2020年12月28日-2021年01月03日
本周漏洞态势研判情况
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞295,其中高危漏洞116个、中危漏洞152个、低危漏洞27个。漏洞平均分值为5.92。本周收录的漏洞中,涉及0day漏洞174个(占59%),其中互联网上出现“OpenCart跨站脚本漏洞(CNVD-2020-75516)、IncomCMS文件上传漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数6932个,与上周(11489个)环比减少40%。
图2 CNVD 0day漏洞总数按周统计
本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件18起,向基础电信企业通报漏洞事件7起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件269起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件66起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件21起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
图5 CNVD教育行业应急组织处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
飞狐信息技术(天津)有限公司、北京爱奇艺科技有限公司、北京风行在线技术有限公司、云南华企优享网络科技有限公司、深圳市网旭科技有限公司、湖南星云网络信息技术有限公司、广州虎牙信息科技有限公司、深圳市富途网络科技有限公司、中电鸿信信息科技有限公司、淄博闪灵网络科技有限公司、湖南壹拾捌号网络技术有限公司、深圳市创想天空科技股份有限公司、北京猎鹰安全科技有限公司、上海泛微网络科技股份有限公司、金山软件股份有限公司、郑州微口网络科技有限公司、重庆逐越光电科技有限公司、浙江大华技术股份有限公司、北京百度网讯科技有限公司、广州网易计算机系统有限公司、广州津虹网络传媒有限公司、小咖秀(北京)科技有限公司、上海宽娱数码科技有限公司、北京海腾时代科技有限公司、河南青峰网络科技有限公司、微点佰慧(北京)信息安全技术有限公司、上海聚力传媒技术有限公司、南京传唱软件科技有限公司、桂林市亿星网络科技有限责任公司、上海泛微网络科技有限公司、上海畅指网络科技有限公司、深圳坐标软件集团有限公司、珠海金山办公软件有限公司、明镜远大网络安全信息技术有限公司、西门子(中国)有限公司、杭州网易质云科技有限公司、北京坤豆科技有限公司、桂林崇胜网络科技有限公司、西安交大捷普网络科技有限公司、深圳维盟科技股份有限公司、深圳市爱思软件技术有限公司、广州国微软件科技有限公司、北京搜狗信息服务有限公司、湖南一唯信息科技有限公司、济南点量软件有限公司、科大讯飞股份有限公司、北京火绒网络科技有限公司、北京多点在线科技有限公司、华林证券股份有限公司、北京江民新科技术有限公司、南昌维网数字传媒有限公司、上海二三四五移动科技有限公司、博韩伟业(北京)科技有限公司、台达电子企业管理(上海)有限公司、上海亿速网络科技有限公司、杭州凯凯科技有限公司、北京聪明核桃教育科技有限公司、郑州木云电子科技有限公司、广州合优网络科技有限公司、锐捷网络股份有限公司、趋势科技和HEYBBS。
本周报送情况如表1所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、北京神州绿盟科技有限公司、厦门服云信息科技有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。北京山石网科信息技术有限公司、国瑞数码零点实验室、北京华云安信息技术有限公司、南京众智维信息科技有限公司、江苏保旺达软件技术有限公司、北京天地和兴科技有限公司、山东华鲁科技发展股份有限公司、山东新潮信息技术有限公司、河南灵创电子科技有限公司、河南信安世纪科技有限公司、北京赛克艾威科技有限公司、西安交大捷普网络科技有限公司、浙江安腾信息技术有限公司、上海犀点意象网络科技有限公司、山东云天安全技术有限公司、杭州海康威视数字技术股份有限公司、上海观安信息技术股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、北京云科安信科技有限公司(Seraph安全实验室)、内蒙古奥创科技有限公司、重庆都会信息科技有限公司、广州市蓝爵计算机科技有限公司、北京机沃科技有限公司、浙江大学307LAB、山石网科通信技术股份有限公司、安徽长泰信息安全服务有限公司、北京智游网安科技有限公司、山东正中信息技术股份有限公司、腾讯安全天马实验室、新疆海狼科技有限公司、武汉明嘉信信息安全检测评估有限公司、长扬科技(北京)有限公司、北京明朝万达科技股份有限公司(安元实验室)、北京惠而特科技有限公司、四川哨兵信息科技有限公司及其他个人白帽子向CNVD提交了6932个以事件型漏洞为主的原创漏洞,其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的5446条原创漏洞信息。
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了295个漏洞。应用程序131个,WEB应用105个,操作系统28个,网络设备(交换机、路由器等网络端设备)23个,智能设备(物联网终端设备)5个,安全产品3个。
表2 漏洞按影响类型统计表
图6 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Google、Dell、SAP等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,CNVD收录了9个电信行业漏洞,24个移动互联网行业漏洞,8个工控行业漏洞(如下图所示)。其中,“NETGEARDGN2200v1命令注入漏洞”综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
Google Android是美国谷歌(Google)和开放手持设备联盟(简称oha)的一套以Linux为基础的开源操作系统。Google TensorFlow是一套用于机器学习的端到端开源平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,导致应用崩溃等。
CNVD收录的相关漏洞包括:Google Android资源管理错误漏洞(CNVD-2020-75039、CNVD-2020-75040)、Google Android缓冲区溢出漏洞(CNVD-2020-75048、CNVD-2020-75052)、Google Android信息泄露漏洞(CNVD-2020-75051)、GoogleAndroid权限提升漏洞(CNVD-2020-75053)、Google TensorFlow缓冲区溢出漏洞(CNVD-2021-00089、CNVD-2021-00091)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-75039
https://www.cnvd.org.cn/flaw/show/CNVD-2020-75040
https://www.cnvd.org.cn/flaw/show/CNVD-2020-75048
https://www.cnvd.org.cn/flaw/show/CNVD-2020-75052
https://www.cnvd.org.cn/flaw/show/CNVD-2020-75051
https://www.cnvd.org.cn/flaw/show/CNVD-2020-75053
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00089
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00091
2、Dell产品安全漏洞
Dell EMC Unisphere forPowerMax是一套针对PowerMax存储阵列的图形化管理工具。Dell Dell EMC iDRAC9是一套包含硬件和软件的系统管理解决方案。Dell BSAFE Micro Edition Suite是一个可为c/c++应用、设备、系统提供加密、证书和传输层安全性的开发工具包。Dell EMC NetWorker是一套统一备份和恢复软件。Dell EMC Isilon OneFS和EMCPowerScale OneFS都是美国戴尔(Dell)公司的一套适用于非结构化数据的横向扩展存储系统。Dell PowerProtect Data Manager是一套数据保护解决方案。PowerProtect X400是一款数据管理设备。Dell Encryption是一套数据保护解决方案。Dell Endpoint Security Suite是一套网络安全套件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,访问未经授权的文件,在网站的上下文中运行JavaScript代码等。
CNVD收录的相关漏洞包括:Dell EMC Unisphere for PowerMax跨站脚本漏洞、DELL Dell EMC iDRAC9跨站脚本漏洞、Dell BSAFE Micro Edition Suite缓冲区溢出漏洞、Dell EMC NetWorker不当授权漏洞、Dell EMC Isilon OneFS和EMCPowerScale OneFS权限提升漏洞、Dell EMC Isilon OneFS和EMC PowerScale文件权限漏洞、Dell PowerProtect Data Manager和PowerProtect X400授权问题漏洞、Dell Encryption和DellEndpoint Security Suite权限提升漏洞。其中,“DellEncryption和Dell Endpoint SecuritySuite权限提升漏洞”的综合评级为“中危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00014
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00022
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00021
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00030
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00035
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00040
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00038
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00037
3、SAP产品安全漏洞
SAP Solution Manager是一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。SAP 3D Visual Enterprise Viewer是一款应用软件。SAP Business Warehouse(BW)是SAP的数据仓库解决方案。SAPDisclosure Management是一套自动化财务披露管理系统。SAPIdentity Management是一套能够嵌入到业务流程中的身份管理应用程序。SAPBusiness Objects Business Intelligence Platform是一套商业智能软件和企业绩效解决方案套件。SAP Netweaver是一套面向服务的集成化应用平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息或劫持用户会话,在应用程序中执行注入的文件或代码,导致目标主机应用程序崩溃等。
CNVD收录的相关漏洞包括:SAP Solution Manager开放重定向漏洞、SAP 3D Visual Enterprise Viewer输入验证错误漏洞(CNVD-2020-74930、CNVD-2020-74931)、SAP Business Warehouse和SAPBW4HANA操作系统命令注入漏洞、SAPDisclosure Management代码问题漏洞(CNVD-2020-74927)、SAP Identity Management信息泄露漏洞(CNVD-2020-74932)、SAPBusiness Objects Business Intelligence Platform注入漏洞、SAP NetWeaver AS ABAP跨站脚本漏洞。其中,“SAP Business Warehouse和SAPBW4HANA操作系统命令注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74925
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74930
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74928
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74927
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74932
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74931
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74933
https://www.cnvd.org.cn/flaw/show/CNVD-2021-00095
4、F5产品安全漏洞
F5 BIG-IP是一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP ASM是一款Web应用程序防火墙(WAF),它提供安全的远程接入、保护电子邮件、简化Web接入控制,同时增强网络和应用性能。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在网站的上下文中运行JavaScript代码,触发拒绝服务等。
CNVD收录的相关漏洞包括:F5 BIG-IP ASM拒绝服务漏洞(CNVD-2020-74859、CNVD-2020-74866)、F5 BIG-IP拒绝服务漏洞(CNVD-2020-74858、CNVD-2020-74870)、F5 BIG-IP跨站脚本漏洞(CNVD-2020-74864)、F5BIG-IP信息泄露漏洞(CNVD-2020-74865)、F5 BIG-IP安全绕过漏洞、F5 BIG-IP VE资源管理错误漏洞。其中,“F5 BIG-IP拒绝服务漏洞(CNVD-2020-74858)、F5BIG-IP拒绝服务漏洞(CNVD-2020-74870)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74859
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74858
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74864
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74866
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74865
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74871
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74870
https://www.cnvd.org.cn/flaw/show/CNVD-2020-74869
5、phpList SQL注入漏洞(CNVD-2020-75154)
phpList是英国phpList公司的一套开源的新闻通讯和电子邮件营销软件。本周,phpList被披露存在SQL注入漏洞。攻击者可通过"Config- Import Administrators"页面的第4行属性利用该漏洞注入SQL查询。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-75154
小结:本周,Google产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,导致应用崩溃等。此外,Dell、SAP、F5等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,访问未经授权的文件,获取敏感信息或劫持用户会话,在网站的上下文中运行JavaScript代码,触发拒绝服务等。另外,phpList被披露存在SQL注入漏洞。攻击者可通过"Config- Import Administrators"页面的第4行属性利用该漏洞注入SQL查询。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞攻击验证情况
本周,CNVD建议注意防范以下已公开漏洞攻击验证情况。
1、OpenCart跨站脚本漏洞(CNVD-2020-75516)
验证描述
OpenCart是一个基于PHP的开源在线电子商务解决方案。
OpenCart 3.0.3.6中的Profile Image存在跨站脚本漏洞。攻击者可利用该漏洞上传并执行恶意代码。
验证信息
POC链接:
https://www.exploit-db.com/exploits/49098
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-75516
信息提供者
华为技术有限公司
注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。
关于CNVD
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
关于CNCERT
国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。
作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。
网址:www.cert.org.cn
电话:010-82991537
关注CNVD漏洞平台
本文始发于微信公众号(CNVD漏洞平台):CNVD漏洞周报2020年第53期
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论