東德爾智能數碼股份有限公司、山東博碩自動化技術有限公司、廈門姿致健康科技有限公司、若依、青島中瑞云數科技有限公司、青島易軟天創網絡科技有限公司、普聯技術有限公司、平行云科技(北京)有限公司、諾亞機器人科技(上海)有限公司、寧波暢想軟件股份有限公司、南京霍普斯科技有限公司、邁普通信技術股份有限公司、浪潮電子信息產業股份有限公司、藍網科技股份有限公司、酷溜網(北京)科技有限公司、金華聚秀科技有限公司、金蝶軟件(中國)有限公司、江蘇省農墾農業發展股份有限公司、湖南暢遠信息技術有限公司、河南中視云計算有限公司、河南易稅科技有限公司、河北華安科技開發有限公司、合肥千界文化傳媒有限公司、合肥貳道網絡科技有限公司、杭州敘簡科技股份有限公司、杭州雄偉科技開發股份有限公司、杭州美創科技股份有限公司、杭州海康威視系統技術有限公司、杭州海康威視數字技術股份有限公司、杭州迪普科技股份有限公司、杭州安恒信息技術股份有限公司、海南贊贊網絡科技有限公司、廣州圖創計算機軟件開發有限公司、廣聯達科技股份有限公司、富盛科技股份有限公司、成都同飛科技有限責任公司、成都天問互聯科技有限公司、成都青軟青之軟件有限公司、成都每經傳媒有限公司、暢捷通信息技術股份有限公司、畢孚自動化設備貿易(上海)有限公司、北京字節跳動科技有限公司、北京致遠互聯軟件股份有限公司、北京志凌海納科技有限公司、北京一畝田新農網絡科技有限公司、北京一零二四精英教育科技有限公司、北京西控電子商務有限公司、北京萬戶網絡技術有限公司、北京通達信科科技有限公司、北京快學在線教育科技有限公司、北京凱特偉業科技有限公司、北京九思協同軟件有限公司、北京競業達數碼科技股份有限公司、北京金和網絡股份有限公司、北京杰控科技有限公司、北京豆牛網絡科技有限公司、北京百卓網絡技術有限公司、北京百度網訊科技有限公司、奧琦瑋信息科技 ( 北京 ) 有限公司、安美世紀(北京)科技有限公司、安科瑞電氣股份有限公司、安徽旭帆信息科技有限公司、阿里巴巴集團安全應急響應中心、山東文旅云智能科技有限公司、voidtools、semcms和ABLELink。
本周漏洞報送情況統計
本周報送情況如表1所示。 其中, 北京啟明星辰信息安全技術有限公司、安天科技集團股份有限公司、深信服科技股份有限公司、新華三技術有限公司、北京天融信網絡安全技術有限公司等單位報送公開收集的漏洞數量較多。內蒙古中葉信息技術有限責任公司、杭州美創科技有限公司、河南東方云盾信息技術有限公司、河南信安世紀科技有限公司、快頁信息技術有限公司、奇安星城網絡安全運營服務(長沙)有限公司、聯想集團、安徽鋒刃信息科技有限公司、 杭州默安科技有限公司、 重慶電信系統集成有限公司、內蒙古洞明科技有限公司、賽爾網絡有限公司、廣州安億信軟件科技有限公司、河南省鼎信信息安全等級測評有限公司、河北鐫遠網絡科技有限公司、浙江木鏈物聯網科技有限公司、江蘇極元信息技術有限公司、寧夏凱信特信息科技有限公司、中能融合智慧科技有限公司、北京網御星云信息技術有限公司、西藏熙安信息技術有限責任公司、奇安信-工控安全實驗室、德國電信咨詢公司中國區公司、四川中成基業安全技術有限公司、南京師范大學常州創新發展研究院軟件與信息安全測評中心、博智安全科技股份有限公司、鄭州埃文科技、工業和信息化部電子第五研究所、北京山石網科信息技術有限公司、安徽長泰科技有限公司、重慶易閱科技有限公司、亞信科技(成都)有限公司及其他個人白帽子向CNVD提交了7156個以事件型漏洞為主的原創漏洞,其中包括奇安信網神(補天平臺)、斗象科技(漏洞盒子)、三六零數字安全科技集團有限公司和上海交大向CNVD共享的白帽子報送的5192條原創漏洞信息。
表1 漏洞報 送情況統計表
本周漏洞按類型和廠商統計
本周,CNVD收錄了475個漏洞。WEB應用319個,應用程序65個,網絡設備(交換機、路由器等網絡端設備)35個,智能設備(物聯網終端設備)34個,操作系統21個,數據庫1個。
表2 漏洞按影響類型統計表
圖6 本周漏洞按影響類型分布
CNVD整理和發布的漏洞涉及Ricoh、Microsoft、Adobe等多家廠商的產品,部分漏洞數量按廠商統計如表3所示。
表3 漏洞產品涉及廠商分布統計表
本周行業漏洞收錄情況
本 周 ,CNVD收錄了30個電信行業漏洞,31個移動互聯網行業漏洞(如下圖所示)。其中,“NETGEAR R6250緩沖區溢出漏洞、Lenovo XClarity Administrator命令注入漏洞”等漏洞的綜合評級為“高危”。相關廠商已經發布了漏洞的修補程序,請參照CNVD相關行業漏洞庫鏈接。
電信行業漏洞鏈接: http://telecom.cnvd.org.cn/
移動互聯網行業漏洞鏈接: http://mi.cnvd.org.cn/
工控系統行業漏洞鏈接: http://ics.cnvd.org.cn/
圖7 電信行業漏洞統計
圖8 移動互聯網行業漏洞統計
本周重要漏洞安全告警
本周,CNVD整理和發布以下重要安全漏洞信息。
1、 Google產品安全漏洞
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞導致本地權限提升,通過藍牙遠程執行代碼等。
CNVD收錄的相關漏洞包括:Google Android輸入驗證錯誤漏洞(CNVD-2023-53154、CNVD-2023-53156、CNVD-2023-53163)、Google Android邏輯缺陷漏洞(CNVD-2023-53155)、Google Android資源管理錯誤漏洞(CNVD-2023-53161、CNVD-2023-53160)、Google Android加密問題漏洞(CNVD-2023-53159)、Google Android代碼問題漏洞(CNVD-2023-53158)。其中,“Google Android資源管理錯誤漏洞(CNVD-2023-53160)、Google Android加密問題漏洞(CNVD-2023-53159)”漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53154
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53156
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53155
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53161
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53160
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53159
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53158
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53163
2、Microsoft產品安全漏洞
Microsoft SharePoint Server是美國微軟(Microsoft)公司的一套企業業務協作平臺。該平臺用于對業務信息進行整合,并能夠共享工作、與他人協同工作、組織項目和工作組、搜索人員和信息。Microsoft Excel是美國微軟(Microsoft)公司的一款Office套件中的電子表格處理軟件。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞進行欺騙攻擊,在系統上執行任意代碼等。
CNVD收錄的相關漏洞包括:Microsoft SharePoint Server欺騙漏洞(CNVD-2023-53461、CNVD-2023-53462)、Microsoft Excel遠程代碼執行漏洞(CNVD-2023-53904、CNVD-2023-53906)、Microsoft Excel安全功能繞過漏洞(CNVD-2023-53907)、Microsoft Excel代碼執行漏洞(CNVD-2023-53908、CNVD-2023-53909、CNVD-2023-53911)。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53461
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53462
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53904
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53906
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53907
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53908
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53909
https://www.cnvd.org.cn/flaw/show/CNVD-2023-53911
3、Adobe產品安全漏洞
Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。Adobe Animate是美國奧多比(Adobe)公司的一套Flash動畫制作軟件。Adobe Substance 3D Designer是美國奧多比(Adobe)公司的一款3D設計軟件。Adobe Photoshop是一個由Adobe開發和發行的應用軟件,用于圖像處理。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞注入精心設計的有效載荷執行任意Web腳本或HTML,在系統上執行任意代碼或者導致拒絕服務攻擊等。
CNVD收錄的相關漏洞包括:Adobe Experience Manager跨站腳本漏洞(CNVD-2023-54543)、Adobe Experience Manager輸入驗證錯誤漏洞(CNVD-2023-54542)、Adobe Animate資源管理錯誤漏洞、Adobe Substance 3D Designer緩沖區溢出漏洞、Adobe Animate緩沖區溢出漏洞(CNVD-2023-54550)、Adobe Photoshop緩沖區溢出漏洞(CNVD-2023-54549、CNVD-2023-54551)、Adobe Photoshop資源管理錯誤漏洞(CNVD-2023-54548)。其中,除“Adobe Experience Manager跨站腳本漏洞(CNVD-2023-54543)、Adobe Experience Manager輸入驗證錯誤漏洞(CNVD-2023-54542)”外,其余漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54543
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54542
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54545
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54544
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54550
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54549
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54548
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54551
4、Linux產品安全漏洞
Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞導致拒絕服務,提交特殊的請求,可以內核上下文執行任意代碼,提升權限等。
CNVD收錄的相關漏洞包括:Linux kernel vidtv_mux_stop_thread拒絕服務漏洞、Linux kernel gsmld_write拒絕服務漏洞、Linux Kernel資源管理錯誤漏洞(CNVD-2023-54414)、Linux Kernel緩沖區溢出漏洞(CNVD-2023-54413)、inux Kernel RxRPC競爭條件問題漏洞、Linux kernel信息泄露漏洞(CNVD-2023-54416)、Linux kernel拒絕服務漏洞(CNVD-2023-54415、CNVD-2023-54619)。其中,“Linux Kernel拒絕服務漏洞(CNVD-2023-54619)”漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54411
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54409
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54414
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54413
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54412
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54416
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54415
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54619
5、北京星網銳捷網絡技術有限公司RG-BCR860操作系統命令注入漏洞
RG-BCR860是中國銳捷網絡(Ruijie Networks)公司的一款商業云路由器。本周,北京星網銳捷網絡技術有限公司RG-BCR860被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。目前,廠商尚未發布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54867
小結:本周,Google產品被披露存在多個漏洞,攻擊者可利用漏洞導致本地權限提升,通過藍牙遠程執行代碼等。此外,Microsoft、Adobe、Linux等多款產品被披露存在多個漏洞,攻擊者可利用漏洞進行欺騙攻擊,在系統上執行任意代碼,提升權限等。另外,北京星網銳捷網絡技術有限公司RG-BCR860操作系統被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
本周重要漏洞攻擊驗證情況
本周,CNVD建議注意防范以下已公開漏洞攻擊驗證情況。
1、minor-bidi;color:#0F6FB9;mso-font-kerning:1.0pt;mso-ansi-language:EN-US;mso-fareast-language:ZH-CN;mso-bidi-language:AR-SA;" lang="EN-US">novel-plus文件上傳漏洞
驗證描述
novel-plus(小說精品屋-plus)是一個多端(PC、WAP)閱讀、功能完善的原創文學CMS系統。
novel-plus存在文件上傳漏洞,該漏洞源于/novel-admin/src/main/java/com/java2nb/common/controller/FileController.java缺少對于文件上傳的限制。攻擊者可利用漏洞上傳惡意JSP文件。
驗證信息
POC鏈接:
https://github.com/201206030/novel-plus/issues/62
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-54404
一顆小胡椒
關鍵基礎設施安全應急響應中心
D1Net
全球網絡安全資訊
安全圈
FreeBuf
綠盟科技
D1Net
一顆小胡椒
安全內參
安全牛
D1Net
