CNVD漏洞周報2021年第31期
本周漏洞態勢研判情況
本周信息安全漏洞威脅整體評價級別 為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏 洞413個,其中高危漏洞106個、中危漏洞247個、低危漏洞60個。漏洞平均分值為5.58。本周收錄的漏洞中,涉及0day漏洞248個(占60%),其中互聯網上出現“MetInfoSQL注入漏洞(CNVD-2021-59068)、HuCart跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數3796個,與上周(4935個)環比減少23%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數按周統計
本周漏洞事件處置情況
本周, CNVD向銀行、保險、能源等重要行業單位通報漏洞事件24起,向基礎電信企業通報漏洞事件33起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件357起,協調教育行業應急組織驗證和處置高校科研院所系統漏洞事件49起,向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件42起。
圖3 CNVD各行業漏洞處置情況按周統計
圖4 CNCERT各分中心處置情況按周統計
圖5 CNVD教育行業應急組織處置情況按周統計
此外,CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞,具體處置單位情況如下所示:
紫光軟件系統有限公司、淄博閃靈網絡科技有限公司、珠海新華通軟件股份有限公司、珠海玖時光科技有限公司、眾勤通信設備貿易(上海)有限公司、中興通訊股份有限公司、中建一局集團第一建筑有限公司、中海地產集團有限公司、中國建筑第八工程局有限公司、中國大唐集團公司、中國船舶集團有限公司、鄭州明網信息技術有限公司、浙江宇視科技有限公司、張家港鼎力科技有限公司、友訊電子設備(上海)有限公司、用友網絡科技股份有限公司、研華科技(中國)有限公司、徐州億優網架鋼結構工程有限公司、西安捷達測控有限公司、武漢愛碼農網絡科技有限公司、微軟(中國)有限公司、天信儀表集團有限公司、天津創享信息科技有限公司、宿遷鑫潮信息技術有限公司、蘇州科達科技股份有限公司、松下電器(中國)有限公司、四創科技有限公司、思科系統(中國)網絡技術有限公司、世邦通信股份有限公司、施耐德電氣(中國)有限公司、深圳市微控一指通科技有限公司、深圳市吉祥騰達科技有限公司、深圳警翼智能科技股份有限公司、上海縱之格科技有限公司、上海卓卓網絡科技有限公司、上海旋榮科技股份有限公司、上海建文軟件科技有限公司、上海鴻仕網絡科技有限公司、上海碧海網絡科技有限公司、廈門億聯網絡技術股份有限公司、廈門四信通信科技有限公司、潤申信息科技(上海)有限公司、青島通軟網絡科技有限公司、邁普通信技術股份有限公司、樂山全新媒體科技發展有限公司、江西銘軟科技有限公司、江蘇固德威電源科技股份有限公司、嘉興想天信息科技有限公司、吉翁電子(深圳)有限公司、惠普貿易(上海)有限公司、華信數安(深圳)技術有限公司、華特數字科技有限公司、湖南隨心所想網絡科技有限公司、湖南建研信息技術股份有限公司、合肥啟凡網絡科技有限公司、杭州雄邁信息技術有限公司、杭州吉拉科技有限公司、桂林崇勝網絡科技有限公司、廣州眾米信息科技有限公司、廣州天呈網絡技術有限公司、廣州市溢信科技股份有限公司、廣州齊博網絡科技有限公司、富士膠片商業創新(中國)有限公司、福建福昕軟件開發股份有限公司、大唐電信科技股份有限公司、成都星銳藍海網絡科技有限公司、成都飛魚星科技股份有限公司、郴州帝云網絡科技有限公司、北京中體聯合數據科技有限公司、北京中創視訊科技有限公司、北京云帆互聯科技有限公司、北京夜貓天誠網絡科技有限公司、北京星網銳捷網絡技術有限公司、北京新盛陽光科技有限公司、北京小象智慧科技有限公司、北京萬訊博通科技發展有限公司、北京萬維盈創科技發展有限公司、北京通達信科科技有限公司、北京市商湯科技開發有限公司、北京神州數碼云科信息技術有限公司、北京恰維網絡科技有限公司、北京米爾偉業科技有限公司、北京獵鷹安全科技有限公司、北京酷我科技有限公司、北京金和網絡股份有限公司、北京火木科技有限公司、北京邦永科技有限公司、北京百卓網絡技術有限公司、包頭市助友科技有限公司、安徽建工集團控股有限公司、愛普生(中國)有限公司、阿帕數字技術有限公司、阿里巴巴集團安全應急響應中心、百度安全應急響應中心、中保科技集團、智睿軟件、成都零起飛網絡、海洋CMS、YzmCMS、Victor Alagwu、TOTOLINK、SEMCMS、santesoft、OneBlog、Nitro、NETGEAR、malun、HuCart、FINECMS、CourseSEL、BEESCMS、Axis Communications AB、AKCMS和115CMS。
本周漏洞報送情況統計
本周報送情況如表1所示。 其中,北京神州綠盟科技有限公司、哈爾濱安天科技集團股份有限公司、廈門服云信息科技有限公司、新華三技術有限公司、北京啟明星辰信息安全技術有限公司等單位報送公開收集的漏洞數量較多。北京信聯科匯科技有限公司、山東云天安全技術有限公司、北京山石網科信息技術有限公司、京東云安全、北京華云安信息技術有限公司、杭州海康威視數字技術股份有限公司、浙江木鏈物聯網科技有限公司、南京眾智維信息科技有限公司、山東新潮信息技術有限公司、山東澤鹿安全技術有限公司、河南靈創電子科技有限公司、廣東藍爵網絡安全技術股份有限公司、安徽長泰信息安全服務有限公司、北京安帝科技有限公司、北京天地和興科技有限公司、重慶都會信息科技、河南信安世紀科技有限公司、杭州迪普科技股份有限公司、上海紐盾科技股份有限公司、廣西等保安全測評有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、南京樹安信息技術有限公司、北京遠禾科技有限公司、廣州安億信軟件科技有限公司、北京云弈科技有限公司、上海市信息安全測評認證中心、武漢明嘉信信息安全檢測評估有限公司、西藏熙安信息技術有限責任公司、廣州樂軒玄彩電子科技有限公司、江蘇快頁信息技術有限公司、南方電網數字電網研究院有限公司、星云博創科技有限公司 、四川賽虎科技有限公司、浙 江乾冠信息安全研究院、浙江御安信息技術有限公司、阿里巴巴網絡技術有限公司及其他個人白帽子向CNVD提交了3796個以事件型漏洞為主的原創漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信網神(補天平臺)向CNVD共享的白帽子報送的1265條原創漏洞信息。
表1 漏洞報 送情況統計表
本周漏洞按類型和廠商統計
本周,CNVD收錄了 413個漏洞。WEB應用166個,應用程序155個,網絡設備(交換機、路由器等網絡端設備)56個,操作系統15個,智能設備(物聯網終端設備)10個,安全產品10個,數據庫1個。
表2 漏洞按影響類型統計表
圖6 本周漏洞按影響類型分布
CNVD整理和發布的漏洞涉及 Oracle、NETGEAR、Foxit等多家 廠商的產品,部分漏洞數量按廠商統計如表3所示。
表3 漏洞產品涉及廠商分布統計表
本周行業漏洞收錄情況
本周, CNVD收錄了 31個電信行業漏洞,20個移動互聯網行業漏洞,12個工控行業漏洞(如下圖所示)。其中,“Advantech WebAccess/SCADA緩沖區溢出漏洞(CNVD-2021-59234)、AdvantechWebAccess/SCADA路徑遍歷漏洞(CNVD-2021-59235)”漏洞的綜合評級為“高危”。相關廠商已經發布了漏洞的修補程序,請參照CNVD相關行業漏洞庫鏈接。
電信行業漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯網行業漏洞鏈接:http://mi.cnvd.org.cn/
工控系統行業漏洞鏈接:http://ics.cnvd.org.cn/
圖7 電信行業漏洞統計
圖8 移動互聯網行業漏洞統計
圖9 工控系統行業漏洞統計
本周重要漏洞安全告警
本周,CNVD整理和發布以下重要安全漏洞信息。
1、NETGEAR產品安全漏洞
NETGEAR WNR3500L等都是美國網件(NETGEAR)公司的產品。WNR3500L是一款無線路由器。NETGEAR D6220是一款無線調制解調器。WN2500RP是一款無線網絡信號擴展器。NETGEAR WAC505等都是美國網件(NETGEAR)公司的一款無線接入點(AP)。NETGEAR R6700等都是美國網件(NETGEAR)公司的一款無線路由器。NETGEAR R7800等都是美國網件(NETGEAR)公司的一款無線路由器。NETGEAR R8000是美國網件(NETGEAR)公司的一款無線路由器。NETGEAR JNR1010等都是美國網件(NETGEAR)公司的一款無線路由器。NETGEAR D7000是一款無線調制解調器。NETGEAR WNR2020是一款無線路由器。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞通過受影響客戶端向服務器發送非預期的請求,導致緩沖區溢出或堆溢出等。
CNVD收錄的相關漏洞包括:多款NETGEAR產品緩沖區溢出漏洞(CNVD-2021-59154、CNVD-2021-59157、CNVD-2021-59166)、多款NETGEAR產品跨站請求偽造漏洞(CNVD-2021-59156、CNVD-2021-59162、CNVD-2021-59165)、NETGEAR R8000緩沖區溢出漏洞、NETGEAR R6700v2、R6800和R6900v2緩沖區溢出漏洞。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
