本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞160个,其中高危漏洞65个、中危漏洞78个、低危漏洞17个。漏洞平均分值为6.17。本周收录的漏洞中,涉及0day漏洞97个(占61%),其中互联网上出现“Apache James Server远程命令执行漏洞、WordPress插件Wappointment跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数3611个,与上周(5300个)环比减少32%。
图1 CNVD收录漏洞近10周平均分值分布图
本周漏洞事件处置情况
本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件27起,向基础电信企业通报漏洞事件40起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件149起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件48起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件94起。
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
淄博闪灵网络科技有限公司、友讯电子设备(上海)有限公司、兄弟(中国)商业有限公司、微软(中国)有限公司、四川迅睿云软件开发有限公司、四川蜀天梦图数据科技有限公司、深圳市远望谷信息技术股份有限公司、深圳市吉祥腾达科技有限公司、深圳市必联电子有限公司、深圳市安网科技有限公司、上海卓卓网络科技有限公司、上海穆云智能科技有限公司、上海宽尔网络科技有限公司、上海泛微网络科技股份有限公司、熵基科技股份有限公司、山东渔翁信息技术股份有限公司、厦门优优汇联信息科技股份有限公司、三星(中国)投资有限公司、青岛和晟思壮测控技术有限公司、蚂蚁金服(杭州)网络技术有限公司、廊坊市极致网络科技有限公司、居易科技股份有限公司、江西铭软科技有限公司、江苏群立现代信息科技发展有限公司、惠普贸易(上海)有限公司、杭州海康威视数字技术股份有限公司、桂林崇胜网络科技有限公司、帆软软件有限公司、东芝(中国)有限公司、点都软件(上海)有限公司、北京致远互联软件股份有限公司、北京星网锐捷网络技术有限公司、北京五指互联科技有限公司、北京书生电子技术有限公司、北京坤豆科技有限公司、北京九思协同软件有限公司、北京金万维科技有限公司、北京谷翔信息技术有限公司、北京东方通科技股份有限公司、北京百卓网络技术有限公司、网展科技、阿里巴巴集团安全应急响应中心、梦想cms 、ZZZCMS、YIXUNCMS、VACRON、TRENDnet、seacms、NetSarang、MacCMS、KEO、Grafana Labs、EasyGoAdmin和Apache。
本周漏洞报送情况统计
本周报送情况如表1所示。其中,新华三技术有限公司、深信服科技股份有限公司、厦门服云信息科技有限公司、杭州安恒信息技术股份有限公司、安天科技集团股份有限公司等单位报送公开收集的漏洞数量较多。重庆都会信息科技有限公司、北京山石网科信息技术有限公司、贵州泰若数字科技有限公司、杭州默安科技有限公司、江苏保旺达软件技术有限公司、星云博创科技有限公司、内蒙古洞明科技有限公司、武汉安域信息安全技术有限公司、任子行网络技术股份有限公司、河南信安世纪科技有限公司、长春嘉诚信息技术股份有限公司、山东云天安全技术有限公司、快页信息技术有限公司、广州百蕴启辰科技有限公司、北方实验室(沈阳)股份有限公司、南京节点安全技术有限公司、上海嘉韦思信息技术有限公司、墨菲未来科技(北京)有限公司、麒麟软件有限公司、有度网络安全技术有限公司、上海纽盾科技股份有限公司、上海上讯信息技术股份有限公司、北京天地和兴科技有限公司、南京禾盾信息科技有限公司、厦门捷诺通信息技术股份有限公司、山东泽鹿安全技术有限公司、广州安亿信软件科技有限公司、四川赛闯检测股份有限公司、河北华测信息技术有限公司、博智安全科技股份有限公司及其他个人白帽子向CNVD提交了3611个以事件型漏洞为主的原创漏洞,其中包括上海交大、斗象科技(漏洞盒子)和奇安信网神(补天平台)向CNVD共享的白帽子报送的1354条原创漏洞信息。
表1 漏洞报送情况统计表
| 报送单位或个人 |
漏洞报送数量 |
原创漏洞数 |
| 上海交大 |
836 |
836 |
| 斗象科技(漏洞盒子) |
426 |
426 |
| 新华三技术有限公司 |
251 |
0 |
| 深信服科技股份有限公司 |
218 |
0 |
| 厦门服云信息科技有限公司 |
198 |
0 |
| 杭州安恒信息技术股份有限公司 |
154 |
20 |
| 安天科技集团股份有限公司 |
140 |
0 |
| 北京天融信网络安全技术有限公司 |
119 |
20 |
| 恒安嘉新(北京)科技股份公司 |
100 |
0 |
| 北京启明星辰信息安全技术有限公司 |
93 |
29 |
| 奇安信网神(补天平台) |
92 |
92 |
| 西安四叶草信息技术有限公司 |
87 |
87 |
| 天津市国瑞数码安全系统股份有限公司 |
59 |
0 |
| 北京神州绿盟科技有限公司 |
56 |
1 |
| 三六零数字安全科技集团有限公司 |
52 |
0 |
| 中国电信集团系统集成有限责任公司 |
30 |
0 |
| 北京数字观星科技有限公司 |
28 |
0 |
| 内蒙古云科数据服务股份有限公司 |
17 |
17 |
| 京东科技信息技术有限公司 |
11 |
11 |
| 北京安信天行科技有限公司 |
1 |
1 |
| 北京知道创宇信息技术有限公司 |
1 |
1 |
| 北京华顺信安科技有限公司 |
260 |
0 |
| 重庆都会信息科技有限公司 |
130 |
130 |
| 亚信科技(成都)有限公司 |
48 |
0 |
| 北京山石网科信息技术有限公司 |
20 |
20 |
| 贵州泰若数字科技有限公司 |
13 |
13 |
| 杭州默安科技有限公司 |
13 |
13 |
| 江苏保旺达软件技术有限公司 |
12 |
12 |
| 杭州迪普科技股份有限公司 |
11 |
0 |
| 星云博创科技有限公司 |
11 |
11 |
| 内蒙古洞明科技有限公司 |
10 |
10 |
| 武汉安域信息安全技术有限公司 |
8 |
8 |
| 任子行网络技术股份有限公司 |
5 |
5 |
| 河南信安世纪科技有限公司 |
5 |
5 |
| 长春嘉诚信息技术股份有限公司 |
5 |
5 |
| 山东云天安全技术有限公司 |
4 |
4 |
| 快页信息技术有限公司 |
4 |
4 |
| 广州百蕴启辰科技有限公司 |
3 |
3 |
| 北方实验室(沈阳)股份有限公司 |
2 |
2 |
| 南京节点安全技术有限公司 |
2 |
2 |
| 上海嘉韦思信息技术有限公司 |
2 |
2 |
| 墨菲未来科技(北京)有限公司 |
2 |
2 |
| 麒麟软件有限公司 |
1 |
1 |
| 有度网络安全技术有限公司 |
1 |
1 |
| 上海纽盾科技股份有限公司 |
1 |
1 |
| 上海上讯信息技术股份有限公司 |
1 |
1 |
| 北京天地和兴科技有限公司 |
1 |
1 |
| 南京禾盾信息科技有限公司 |
1 |
1 |
| 厦门捷诺通信息技术股份有限公司 |
1 |
1 |
| 山东泽鹿安全技术有限公司 |
1 |
1 |
| 广州安亿信软件科技有限公司 |
1 |
1 |
| 四川赛闯检测股份有限公司 |
1 |
1 |
| 河北华测信息技术有限公司 |
1 |
1 |
| 博智安全科技股份有限公司 |
1 |
1 |
| CNCERT四川分中心 |
5 |
5 |
| CNCERT河北分中心 |
2 |
2 |
| 个人 |
1800 |
1800 |
| 报送总计 |
5358 |
3611 |
本周漏洞按类型和厂商统计
本周,CNVD收录了160个漏洞。WEB应用76个,应用程序27个,网络设备(交换机、路由器等网络端设备)23个,操作系统23个,智能设备(物联网终端设备)8个,安全产品2个,数据库1个。
表2 漏洞按影响类型统计表
| 漏洞影响对象类型 |
漏洞数量 |
| WEB应用 |
76 |
| 应用程序 |
27 |
| 网络设备(交换机、路由器等网络端设备) |
23 |
| 操作系统 |
23 |
| 智能设备(物联网终端设备) |
8 |
| 安全产品 |
2 |
| 数据库 |
1 |
图2 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Google、F5、Delta Electronics等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
| 序号 |
厂商(产品) |
漏洞数量 |
所占比例 |
| 1 |
Google |
20 |
13% |
| 2 |
F5 |
12 |
8% |
| 3 |
Delta Electronics |
11 |
7% |
| 4 |
Tenda |
10 |
6% |
| 5 |
WordPress |
9 |
6% |
| 6 |
TOTOLINK |
7 |
4% |
| 7 |
Adobe |
7 |
4% |
| 8 |
Brickcom |
5 |
3% |
| 9 |
北京万维盈创科技发展有限公司 |
4 |
3% |
| 10 |
其他 |
75 |
46% |
本周行业漏洞收录情况
本周,CNVD收录了21个电信行业漏洞,22个移动互联网行业漏洞,1个工控行业漏洞(如下图所示)。其中,“Tenda AC6缓冲区溢出漏洞、Google Android权限提升漏洞(CNVD-2022-26766)”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图3 电信行业漏洞统计
图4 移动互联网行业漏洞统计
图5 工控系统行业漏洞统计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在权限提升漏洞,攻击者可利用漏洞升级权限。
CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2022-26764、CNVD-2022-26762、CNVD-2022-26761、CNVD-2022-26766、CNVD-2022-26765、CNVD-2022-26773、CNVD-2022-26771、CNVD-2022-26782)。其中,“Google Android权限提升漏洞(CNVD-2022-26766)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26764
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26762
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26761
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26766
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26765
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26773
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26771
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26782
2、F5产品安全漏洞
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IQ是美国F5公司的一套基于软件的云管理解决方案。该方案支持跨公共和私有云、传统数据中心和混合环境部署应用交付和网络服务。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行未经授权的操作,导致拒绝服务等。
CNVD收录的相关漏洞包括:F5 BIG-IP跨站脚本漏洞(CNVD-2022-26776、CNVD-2022-26778)、F5 BIG-IP输入验证错误漏洞(CNVD-2022-26839、CNVD-2022-26779)、F5 BIG-IP命令注入漏洞(CNVD-2022-26777)、F5 BIG-IQ访问控制错误漏洞(CNVD-2022-26842)、F5 BIG-IP APM输入验证错误漏洞(CNVD-2022-26841)、F5 BIG-IP授权问题漏洞(CNVD-2022-26845)。其中,“F5 BIG-IQ访问控制错误漏洞(CNVD-2022-26842)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26776
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26778
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26839
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26779
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26777
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26842
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26841
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26845
3、Tenda产品安全漏洞
Tenda AC9是中国腾达(Tenda)公司的一款无线路由器。本周,上述产品被披露存在命令注入和缓冲区溢出漏洞,攻击者可利用漏洞导致任意命令执行。
CNVD收录的相关漏洞包括:Tenda AC9命令注入漏洞(CNVD-2022-26241、CNVD-2022-26245)、Tenda AC9缓冲区溢出漏洞(CNVD-2022-26244、CNVD-2022-26243、CNVD-2022-26242、CNVD-2022-26246、CNVD-2022-26247)、Tenda AC6缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26241
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26245
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26244
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26243
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26242
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26246
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26247
https://www.cnvd.org.cn/flaw/show/CNVD-2022-26249
4、Delta Electronics产品安全漏洞
Delta Electronics DIAEnergie是一个工业能源管理系统,用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。本周,上述产品被披露存在SQL注入漏洞,攻击者可利用漏洞注入任意SQL查询、检索和修改数据库内容以及执行系统命令。
CNVD收录的相关漏洞包括:Delta Electronics DIAEnergie SQL注入漏洞(CNVD-2022-27435、CNVD-2022-27434、CNVD-2022-27438、CNVD-2022-27437、CNVD-2022-27436、CNVD-2022-27441、CNVD-2022-27440、CNVD-2022-27439)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27435
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27434
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27438
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27437
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27436
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27441
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27440
https://www.cnvd.org.cn/flaw/show/CNVD-2022-27439
5、Reolink Rlc-410W拒绝服务漏洞(CNVD-2022-27432)
Reolink Rlc-410W是中国Reolink公司的一款Wifi安全摄像头。本周,Reolink RLC-410W存在拒绝服务漏洞。攻击者可利用漏洞通过编制的HTTP请求,导致重新启动。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-27432
更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
| CNVD编号 |
漏洞名称 |
综合评级 |
修复方式 |
| CNVD-2022-26243 |
Tenda AC9缓冲区溢出漏洞(CNVD-2022-26243) |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://www.tenda.com.cn/download/cata-11.html |
| CNVD-2022-27443 |
Delta Electronics DIAEnergie SQL注入漏洞 |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://www.deltaww.com/en-US/index |
| CNVD-2022-27444 |
Synology DiskStation Manager SQL注入漏洞(CNVD-2022-27444) |
高 |
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://www.synology.com |
| CNVD-2022-26249 |
Tenda AC6缓冲区溢出漏洞 |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://www.tenda.com.cn/download/cata-11.html |
| CNVD-2022-26766 |
Google Android权限提升漏洞(CNVD-2022-26766) |
高 |
目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://source.android.com/security/bulletin/android-12l |
| CNVD-2022-27445 |
Synology DiskStation Manager SQL注入漏洞(CNVD-2022-27445) |
高 |
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.synology.com |
| CNVD-2022-26842 |
F5 BIG-IQ访问控制错误漏洞(CNVD-2022-26842) |
高 |
目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://support.f5.com/csp/article/K40084114 |
| CNVD-2022-27442 |
Delta Electronics DIAEnergie SQL注入漏洞(CNVD-2022-27442) |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://www.deltaww.com/ |
| CNVD-2022-26247 |
Tenda AC9缓冲区溢出漏洞(CNVD-2022-26247) |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://www.tenda.com.cn/download/cata-11.html |
| CNVD-2022-27446 |
Synology DiskStation Manager SQL注入漏洞 |
高 |
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://www.synology.com |
小结:本周,Google产品被披露存在权限提升漏洞,攻击者可利用漏洞升级权限。此外,F5、Tenda、Delta Electronics等多款产品被披露存在多个漏洞,攻击者可利用漏洞执行未经授权的操作,注入任意SQL查询、检索和修改数据库内容以及执行系统命令,导致拒绝服务等。另外,Reolink Rlc-410W被披露存在拒绝服务漏洞,攻击者可利用漏洞通过编制的HTTP请求,导致重新启动。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
