CNVD漏洞周报2021年第37期

VSole2021-09-22 17:49:43

本周信息安全漏洞威胁整体评价级别

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞392个,其中高危漏洞104个、中危漏洞239个、低危漏洞49个。漏洞平均分值为5.57。本周收录的漏洞中,涉及0day漏洞288个(占73%),其中互联网上出现“TryGhost express-hbs信息泄露漏洞、Tastylgniter跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的原创漏洞总数5176个,与上周(6218个)环比减少17%。

图1 CNVD收录漏洞近10周平均分值分布图

图2 CNVD 0day漏洞总数按周统计

本周漏洞事件处置情况

本周, CNVD向银行、保险、能源等重要行业单位通报漏洞事件23起,向基础电信企业通报漏洞事件36起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件553起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件59起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件40起。

图3 CNVD各行业漏洞处置情况按周统计

图4 CNCERT各分中心处置情况按周统计

图5 CNVD教育行业应急组织处置情况按周统计

此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:

淄博闪灵网络科技有限公司、珠海金山办公软件有限公司、重庆光之际软件科技有限公司、中煤(西安)地下空间科技发展有限公司、中国电信集团公司、中电鸿信信息科技有限公司、致得科创软件(北京)有限公司、知和环保科技有限公司、支付宝(杭州)信息技术有限公司、镇江周易科技信息有限公司、浙江万方软件有限公司、浙江禾匠信息科技有限公司、浙江大华技术股份有限公司、云校(北京)科技有限公司、云从科技集团股份有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、研华科技(中国)有限公司、新翔软件科技有限公司、新天科技股份有限公司、小米科技有限责任公司、祥崴電子股份有限公司、西门子(中国)有限公司、西安知先信息技术有限公司、西安新软信息科技有限公司、武汉江民网安科技有限公司、卫宁健康科技集团股份有限公司、幃翔精密股份有限公司、微软(中国)有限公司、网旭科技有限公司、万网博通科技有限公司、唐山市柳林自动化设备有限公司、苏州科达科技股份有限公司、松下电器(中国)有限公司、四平市九州易通科技有限公司、四创科技有限公司、思科系统(中国)网络技术有限公司、世邦通信股份有限公司、沈阳明致软件有限公司、深圳誉龙数字技术有限公司、深圳一正技术有限公司、深圳市网域科技技术有限公司、深圳市沙漠风网络科技有限公司、深圳市锐明技术股份有限公司、深圳市普燃计算机软件科技有限公司、深圳市模拟科技有限公司、深圳市麦斯杰网络有限公司、深圳市磊科实业有限公司、深圳市朗驰欣创科技股份有限公司、深圳市吉祥腾达科技有限公司、深圳市惠尔顿信息技术有限公司、深圳市华域数安科技有限公司、深圳市和为顺网络技术有限公司、深圳市航顺芯片技术研发有限公司、深圳市电航科技发展有限公司、深圳前海金银星科技有限公司、深圳齐心好视通云计算有限公司、深圳华视美达信息技术有限公司、上海远丰信息科技(集团)有限公司、上海新网程信息技术股份有限公司、上海纽盾科技股份有限公司、上海汉得信息技术股份有限公司、上海安达通信息安全技术股份有限公司、熵基科技股份有限公司、山西合力思创科技有限公司、厦门四信通信科技有限公司、厦门市灵鹿谷科技有限公司、厦门科汛软件有限公司、人美新媒体科技(北京)有限公司、普联技术有限公司、宁波睿易教育科技股份有限公司、南通点酷网络科技有限公司、南京科远智慧科技集团股份有限公司、猎豹移动公司、联奕科技股份有限公司、理光(中国)投资有限公司、科大讯飞股份有限公司、精华教育科技股份有限公司、京瓷集团、江苏卓易信息科技股份有限公司、佳能(中国)有限公司、华特数字科技有限公司、华大半导体有限公司、湖南壹拾捌号网络技术有限公司、湖南青果软件有限公司、湖南建研信息技术股份有限公司、杭州涂鸦科技有限公司、杭州三汇数字信息技术有限公司、杭州品茗安控信息技术股份有限公司、杭州海康威视数字技术股份有限公司、杭州冠航科技有限公司、杭州博联智能科技股份有限公司、广州纵道软件有限公司、广州网易计算机系统有限公司、广州市凝智科技有限公司、广州市国万电子科技有限公司、广州市奥威亚电子科技有限公司、广州齐博网络科技有限公司、广州南方卫星导航仪器有限公司、广州红帆科技有限公司、广州国微软件科技有限公司、广州鼎成信息科技有限公司、广东旭诚科技有限公司、谷歌公司、歌美斯有限公司、福州网钛软件科技有限公司、福州麦佳软件有限公司、福建三元达控股有限公司、东华软件股份公司、东莞市冬惊鱼网络科技有限公司、大连理工计算机控制工程有限公司、成都依能科技股份有限公司、北京众智创世科技有限公司、北京云创联合科技有限公司、北京映翰通网络技术股份有限公司、北京亿中邮信息技术有限公司、北京亿信华辰软件有限责任公司、北京雪迪龙科技股份有限公司、北京星网锐捷网络技术有限公司、北京网御星云信息技术有限公司、北京通达信科科技有限公司、北京硕人时代科技股份有限公司、北京世纪超星信息技术发展有限责任公司、北京神州数码云科信息技术有限公司、北京派网软件有限公司、北京良精志诚科技有限责任公司、北京金盘鹏图软件技术有限公司、北京宏业超世纪科技有限公司、北京和信康健康科技有限公司、北京和利时集团、北京海腾时代科技有限公司、北京多点在线科技有限公司、北京东方通科技股份有限公司、北京棣南新宇科技有限公司、北京北大方正电子有限公司、北京爱奇艺科技有限公司、蚌埠依爱消防电子有限责任公司、傲拓科技股份有限公司、安徽中汇规划勘测设计研究院股份有限公司、安徽希望网络科技有限公司、ZIONCOM(香港)科技有限公司、小说精品屋、梦想cms、零起飞工作室、帝国软件、ZCNCMS、XnSoft、The PHP Group、SEMCMS、phpaaCMS、PESCMS、Panabit、NETGEAR、muucmf、Lexmark、ICP DAS CO.、HDHCMS、HDCMS、FineCMS、Cisco、bluecms、Apple、Apache Software Foundation、akcms和Adobe。

本周,CNVD发布了《Microsoft发布2021年9月安全更新》。详情参见CNVD网站公告内容。

https://www.cnvd.org.cn/webinfo/show/6846

本周漏洞报送情况统计

本周报送情况如表1所示。 其中 ,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、北京神州绿盟科技有限公司、新华三技术有限公司、北京奇虎科技有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、河南灵创电子科技有限公司、南京众智维信息科技有限公司、北京信联科汇科技有限公司、北京山石网科信息技术有限公司、杭州海康威视数字技术股份有限公司、北京安帝科技有限公司、内蒙古洞明科技有限公司、广东蓝爵网络安全技术股份有限公司、北京大学、北京天地和兴科技有限公司、北京安华金和科技有限公司、安徽长泰科技有限公司、山东泽鹿安全技术有限公司、上海纽盾科技股份有限公司、重庆都会信息科技有限公司、浙江国利网安科技有限公司、内蒙古云科数据服务股份有限公司、河南信安世纪科技有限公司、北京远禾科技有限公司、京东云安全、中国烟草总公司湖北省公司、平安银河实验室、江苏快页信息技术有限公司、中电长城网际系统应用有限公司、广州安亿信软件科技有限公司、北京惠而特科技有限公司、南京树安信息技术有限公司、浙江木链物联网科技有限公司、浙江大华技术股份有限公司、山石网科通信技术股份有限公司、苏州叶安网络科技有限公司、北京科技大学、北京水木羽林科技有限公司、天讯瑞达通信技术有限公司、深圳市跨越新科技有限公司、西藏熙安信息技术有限责任公司、星云博创科技有限公司、深圳市魔方安全科技有限公司、北京机沃科技有限公司及其他个人白帽子向CNVD提交了5176个以事件型漏洞为主的原创漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信网神(补天平台)向CNVD共享的白帽子报送的3093条原创漏洞信息。

表1 漏洞报 送情况统计表

本周漏洞按类型和厂商统计

本周, CNVD收录了392个漏洞。WEB应用174个,应用程序100个,网络设备(交换机、路由器等网络端设备)71个,操作系统31个,智能设备(物联网终端设备)9个,安全产品7个。

表2 漏洞按影响类型统计表


图6 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Siemens、友讯电子设备(上海)有限公司、Microsoft等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周, CNVD收录了53个电信行业漏洞,24个移动互联网行业漏洞,19个工控行业漏洞(如下图所示)。其中,“Aruba Networks ArubaOS命令注入漏洞(CNVD-2021-71260)、Siemens SIPROTEC 5 relays缓冲区溢出漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

图7 电信行业漏洞统计

图8 移动互联网行业漏洞统计

图9 工控系统行业漏洞统计

本周重要漏洞安全告警

本周,CNVD整理和发布以下重要安全漏洞信息。

1、Siemens产品安全漏洞

Siemens SINEC NMS是德国西门子(Siemens)公司的 一个网络管理系统 (NMS)。Siemens Teamcenter Active Workspace是一种用于访问Teamcenter系统的web应用程序。Simcenter STAR-CCM+是一个多物理计算流体动力学(CFD)软件。Siemens Teamcenter是一套产品生命周期管理计算机软件应用程序。RUGGEDCOM RX1400是一个多协议智能节点,将以太网交换、路由和应用程序托管功能与各种广域连接选项结合在一起。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞从底层文件系统下载任意文件,获取敏感信息,绕过限制,获得root权限,执行代码等。

CNVD收录的相关漏洞包括:Siemens RUGGEDCOM ROX信息泄露漏洞、Siemens RUGGEDCOM ROX权限提升漏洞、Siemens SINEC NMS跨站请求伪造漏洞、Siemens SINEC NMS路径遍历漏洞、Siemens Teamcenter Active Workspace路径遍历漏洞、Siemens STAR-CCM+ Viewer越界写入漏洞、Siemens Teamcenter访问控制错误漏洞、Siemens Teamcenter代码问题漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71420

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71419

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71429

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71430

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71434

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71435

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71440

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71439

2、WordPress产品安全漏洞

WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。WordPress Easy Social Icons插件是WordPress开源的一个应用插件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行非法SQL语句,获取敏感信息,窃取用户Cookie凭据等。

CNVD收录的相关漏洞包括:WordPress跨站脚本漏洞(CNVD-2021-70735)、WordPress SQL注入漏洞(CNVD-2021-70739、CNVD-2021-70733、CNVD-2021-70738、CNVD-2021-70740)、WordPress underConstruction跨站脚本漏洞、WordPress Gutenberg Template Library&Redux Framework访问控制错误漏洞、WordPress Easy Social Icons跨站脚本漏洞。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70733

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70735

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70739

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70738

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70740

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70743

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70742

https://www.cnvd.org.cn/flaw/show/CNVD-2021-70741

3、Microsoft产品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在执行任意代码,控制受影响的系统,从而可安装程序,查看,更改或删除数据,或创建具有完全用户权限的新帐户等。

CNVD收录的相关漏洞包括:Microsoft Windows和Windows Server远程代码执行漏洞(CNVD-2021-71405、CNVD-2021-71406、CNVD-2021-71407、CNVD-2021-71408、CNVD-2021-71410、CNVD-2021-71411、CNVD-2021-71413、CNVD-2021-71414)。其中,“Microsoft Windows和Windows Server远程代码执行漏洞(CNVD-2021-71410、CNVD-2021-71411、CNVD-2021-71413、CNVD-2021-71414)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71405

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71406

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71407

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71408

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71410

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71411

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71413

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71414

4、IBM产品安全漏洞

IBM Financial Transaction Manager是美国IBM公司的一款金融事务管理器。IBM Planning Analytics是一款计划、预算、预测及分析解决方案。IBM AIX是一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM WebSphere Application Server(WAS)是由IBM遵照开放标准,例如Java EE、XML及Web Services,开发并发行的一种应用服务器。IBM Tivoli Workload Scheduler是一套企业任务调度软件。IBM API Connect是一种综合的端到端API生命周期解决方案。本周,上述产品被披露存在多个漏洞,攻击者可利用该漏洞执行客户端代码,获取敏感信息和根特权,注入代码等。

CNVD收录的相关漏洞包括:IBM Financial Transaction Manager跨站脚本漏洞(CNVD-2021-71255)、IBM Planning Analytics信息泄露漏洞(CNVD-2021-71523、CNVD-2021-71522)、IBM AIX权限许可和访问控制问题漏洞(CNVD-2021-71526、CNVD-2021-71529)、IBM WebSphere Application Server权限提升漏洞(CNVD-2021-71530)、IBM Tivoli Workload Scheduler缓冲区溢出漏洞、IBM API Connect代码注入漏洞。其中,“IBM AIX权限许可和访问控制问题漏洞(CNVD-2021-71526、CNVD-2021-71529)、IBM API Connect代码注入漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71255

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71523

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71522

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71526

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71530

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71529

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71528

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71527

5、Mozilla Rust内存破坏漏洞(CNVD-2021-71659)

Rust是Mozilla基金会的一款通用、编译型编程语言。本周,Rust may_queue crate through 2020-11-10被披露存在命令注入漏洞。攻击者可利用该漏洞导致发生内存损坏。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71659

小结:本周,Siemens产品被披露存在多个漏洞,攻击者可利用漏洞从底层文件系统下载任意文件,获取敏感信息,绕过限制,获得root权限,执行代码等。此外,WordPress、Microsoft、IBM等多款产品被披露存在多个漏洞,攻击者可利用该漏洞执行任意代码,获取敏感信息和根特权,注入代码等。另外,Rust may_queue crate through 2020-11-10被披露存在命令注入漏洞。攻击者可利用该漏洞导致发生内存损坏。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案

本周重要漏洞攻击验证情

本周,CNVD建议注意防范以下已公开漏洞攻击验证情况。

1、Tastylgniter跨站脚本漏洞

验证描述

TastyIgniter是一个基于Laravel PHP Framework的免费开源餐厅在线订购系统。

Tastylgniter 3.0.7存在跨站脚本漏洞,该漏洞源于软件中的/account, /reservation, /admin/dashboard,和/admin/system_logs目录中缺少对于用户提交数据的有效验证,攻击者可利用该漏洞执行任意JavaScript。

验证 信息

POC链接:

https://packetstormsecurity.com/files/163843/TastyIgniter-3.0.7-Cross-Site-Scripting.html

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-71457

信息提供者

恒安嘉新(北京)科技股份公司

注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。

关于CNVD

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

关于CNCERT

国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。

作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运

科技补天漏洞平台
本作品采用《CC 协议》,转载必须注明作者和本文链接
奥运史上首次公开招募白帽黑客共同守护冬奥网络安全。12月16日,北京冬奥组委技术部组织招募白帽黑客作为“冬奥网络安全卫士”参与北京冬奥会网络安全工作,由北京2022年冬奥会官方赞助商奇安信及旗下漏洞响应平台提供技术平台和运营支持。 这将是白帽黑客第一次有机会在冬奥会这一世界顶级体育赛事中贡献自己的力量。
2020年7月,奇安信成功登陆科创板。据统计,近五年来国家、地方省市和各行业监管部门关于数据安全、网络安全已经至少颁布了50部相关法律法规。保护数据资产成为网络安全的难点问题,主要面临三个挑战。数据显示,超过85%的网络安全威胁来自于内部,供应链、外包商、员工等都可能成为“内鬼”,导致数据泄露。目前,
昨日夜间,Apache Log4j2引发严重安全漏洞,疑似很多公司的服务器被扫描攻击,一大批安全人员深夜修bug,堪称“核弹级”漏洞。 经专家研判,该漏洞影响范围极大,且利用方式十分简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90%以上基于java开发的应用平台都会受到影响。 log4j是Apache的一个开源项目,是一个
12月25日,APEC中国工商理事会数字经济委员会执委会成员、奇安信集团董事长齐向东受邀出席APEC工商领导人中国论坛,并发表“走网络安全科技自立之路”的主题演讲。他指出,网络安全科技自立是应对网络安全挑战和有效解决国际贸易纠纷的必然选择,更是国家发展的战略支撑。
8月18日下午,由漏洞响应平台主办的BCS2022大湾区白帽论坛在深圳前海拉开帷幕。活动现场,王智成通过事例演示企业信息搜集及漏洞应急中网络空间测绘平台的使用,并总结出搜集未授权IoT设备及敏感服务的检索技巧,助力网络空间安全的维护。徐元振还给出了缓解攻击的相关建议,帮助场内外听众共同建设更安全的云DNS。
9日夜间,Apache Log4j2引发严重安全漏洞,疑似很多公司的服务器被扫描攻击,一大批安全人员深夜修bug,堪称“核弹级”漏洞。 经专家研判,该漏洞影响范围极大,且利用方式十分简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90%以上基于java开发的应用平台都会受到影响。
安全漏洞管理特设工作组同期成立
2021年8月26日,工业和信息化部移动互联网APP产品安全漏洞库发布会暨安全漏洞管理特设工作组成立仪式在京举办。
8月18日,医疗卫生行业网络安全论坛在2022北京网络安全大会大湾区峰会上顺利举办。目前,奇安信已经基于冬奥网络安全“零事故”能力和多个国内重点医疗单位合作打造医疗卫生行业网络安全“中国模式”。
国家信息安全漏洞共享平台(CNVD)发布报告
VSole
网络安全专家