CNVD漏洞周報2021年第37期
本周信息安全漏洞威脅整體評價級別 為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞392個,其中高危漏洞104個、中危漏洞239個、低危漏洞49個。漏洞平均分值為5.57。本周收錄的漏洞中,涉及0day漏洞288個(占73%),其中互聯網上出現“TryGhost express-hbs信息泄露漏洞、Tastylgniter跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的原創漏洞總數5176個,與上周(6218個)環比減少17%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數按周統計
本周漏洞事件處置情況
本周, CNVD向銀行、保險、能源等重要行業單位通報漏洞事件23起,向基礎電信企業通報漏洞事件36起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件553起,協調教育行業應急組織驗證和處置高校科研院所系統漏洞事件59起,向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件40起。
圖3 CNVD各行業漏洞處置情況按周統計
圖4 CNCERT各分中心處置情況按周統計
圖5 CNVD教育行業應急組織處置情況按周統計
此外,CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞,具體處置單位情況如下所示:
淄博閃靈網絡科技有限公司、珠海金山辦公軟件有限公司、重慶光之際軟件科技有限公司、中煤(西安)地下空間科技發展有限公司、中國電信集團公司、中電鴻信信息科技有限公司、致得科創軟件(北京)有限公司、知和環保科技有限公司、支付寶(杭州)信息技術有限公司、鎮江周易科技信息有限公司、浙江萬方軟件有限公司、浙江禾匠信息科技有限公司、浙江大華技術股份有限公司、云校(北京)科技有限公司、云從科技集團股份有限公司、友訊電子設備(上海)有限公司、用友網絡科技股份有限公司、研華科技(中國)有限公司、新翔軟件科技有限公司、新天科技股份有限公司、小米科技有限責任公司、祥崴電子股份有限公司、西門子(中國)有限公司、西安知先信息技術有限公司、西安新軟信息科技有限公司、武漢江民網安科技有限公司、衛寧健康科技集團股份有限公司、幃翔精密股份有限公司、微軟(中國)有限公司、網旭科技有限公司、萬網博通科技有限公司、唐山市柳林自動化設備有限公司、蘇州科達科技股份有限公司、松下電器(中國)有限公司、四平市九州易通科技有限公司、四創科技有限公司、思科系統(中國)網絡技術有限公司、世邦通信股份有限公司、沈陽明致軟件有限公司、深圳譽龍數字技術有限公司、深圳一正技術有限公司、深圳市網域科技技術有限公司、深圳市沙漠風網絡科技有限公司、深圳市銳明技術股份有限公司、深圳市普燃計算機軟件科技有限公司、深圳市模擬科技有限公司、深圳市麥斯杰網絡有限公司、深圳市磊科實業有限公司、深圳市朗馳欣創科技股份有限公司、深圳市吉祥騰達科技有限公司、深圳市惠爾頓信息技術有限公司、深圳市華域數安科技有限公司、深圳市和為順網絡技術有限公司、深圳市航順芯片技術研發有限公司、深圳市電航科技發展有限公司、深圳前海金銀星科技有限公司、深圳齊心好視通云計算有限公司、深圳華視美達信息技術有限公司、上海遠豐信息科技(集團)有限公司、上海新網程信息技術股份有限公司、上海紐盾科技股份有限公司、上海漢得信息技術股份有限公司、上海安達通信息安全技術股份有限公司、熵基科技股份有限公司、山西合力思創科技有限公司、廈門四信通信科技有限公司、廈門市靈鹿谷科技有限公司、廈門科汛軟件有限公司、人美新媒體科技(北京)有限公司、普聯技術有限公司、寧波睿易教育科技股份有限公司、南通點酷網絡科技有限公司、南京科遠智慧科技集團股份有限公司、獵豹移動公司、聯奕科技股份有限公司、理光(中國)投資有限公司、科大訊飛股份有限公司、精華教育科技股份有限公司、京瓷集團、江蘇卓易信息科技股份有限公司、佳能(中國)有限公司、華特數字科技有限公司、華大半導體有限公司、湖南壹拾捌號網絡技術有限公司、湖南青果軟件有限公司、湖南建研信息技術股份有限公司、杭州涂鴉科技有限公司、杭州三匯數字信息技術有限公司、杭州品茗安控信息技術股份有限公司、杭州海康威視數字技術股份有限公司、杭州冠航科技有限公司、杭州博聯智能科技股份有限公司、廣州縱道軟件有限公司、廣州網易計算機系統有限公司、廣州市凝智科技有限公司、廣州市國萬電子科技有限公司、廣州市奧威亞電子科技有限公司、廣州齊博網絡科技有限公司、廣州南方衛星導航儀器有限公司、廣州紅帆科技有限公司、廣州國微軟件科技有限公司、廣州鼎成信息科技有限公司、廣東旭誠科技有限公司、谷歌公司、歌美斯有限公司、福州網鈦軟件科技有限公司、福州麥佳軟件有限公司、福建三元達控股有限公司、東華軟件股份公司、東莞市冬驚魚網絡科技有限公司、大連理工計算機控制工程有限公司、成都依能科技股份有限公司、北京眾智創世科技有限公司、北京云創聯合科技有限公司、北京映翰通網絡技術股份有限公司、北京億中郵信息技術有限公司、北京億信華辰軟件有限責任公司、北京雪迪龍科技股份有限公司、北京星網銳捷網絡技術有限公司、北京網御星云信息技術有限公司、北京通達信科科技有限公司、北京碩人時代科技股份有限公司、北京世紀超星信息技術發展有限責任公司、北京神州數碼云科信息技術有限公司、北京派網軟件有限公司、北京良精志誠科技有限責任公司、北京金盤鵬圖軟件技術有限公司、北京宏業超世紀科技有限公司、北京和信康健康科技有限公司、北京和利時集團、北京海騰時代科技有限公司、北京多點在線科技有限公司、北京東方通科技股份有限公司、北京棣南新宇科技有限公司、北京北大方正電子有限公司、北京愛奇藝科技有限公司、蚌埠依愛消防電子有限責任公司、傲拓科技股份有限公司、安徽中匯規劃勘測設計研究院股份有限公司、安徽希望網絡科技有限公司、ZIONCOM(香港)科技有限公司、小說精品屋、夢想cms、零起飛工作室、帝國軟件、ZCNCMS、XnSoft、The PHP Group、SEMCMS、phpaaCMS、PESCMS、Panabit、NETGEAR、muucmf、Lexmark、ICP DAS CO.、HDHCMS、HDCMS、FineCMS、Cisco、bluecms、Apple、Apache Software Foundation、akcms和Adobe。
本周,CNVD發布了《Microsoft發布2021年9月安全更新》。詳情參見CNVD網站公告內容。
https://www.cnvd.org.cn/webinfo/show/6846
本周漏洞報送情況統計
本周報送情況如表1所示。 其中 ,北京天融信網絡安全技術有限公司、哈爾濱安天科技集團股份有限公司、北京神州綠盟科技有限公司、新華三技術有限公司、北京奇虎科技有限公司等單位報送公開收集的漏洞數量較多。山東云天安全技術有限公司、河南靈創電子科技有限公司、南京眾智維信息科技有限公司、北京信聯科匯科技有限公司、北京山石網科信息技術有限公司、杭州海康威視數字技術股份有限公司、北京安帝科技有限公司、內蒙古洞明科技有限公司、廣東藍爵網絡安全技術股份有限公司、北京大學、北京天地和興科技有限公司、北京安華金和科技有限公司、安徽長泰科技有限公司、山東澤鹿安全技術有限公司、上海紐盾科技股份有限公司、重慶都會信息科技有限公司、浙江國利網安科技有限公司、內蒙古云科數據服務股份有限公司、河南信安世紀科技有限公司、北京遠禾科技有限公司、京東云安全、中國煙草總公司湖北省公司、平安銀河實驗室、江蘇快頁信息技術有限公司、中電長城網際系統應用有限公司、廣州安億信軟件科技有限公司、北京惠而特科技有限公司、南京樹安信息技術有限公司、浙江木鏈物聯網科技有限公司、浙江大華技術股份有限公司、山石網科通信技術股份有限公司、蘇州葉安網絡科技有限公司、北京科技大學、北京水木羽林科技有限公司、天訊瑞達通信技術有限公司、深圳市跨越新科技有限公司、西藏熙安信息技術有限責任公司、星云博創科技有限公司、深圳市魔方安全科技有限公司、北京機沃科技有限公司及其他個人白帽子向CNVD提交了5176個以事件型漏洞為主的原創漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信網神(補天平臺)向CNVD共享的白帽子報送的3093條原創漏洞信息。
表1 漏洞報 送情況統計表
本周漏洞按類型和廠商統計
本周, CNVD收錄了392個漏洞。WEB應用174個,應用程序100個,網絡設備(交換機、路由器等網絡端設備)71個,操作系統31個,智能設備(物聯網終端設備)9個,安全產品7個。
表2 漏洞按影響類型統計表
圖6 本周漏洞按影響類型分布
CNVD整理和發布的漏洞涉及Siemens、友訊電子設備(上海)有限公司、Microsoft等多家廠商的產品,部分漏洞數量按廠商統計如表3所示。
表3 漏洞產品涉及廠商分布統計表
本周行業漏洞收錄情況
本周, CNVD收錄了53個電信行業漏洞,24個移動互聯網行業漏洞,19個工控行業漏洞(如下圖所示)。其中,“Aruba Networks ArubaOS命令注入漏洞(CNVD-2021-71260)、Siemens SIPROTEC 5 relays緩沖區溢出漏洞”等漏洞的綜合評級為“高危”。相關廠商已經發布了漏洞的修補程序,請參照CNVD相關行業漏洞庫鏈接。
電信行業漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯網行業漏洞鏈接:http://mi.cnvd.org.cn/
工控系統行業漏洞鏈接:http://ics.cnvd.org.cn/
圖7 電信行業漏洞統計
圖8 移動互聯網行業漏洞統計
圖9 工控系統行業漏洞統計
本周重要漏洞安全告警
本周,CNVD整理和發布以下重要安全漏洞信息。
1、Siemens產品安全漏洞
Siemens SINEC NMS是德國西門子(Siemens)公司的 一個網絡管理系統 (NMS)。Siemens Teamcenter Active Workspace是一種用于訪問Teamcenter系統的web應用程序。Simcenter STAR-CCM+是一個多物理計算流體動力學(CFD)軟件。Siemens Teamcenter是一套產品生命周期管理計算機軟件應用程序。RUGGEDCOM RX1400是一個多協議智能節點,將以太網交換、路由和應用程序托管功能與各種廣域連接選項結合在一起。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞從底層文件系統下載任意文件,獲取敏感信息,繞過限制,獲得root權限,執行代碼等。
CNVD收錄的相關漏洞包括:Siemens RUGGEDCOM ROX信息泄露漏洞、Siemens RUGGEDCOM ROX權限提升漏洞、Siemens SINEC NMS跨站請求偽造漏洞、Siemens SINEC NMS路徑遍歷漏洞、Siemens Teamcenter Active Workspace路徑遍歷漏洞、Siemens STAR-CCM+ Viewer越界寫入漏洞、Siemens Teamcenter訪問控制錯誤漏洞、Siemens Teamcenter代碼問題漏洞。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71420
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71419
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71429
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71430
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71434
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71435
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71440
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71439
2、WordPress產品安全漏洞
WordPress是WordPress(Wordpress)基金會的一套使用PHP語言開發的博客平臺。WordPress Easy Social Icons插件是WordPress開源的一個應用插件。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞執行非法SQL語句,獲取敏感信息,竊取用戶Cookie憑據等。
CNVD收錄的相關漏洞包括:WordPress跨站腳本漏洞(CNVD-2021-70735)、WordPress SQL注入漏洞(CNVD-2021-70739、CNVD-2021-70733、CNVD-2021-70738、CNVD-2021-70740)、WordPress underConstruction跨站腳本漏洞、WordPress Gutenberg Template Library&Redux Framework訪問控制錯誤漏洞、WordPress Easy Social Icons跨站腳本漏洞。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70733
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70735
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70739
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70738
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70740
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70743
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70742
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70741
3、Microsoft產品安全漏洞
Microsoft Windows和Microsoft Windows Server都是美國微軟(Microsoft)公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞在執行任意代碼,控制受影響的系統,從而可安裝程序,查看,更改或刪除數據,或創建具有完全用戶權限的新帳戶等。
CNVD收錄的相關漏洞包括:Microsoft Windows和Windows Server遠程代碼執行漏洞(CNVD-2021-71405、CNVD-2021-71406、CNVD-2021-71407、CNVD-2021-71408、CNVD-2021-71410、CNVD-2021-71411、CNVD-2021-71413、CNVD-2021-71414)。其中,“Microsoft Windows和Windows Server遠程代碼執行漏洞(CNVD-2021-71410、CNVD-2021-71411、CNVD-2021-71413、CNVD-2021-71414)”漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71405
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71406
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71407
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71408
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71410
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71411
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71413
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71414
4、IBM產品安全漏洞
IBM Financial Transaction Manager是美國IBM公司的一款金融事務管理器。IBM Planning Analytics是一款計劃、預算、預測及分析解決方案。IBM AIX是一款為IBM Power體系架構開發的一種基于開放標準的UNIX操作系統。IBM WebSphere Application Server(WAS)是由IBM遵照開放標準,例如Java EE、XML及Web Services,開發并發行的一種應用服務器。IBM Tivoli Workload Scheduler是一套企業任務調度軟件。IBM API Connect是一種綜合的端到端API生命周期解決方案。本周,上述產品被披露存在多個漏洞,攻擊者可利用該漏洞執行客戶端代碼,獲取敏感信息和根特權,注入代碼等。
CNVD收錄的相關漏洞包括:IBM Financial Transaction Manager跨站腳本漏洞(CNVD-2021-71255)、IBM Planning Analytics信息泄露漏洞(CNVD-2021-71523、CNVD-2021-71522)、IBM AIX權限許可和訪問控制問題漏洞(CNVD-2021-71526、CNVD-2021-71529)、IBM WebSphere Application Server權限提升漏洞(CNVD-2021-71530)、IBM Tivoli Workload Scheduler緩沖區溢出漏洞、IBM API Connect代碼注入漏洞。其中,“IBM AIX權限許可和訪問控制問題漏洞(CNVD-2021-71526、CNVD-2021-71529)、IBM API Connect代碼注入漏洞”漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71255
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71523
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71522
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71526
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71530
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71529
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71528
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71527
5、Mozilla Rust內存破壞漏洞(CNVD-2021-71659)
Rust是Mozilla基金會的一款通用、編譯型編程語言。本周,Rust may_queue crate through 2020-11-10被披露存在命令注入漏洞。攻擊者可利用該漏洞導致發生內存損壞。目前,廠商尚未發布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71659
小結:本周,Siemens產品被披露存在多個漏洞,攻擊者可利用漏洞從底層文件系統下載任意文件,獲取敏感信息,繞過限制,獲得root權限,執行代碼等。此外,WordPress、Microsoft、IBM等多款產品被披露存在多個漏洞,攻擊者可利用該漏洞執行任意代碼,獲取敏感信息和根特權,注入代碼等。另外,Rust may_queue crate through 2020-11-10被披露存在命令注入漏洞。攻擊者可利用該漏洞導致發生內存損壞。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案
本周重要漏洞攻擊驗證情
本周,CNVD建議注意防范以下已公開漏洞攻擊驗證情況。
1、Tastylgniter跨站腳本漏洞
驗證描述
TastyIgniter是一個基于Laravel PHP Framework的免費開源餐廳在線訂購系統。
Tastylgniter 3.0.7存在跨站腳本漏洞,該漏洞源于軟件中的/account, /reservation, /admin/dashboard,和/admin/system_logs目錄中缺少對于用戶提交數據的有效驗證,攻擊者可利用該漏洞執行任意JavaScript。
驗證 信息
POC鏈接:
https://packetstormsecurity.com/files/163843/TastyIgniter-3.0.7-Cross-Site-Scripting.html
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71457
信息提供者
恒安嘉新(北京)科技股份公司
注:以上驗證信息(方法)可能帶有攻擊性,僅供安全研究之用。請廣大用戶加強對漏洞的防范工作,盡快下載相關補丁。
關于CNVD
國家信息安全漏洞共享平臺(China National Vulnerability Database,簡稱CNVD)是CNCERT聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的信息安全漏洞信息共享知識庫,致力于建立國家統一的信息安全漏洞收集、發布、驗證、分析等應急處理體系。
關于CNCERT
國家計算機網絡應急技術處理協調中心(簡稱“國家互聯網應急中心”,英文簡稱是CNCERT或CNCERT/CC),成立于2002年9月,為非政府非盈利的網絡安全技術中心,是我國網絡安全應急體系的核心協調機構。
作為國家級應急中心,CNCERT的主要職責是:按照“積極預防、及時發現、快速響應、力保恢復”的方針,開展互聯網網絡安全事件的預防、發現、預警和協調處置等工作,維護國家公共互聯網安全,保障基礎信息網絡和重要信息系統的安全運
