本周漏洞態勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞269個,其中高危漏洞93個、中危漏洞153個、低危漏洞23個。漏洞平均分值為5.60。本周收錄的漏洞中,涉及0day漏洞130個(占48%),其中互聯網上出現“ABUS Secvest FUBE50014和ABUS Secvest FUBE50015拒絕服務漏洞、WordPress wp-bs3-rad Themes任意文件上傳漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數1960與上周(1788個)環比增長10%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數按周統計
本周漏洞事件處置情況
本周,CNVD向基礎電信企業通報漏洞事件7起,向銀行、保險、能源等重要行業單位通報漏洞事件23起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件456起,向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件40起。
圖3 CNVD各行業漏洞處置情況按周統計
圖4 CNCERT各分中心處置情況按周統計
此外,CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞,具體處置單位情況如下所示:
湖南潭州教育網絡科技有限公司、北京十度創想科技有限公司、浙江齊治科技股份有限公司、太原迅易科技有限公司、鄭州大象通信信息技術有限公司、廣州拓波軟件科技有限公司、北京城市聯盟科技有限公司、金山軟件股份有限公司、成都康菲頓特網絡科技有限公司、杭州可道云網絡有限公司、深圳迪元素科技有限公司、杭州海康威視數字技術股份有限公司、上海卓卓網絡科技有限公司、西安三才科技實業有限公司、佛山市云邁電子商務有限公司、上海茸易科技有限公司、北京博樂虎科技有限公司、西安藍色海岸信息技術有限公司、微軟(中國)有限公司、澳通(大連)科技發展有限公司、四三九九網絡股份有限公司、北京億賽通科技發展有限責任公司、易校通軟件科技、信呼、智睿軟件、鑫躍科技、海通網絡、云陽工作室、米酷資源網、耳朵軟件、海洋CMS、SEMCMS、SocuSoft、Earcms、CSZ-CM、zzzcms。
本周漏洞報送情況統計
本周報送情況如表1所示。其中,沈陽東軟系統集成工程有限公司、哈爾濱安天科技集團股份有限公司、北京天融信網絡安全技術有限公司、華為技術有限公司、新華三技術有限公司等單位報送公開收集的漏洞數量較多。國瑞數碼零點實驗室、中新網絡信息安全股份有限公司、安徽鋒刃信息科技有限公司、長春嘉誠信息技術股份有限公司、北京圣博潤高新技術股份有限公司、山東華魯科技發展股份有限公司、任子行網絡技術股份有限公司、河南信安世紀科技有限公司、北京國舜科技股份有限公司、內蒙古奧創科技有限公司、山東云天安全技術有限公司、廣西網信信息安全等級保護測評有限公司、山石網科通信技術股份有限公司、中國交通通信信息中心、重慶市信息通信咨詢設計院有限公司、上海玄貓信息科技有限公司、重慶貝特計算機系統工程有限公司及其他個人白帽子向CNVD提交了1960事件型漏洞為主的原創漏洞,其中包括360網神(補天平臺)和斗象科技(漏洞盒子)向CNVD共享的白帽子報送的1347創漏洞信息。
表1 漏洞報送情況統計表
本周漏洞按類型和廠商統計
本周,CNVD收錄了269洞。應用程序漏洞148個,WEB應用漏洞87個,操作系統漏洞17個,網絡設備漏洞15個,安全產品漏洞2個。
表2 漏洞按影響類型統計表
圖5 本周漏洞按影響類型分布
CNVD整理和發布的漏洞涉及Mozilla、SAP、WordPress等多家廠商的產品,部分漏洞數量按廠商統計如表3所示。
表3 漏洞產品涉及廠商分布統計表
本周行業漏洞收錄情況
本周,CNVD收錄了14個電信行業漏洞,25個移動互聯網行業漏洞,1個工控行業漏洞,(如下圖所示)。其中,“Apple iOS、tvOS和macOS Mojave Kernel緩沖區溢出漏洞、Cisco IOS和IOS XE輸入驗證漏洞、Apple iOS、tvOS和macOS Mojave Kernel越界讀取漏洞、PostgreSQL任意代碼執行漏洞”的綜合評級為“高危”。相關廠商已經發布了上述漏洞的修補程序,請參照CNVD相關行業漏洞庫鏈接。
電信行業漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯網行業漏洞鏈接:http://mi.cnvd.org.cn/
工控系統行業漏洞鏈接:http://ics.cnvd.org.cn/
圖6 電信行業漏洞統計
圖7 移動互聯網行業漏洞統計
圖8 工控系統行業漏洞統計
本周重要漏洞安全告警
本周,CNVD整理和發布以下重要安全漏洞信息。
1、Apple產品安全漏洞
Apple macOS Mojave是一套專為Mac計算機所開發的專用操作系統。Apple iCloud for Windows是一款基于Windows平臺的云服務,它支持存儲音樂、照片、App和聯系人等。Apple iOS是為移動設備所開發的一套操作系統。Apple tvOS是一套智能電視操作系統。Apple Safari是一款Web瀏覽器,是MacOSX和iOS操作系統附帶的默認瀏覽器。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞提升權限,執行任意代碼(內存破壞)。
CNVD收錄的相關漏洞包括:Apple macOS Mojave PackageKit權限提升漏洞、Apple macOS Mojave AppleGraphicsControl緩沖區溢出漏洞、Apple iCloud for Windows iCloud Installer代碼執行漏洞、Apple iOS、tvOS和macOS Mojave Kernel越界讀取漏洞、多款Apple產品WebKit內存破壞漏洞(CNVD-2019-08709、CNVD-2019-08712)、Apple iOS、tvOS和macOS Mojave Kernel緩沖區溢出漏洞、多款Apple產品WebKit內存錯誤引用漏洞(CNVD-2019-08714)。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08568
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08567
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08569
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08707
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08709
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08712
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08711
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08714
2、Mozilla產品安全漏洞
Mozilla Firefox是一款開源Web瀏覽器。Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞執行任意代碼或造成拒絕服務(崩潰)等。
CNVD收錄的相關漏洞包括:Mozilla Firefox和Firefox ESR內存錯誤引用漏洞(CNVD-2019-08521)、Mozilla Firefox和Firefox ESR內存破壞漏洞(CNVD-2019-08523)、Mozilla Firefox內存破壞漏洞(CNVD-2019-08522)、Mozilla Firefox和Firefox ESR命令執行漏洞(CNVD-2019-08525)、Mozilla Firefox和Firefox ESR IonMonkey JIT編譯器內存破壞漏洞、Mozilla Firefox緩沖區溢出漏洞(CNVD-2019-08529)、Mozilla Firefox Firefox Developer Tools代碼執行漏洞、Mozilla Firefox內存破壞漏洞(CNVD-2019-08540)。上述漏洞的綜合評級為“高危”。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08521
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08523
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08522
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08525
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08527
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08529
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08538
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08540
3、Foxit產品安全漏洞
Foxit Reader for Windows是一款基于Windows平臺的PDF文檔閱讀器。PhantomPDF for Windows是它的商業版。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞泄露敏感信息,執行任務代碼。
CNVD收錄的相關漏洞包括:Foxit Reader和PhantomPDF內存錯誤引用漏洞(CNVD-2019-08300、CNVD-2019-08302)、Foxit Reader和PhantomPDF輸入驗證漏洞(CNVD-2019-08301、CNVD-2019-08303)、Foxit Reader和PhantomPDF越界讀取漏洞、Foxit Reader和PhantomPDF信息泄露漏洞(CNVD-2019-08304)、Foxit Reader越界讀漏洞(CNVD-2019-08306)、Foxit Reader setInterval方法內存錯誤引用漏洞。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08300
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08302
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08301
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08303
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08305
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08304
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08306
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08307
4、Samba產品安全漏洞
Samba是一套可使UNIX系列的操作系統與微軟Windows操作系統的SMB/CIFS網絡協議做連結的自由軟件。該軟件支持共享打印機、互相傳輸資料文件等。本周,該產品被披露存在多個漏洞,攻擊者可利用漏洞繞過安全限制,未授權訪問資源,執行任意代碼或發起拒絕服務攻擊等。
CNVD收錄的相關漏洞包括:Samba訪問繞過漏洞、Samba拒絕服務漏洞(CNVD-2019-08284、CNVD-2019-08285、CNVD-2019-08293、CNVD-2019-08297)、Samba安全繞過漏洞(CNVD-2019-08286)、Samba內存破壞漏洞、Samba遠程拒絕服務漏洞(CNVD-2019-08296)。目前,廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發漏洞相關的網絡安全事件。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08283
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08284
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08285
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08286
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08287
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08293
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08296
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08297
5、Adrenalin eSystems HRMS Software跨站腳本漏洞
Adrenalin eSystems HRMS Software是一套人力資源管理系統。Adrenalin eSystems HRMS Software被披露存在跨站腳本漏洞。遠程攻擊者可借助‘ReportId’參數利用該漏洞注入惡意的JavaScript代碼。
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08275
更多高危漏洞如表4所示,詳細信息可根據CNVD編號,在CNVD官網進行查詢。
參考鏈接:
http://www.cnvd.org.cn/flaw/list.htm
小結:本周,Apple被披露存在存在多個漏洞,攻擊者可利用漏洞提升權限,執行任意代碼(內存破壞)。此外,Mozilla、Foxit、Samba等多款產品被披露存在多個漏洞,攻擊者可利用漏洞泄露敏感信息,繞過安全限制,未授權訪問資源,執行任意代碼或發起拒絕服務攻擊等。另外,Adrenalin eSystems HRMS Software被披露存在跨站腳本漏洞。遠程攻擊者可借助‘ReportId’參數利用該漏洞注入惡意的JavaScript代碼。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
本周重要漏洞攻擊驗證情況
本周,CNVD建議注意防范以下已公開漏洞攻擊驗證情況。
1、ABUS Secvest FUBE50014和ABUS Secvest FUBE50015拒絕服務漏洞
驗證描述
ABUS Secvest FUBE50014和ABUS Secvest FUBE50015都是德國ABUS公司的一款無線遙控器。
ABUS Secvest FUBE50014和ABUS Secvest FUBE50015中存在安全漏洞,該漏洞源于程序未加密信號通信并且使用了易被猜測到的滾動碼。攻擊者可利用該漏洞造成拒絕服務。
驗證信息
POC鏈接:
https://packetstormsecurity.com/files/152218/ABUS-Secvest-Remote-Control-Denial-Of-Service.html
參考鏈接:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-08179
信息提供者
CNVD工作組
注:以上驗證信息(方法)可能帶有攻擊性,僅供安全研究之用。請廣大用戶加強對漏洞的防范工作,盡快下載相關補丁。
關于CNVD
國家信息安全漏洞共享平臺(China National Vulnerability Database,簡稱CNVD)是CNCERT聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的信息安全漏洞信息共享知識庫,致力于建立國家統一的信息安全漏洞收集、發布、驗證、分析等應急處理體系。
關于CNCERT
國家計算機網絡應急技術處理協調中心(簡稱“國家互聯網應急中心”,英文簡稱是CNCERT或CNCERT/CC),成立于2002年9月,為非政府非盈利的網絡安全技術中心,是我國網絡安全應急體系的核心協調機構。
作為國家級應急中心,CNCERT的主要職責是:按照“積極預防、及時發現、快速響應、力保恢復”的方針,開展互聯網網絡安全事件的預防、發現、預警和協調處置等工作,維護國家公共互聯網安全,保障基礎信息網絡和重要信息系統的安全運行。
網址:www.cert.org.cn
郵箱:vreport@cert.org.cn
電話:010-82991537