CNVD漏洞周報2021年第48期
本周信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞553個,其中高危漏洞166個、中危漏洞326個、低危漏洞61個。漏洞平均分值為5.79。本周收錄的漏洞中,涉及0day漏洞300個(占54%),其中互聯網上出現“Libmobi緩沖區溢出漏洞、Phpjabbers Appointment Scheduler跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數10359個,與上周(4773個)環比增加117%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數按周統計
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業單位通報漏洞事件19起,向基礎電信企業通報漏洞事件27起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件719起,協調教育行業應急組織驗證和處置高校科研院所系統漏洞事件87起,向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件74起。
圖3 CNVD各行業漏洞處置情況按周統計
圖4 CNCERT各分中心處置情況按周統計
圖5 CNVD教育行業應急組織處置情況按周統計
此外,CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞,具體處置單位情況如下所示:
淄博閃靈網絡科技有限公司、中鐵信托有限責任公司、中科博華信息科技有限公司、中國電信集團公司、中版行知(廣州)數字傳媒有限公司、友訊電子設備(上海)有限公司、兄弟(中國)商業有限公司、校無憂科技網絡公司、西安鳳巢網絡科技有限公司、武漢舜通智能科技有限公司、武漢烽火眾智數字技術有限責任公司、微軟(中國)有限公司、網宿科技股份有限公司、天津神州浩天科技有限公司、泰華智慧產業集團股份有限公司、臺達電子企業管理(上海)有限公司、松下電器(中國)有限公司、四平市九州易通科技有限公司、四創科技有限公司、四川云圖信息技術有限公司、思科系統(中國)網絡技術有限公司、數字化(廣州)科技有限公司、石家莊和嘉科技有限公司、深圳市圓夢云科技有限公司、深圳市睿熾科技有限公司、深圳市藍凌軟件股份有限公司、深圳市捷視飛通科技股份有限公司、深圳市杰成合力科技有限公司、深圳市吉祥騰達科技有限公司、深圳市合信自動化技術有限公司、深圳市皓峰通訊技術有限公司、深圳華望技術有限公司、上海億速網絡科技有限公司、上海軟眾網絡科技有限公司、上海牛邁網絡科技有限公司、上海匯尼信息科技有限公司、上海寰創通信科技股份有限公司、上海二三四五移動科技有限公司、上海寶信軟件股份有限公司、山東金鐘科技集團股份有限公司、廈門科汛軟件有限公司、南京悠珀網絡科技有限公司、六安校無憂信息科技有限公司、江蘇圖星軟件科技有限責任公司、佳能(中國)有限公司、濟南博觀智能科技有限公司、淮南市銀泰軟件科技有限公司、湖南壹拾捌號網絡技術有限公司、湖南人才就業社保信息報社有限責任公司、湖南康通電子股份有限公司、河南恩熙信息技術有限公司、合肥奇樂網絡科技有限公司、合肥明信軟件技術有限公司、杭州中寶科技有限公司、杭州三匯信息工程有限公司、杭州闊知網絡科技有限公司、杭州冠航科技有限公司、漢王科技股份有限公司、哈爾濱新中新電子股份有限公司、廣州智雄軟件有限公司、廣州齊博網絡科技有限公司、廣州酷狗計算機科技有限公司、廣聯達科技股份有限公司、高新興科技集團股份有限公司、飛利浦(中國)投資有限公司、成都友加暢捷科技有限公司、成都零起飛科技有限公司、貝爾金國際有限公司、北京中創視訊科技有限公司、北京智敏科技發展有限公司、北京致遠互聯軟件股份有限公司、北京育網陽光科技有限公司、北京雪迪龍科技股份有限公司、北京星網銳捷網絡技術有限公司、北京五指互聯科技有限公司、北京網御星云信息技術有限公司、北京通達信科科技有限公司、北京勤云科技發展有限公司、北京派網軟件有限公司、北京魔方恒久軟件有限公司、北京漢邦高科數字技術股份有限公司、北京奧騰巖石科技有限公司、和利時集團、寧海縣人民政府辦公室、國家鐵塔工程安全質量監督檢驗中心、施耐德(Schneider Electric)、百度安全應急響應中心、無憂網絡、網展科技、中興保全科技、巡云輕論壇系統、信呼、ZZCMS、wolfSSL Inc.、The Apache Software Foundation、JeePlus、Iceni Technology、HadSky、ElasticSearch、Code Industry Ltd和ClassCMS。
本周漏洞報送情況統計
本周報送情況如表1所示。其中,北京天融信網絡安全技術有限公司、北京神州綠盟科技有限公司、哈爾濱安天科技集團股份有限公司、新華三技術有限公司、北京數字觀星科技有限公司等單位報送公開收集的漏洞數量較多。北京信聯科匯科技有限公司、廣東藍爵網絡安全技術股份有限公司、貴州多彩寶互聯網服務有限公司、山東新潮信息技術有限公司、南京樹安信息技術有限公司、重慶都會信息科技、安徽長泰科技有限公司、長春嘉誠信息技術股份有限公司、北京安帝科技有限公司、杭州海康威視數字技術股份有限公司、星云博創科技有限公司、杭州迪普科技股份有限公司、北京遠禾科技有限公司、河南信安世紀科技有限公司、北京威努特技術有限公司、亞信科技(成都)有限公司、京東云安全、河南靈創電子科技有限公司、上海紐盾科技股份有限公司、山東云天安全技術有限公司、福建省海峽信息技術有限公司、博智安全科技股份有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、山石網科通信技術股份有限公司、陜西省網絡與信息安全測評中心、快頁信息技術有限公司、內蒙古洞明科技有限公司、廣州安億信軟件科技有限公司、廣州百蘊啟辰科技有限公司、廣州易東信息安全技術有限公司、海南神州希望網路有限公司、天津偕行科技有限公司、北京機沃科技有限公司、浙江東安檢測技術有限公司、北京水木羽林科技有限公司、思而聽網絡科技有限公司、蘇州棱鏡七彩信息科技有限公司、平安銀河實驗室、廣西等保安全測評有限公司、聯想集團及其他個人白帽子向CNVD提交了10359個以事件型漏洞為主的原創漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信網神(補天平臺)向CNVD共享的白帽子報送的7773條原創漏洞信息。
表1 漏洞報 送情況統計表
本周漏洞按類型和廠商統計
本周,CNVD收錄了553個漏洞。WEB應用239個,應用程序193個,網絡設備(交換機、路由器等網絡端設備)68個,智能設備(物聯網終端設備)19個,操作系統18個,安全產品14個,數據庫2個。
表2 漏洞按影響類型統計表
圖6 本周漏洞按影響類型分布
CNVD整理和發布的漏洞涉及Adobe、IBM、DELL等多家廠商的產品,部分漏洞數量按廠商統計如表3所示。
表3 漏洞產品涉及廠商分布統計表
本周行業漏洞收錄情況
本周,CNVD收錄了46個電信行業漏洞,29個移動互聯網行業漏洞,10個工控行業漏洞(如下圖所示)。其中,“D-Link DWR-932C E1命令注入漏洞、Huawei Emui和Magic UI資源管理錯誤漏洞”等漏洞的綜合評級為“高危”。相關廠商已經發布了漏洞的修補程序,請參照CNVD相關行業漏洞庫鏈接。
電信行業漏洞鏈接: http://telecom.cnvd.org.cn/
移動互聯網行業漏洞鏈接: http://mi.cnvd.org.cn/
工控系統行業漏洞鏈接: http://ics.cnvd.org.cn/
圖3 電信行業漏洞統計
圖4 移動互聯網行業漏洞統計
圖5 工控系統行業漏洞統計
本周重要漏洞安全告警
本周,CNVD整理和發布以下重要安全漏洞信息。
1、DELL產品安全漏洞
Dell Networking OS10是美國戴爾(DELL)公司的一套基于Linux的網絡交換機操作系統。Dell Networking X-Series是美國戴爾(Dell)公司的一系列智能網管交換機。Dell EMC CloudLink是一種靈活的數據加密和密鑰管理解決方案,適用于公共、私有和混合云環境中的數據加密。Dell Bios是美國戴爾(Dell)公司的一個計算機主板上小型內存芯片上的嵌入式軟件。Dell OpenManage Enterprise是美國Dell公司的一款用于IT基礎架構管理的易于使用的一對多系統管理控制臺。該軟件支持一個控制臺中經濟高效地為Dell EMC PowerEdge服務器提供全面的生命周期管理。DELL EMC OpenManage Enterprise-Modular是美國戴爾(DELL)公司的一個應用程序。本周,上述產品被披露存在多個漏洞,攻擊者可利用該漏洞獲取對受影響系統的訪問并執行操作,通過偽造會話ID來劫持會話并訪問網絡服務器,獲得受影響系統的管理員權限,在最終用戶系統上執行任意文件等。
CNVD收錄的相關漏洞包括:Dell Networking OS10身份驗證繞過漏洞、Dell Networking X-Series身份驗證繞過漏洞、Dell Networking OS10權限提升漏洞、Dell EMC CloudLink任意文件創建漏洞、Dell BIOS輸入驗證錯誤漏洞(CNVD-2021-92452、CNVD-2021-92544)、Dell OpenManage Enterprise操作系統命令注入漏洞、DELL EMC OpenManage Enterprise-Modular操作系統命令注入漏洞。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92436
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92440
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92437
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92444
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92452
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92459
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92461
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92544
2、Adobe產品安全漏洞
Adobe XMP Toolkit SDK是美國奧多比(Adobe)公司的一種標簽技術,允許您將有關文件的數據(稱為元數據)嵌入到文件本身中。Adobe Photoshop,簡稱“PS”,是由Adobe公司開發和發行的圖像處理軟件。Adobe Premiere Elements是Adobe公司推出的一款視頻編輯軟件應用程序。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞執行任意代碼。
CNVD收錄的相關漏洞包括:Adobe XMP Toolkit SDK棧緩沖區溢出漏洞(CNVD-2021-91984、CNVD-2021-91983、CNVD-2021-91982、CNVD-2021-91985)、Adobe Photoshop 2021緩沖區溢出漏洞、Adobe Photoshop 2021內存緩沖區越界訪問漏洞、Adobe Premiere Elements內存緩沖區越界訪問漏洞(CNVD-2021-91990、CNVD-2021-91994)。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-91984
https://www.cnvd.org.cn/flaw/show/CNVD-2021-91983
https://www.cnvd.org.cn/flaw/show/CNVD-2021-91982
https://www.cnvd.org.cn/flaw/show/CNVD-2021-91985
https://www.cnvd.org.cn/flaw/show/CNVD-2021-91987
https://www.cnvd.org.cn/flaw/show/CNVD-2021-91988
https://www.cnvd.org.cn/flaw/show/CNVD-2021-91990
https://www.cnvd.org.cn/flaw/show/CNVD-2021-91994
3、Advantech產品安全漏洞
Advantech R-SeeNet是中國臺灣研華(Advantech)公司的一個工業監控軟件。該軟件基于snmp協議進行監控平臺,并且適用于Linux、Windows平臺。本周,上述產品被披露存在多個漏洞,攻擊者可利用該漏洞通過發送精心設計的HTTP請求導致任意PHP代碼執行,在數據庫中執行任意SQL查詢。
CNVD收錄的相關漏洞包括:Advantech R-SeeNet文件包含漏洞、Advantech R-SeeNet SQL注入漏洞(CNVD-2021-92433、CNVD-2021-92432、CNVD-2021-92435、CNVD-2021-92434、CNVD-2021-93820、CNVD-2021-93822、CNVD-2021-93821)。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92258
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92433
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92432
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92435
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92434
https://www.cnvd.org.cn/flaw/show/CNVD-2021-93820
https://www.cnvd.org.cn/flaw/show/CNVD-2021-93822
https://www.cnvd.org.cn/flaw/show/CNVD-2021-93821
4、IBM產品安全漏洞
IBM Planning Analytics是美國IBM公司的一套業務規劃分析解決方案。該方案支持自動化執行業務規劃、預算和分析等流程。IBM Security SiteProtector System是美國IBM公司的一個集中式管理系統。用于對網絡、服務器和桌面端點安全代理以及小型網絡或設備的統一管理和分析。IBM MQ(前身為IBM WebSphere MQ)是一個強大、安全且可靠的消息傳遞中間件。IBM QRadar SIEM是美國IBM公司的一套利用安全智能保護資產和信息遠離高級威脅的解決方案。該方案提供對整個IT架構范圍進行監督、生成詳細的數據訪問和用戶活動報告等功能。IBM Business Automation Workflow是一套工作流程自動化解決方案。該產品主要用于工作流程管理、合規性管理,并具有工作流程可見性和可擴展等特點。IBM System x servers是美國國際商業機器公司(IBM)的一款服務器。本周,上述產品被披露存在多個漏洞,攻擊者可利用該漏洞獲取敏感信息,經過身份驗證的SSH或Telnet會話執行操作系統命令,導致拒絕服務等。
CNVD收錄的相關漏洞包括:IBM Planning Analytics注入漏洞、IBM Tivoli Key Lifecycle Manager拒絕服務漏洞、IBM SiteProtector Appliance信息泄露漏洞、IBM MQ拒絕服務漏洞(CNVD-2021-93631)、IBM QRadar SIEM跨站腳本漏洞(CNVD-2021-94164)、IBM QRadar SIEM信息泄露漏洞(CNVD-2021-94163)、IBM Business Automation Workflow跨站腳本漏洞(CNVD-2021-94166)、IBM System x servers操作系統命令注入漏洞。其中,“IBM Planning Analytics注入漏洞、IBM System x servers操作系統命令注入漏洞”漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92467
https://www.cnvd.org.cn/flaw/show/CNVD-2021-92545
https://www.cnvd.org.cn/flaw/show/CNVD-2021-93383
https://www.cnvd.org.cn/flaw/show/CNVD-2021-93631
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94164
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94163
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94166
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94165
5、DOPSoft棧緩沖區溢出漏洞
DOPSoft是Delta Electronics公司推出的一款人機界面(HMI)編程軟件。本周,DOPSoft 4.00.11及更早版本存在棧緩沖區溢出漏洞,攻擊者可通過特制項目文件利用該漏洞執行任意代碼。目前,廠商尚未發布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-93912
小結:本周,DELL產品被披露存在多個漏洞,攻擊者可利用該漏洞獲取對受影響系統的訪問并執行操作,通過偽造會話ID來劫持會話并訪問網絡服務器,獲得受影響系統的管理員權限,在最終用戶系統上執行任意文件等。此外,Adobe,Advantech,IBM等多款產品被披露存在多個漏洞,攻擊者可利用漏洞通過發送精心設計的HTTP請求導致任意PHP代碼執行,在數據庫中執行任意SQL查詢,獲取敏感信息,經過身份驗證的SSH或Telnet會話執行操作系統命令,導致拒絕服務,執行任意代碼等。另外,DOPSoft 4.00.11及更早版本被披露存在棧緩沖區溢出漏洞,攻擊者可通過特制項目文件利用該漏洞執行任意代碼。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
