本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞308個,其中高危漏洞152個、中危漏洞138個、低危漏洞18個。漏洞平均分值為6.48。本周收錄的漏洞中,涉及0day漏洞223個(占72%),其中互聯(lián)網(wǎng)上出現(xiàn)“TOTOLINK X5000R setModifyVpnUser方法命令注入漏洞、ZZCMS任意文件讀取漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關(guān)和企事業(yè)單位的漏洞總數(shù)44226個,與上周(27939個)環(huán)比增加58%。
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件2起,向基礎(chǔ)電信企業(yè)通報漏洞事件2起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件601起,協(xié)調(diào)教育行業(yè)應急組織驗證和處置高校科研院所系統(tǒng)漏洞事件33起,向國家上級信息安全協(xié)調(diào)機構(gòu)上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件15起。
此外,CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
紫光集團有限公司、中譯語通科技股份有限公司、智互聯(lián)(深圳)科技有限公司、友訊電子設(shè)備(上海)有限公司、用友網(wǎng)絡(luò)科技股份有限公司、新天科技股份有限公司、武漢達夢數(shù)據(jù)庫有限公司、天津卓朗科技發(fā)展有限公司、天津南大通用數(shù)據(jù)技術(shù)股份有限公司、騰訊安全應急響應中心、松下電器(中國)有限公司、四川迅睿云軟件開發(fā)有限公司、四川天健世紀科技有限公司、神州數(shù)碼控股有限公司、深圳市深科特信息技術(shù)有限公司、深圳市吉祥騰達科技有限公司、深圳市東寶信息技術(shù)有限公司、上海卓卓網(wǎng)絡(luò)科技有限公司、上海異工同智信息科技有限公司、上海移遠通信技術(shù)股份有限公司、上海桑銳電子科技股份有限公司、上海銳昉科技有限公司、上海金慧軟件有限公司、上海泛微網(wǎng)絡(luò)科技股份有限公司、上海博達數(shù)據(jù)通信有限公司、山東比特智能科技股份有限公司、廈門科拓通訊技術(shù)股份有限公司、麒麟軟件有限公司、力合科技(湖南)股份有限公司、藍網(wǎng)科技股份有限公司、藍鴿集團有限公司、科大訊飛股份有限公司、杭州三匯信息工程有限公司、杭州品聯(lián)科技有限公司、杭州吉拉科技有限公司、杭州海康威視數(shù)字技術(shù)股份有限公司、廣東中設(shè)智控科技股份有限公司、廣東飛企互聯(lián)科技股份有限公司、東華軟件股份公司、成都同飛科技有限責任公司、暢捷通信息技術(shù)股份有限公司、北京致遠互聯(lián)軟件股份有限公司、北京真視通科技股份有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京萬戶網(wǎng)絡(luò)技術(shù)有限公司、北京通達信科科技有限公司、北京神州視翰科技有限公司、北京人大金倉信息技術(shù)股份有限公司、北京朗新天霽軟件技術(shù)有限公司、北京金和網(wǎng)絡(luò)股份有限公司、北京奧泰瑞格科技有限公司、奧琦瑋信息科技(北京)有限公司和安歌科技(集團)股份有限公司。
本周漏洞報送情況統(tǒng)計
本周報送情況如表1所示。其中,新華三技術(shù)有限公司、安天科技集團股份有限公司、深信服科技股份有限公司、北京神州綠盟科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司等單位報送公開收集的漏洞數(shù)量較多。河南東方云盾信息技術(shù)有限公司、信息產(chǎn)業(yè)信息安全測評中心、成都久信信息技術(shù)股份有限公司、快頁信息技術(shù)有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、蘇州棱鏡七彩信息科技有限公司、中資網(wǎng)絡(luò)信息安全科技有限公司、上海觀安信息技術(shù)股份有限公司、江蘇極元信息技術(shù)有限公司、重慶都會信息科技有限公司、南方電網(wǎng)數(shù)字電網(wǎng)集團信息通信科技有限公司、北京翰慧投資咨詢有限公司、北京遠禾科技有限公司、北京天下信安技術(shù)有限公司、安徽希客安全技術(shù)服務(wù)有限公司、博智安全科技股份有限公司、江西中和證信息安全技術(shù)有限公司、安徽天行網(wǎng)安信息安全技術(shù)有限公司、中國人民財產(chǎn)保險股份有限公司、北京卓識網(wǎng)安技術(shù)股份有限公司、江蘇軟測信息科技有限公司及其他個人白帽子向CNVD提交了44226個以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、奇安信網(wǎng)神(補天平臺)、三六零數(shù)字安全科技集團有限公司和上海交大向CNVD共享的白帽子報送的43110條原創(chuàng)漏洞信息。
表1 漏洞報送情況統(tǒng)計表
報送單位或個人 |
漏洞報送數(shù)量 |
原創(chuàng)漏洞數(shù)量 |
斗象科技(漏洞盒子) |
26043 |
26043 |
奇安信網(wǎng)神(補天平臺) |
15622 |
15622 |
三六零數(shù)字安全科技集團有限公司 |
1159 |
1159 |
新華三技術(shù)有限公司 |
942 |
0 |
安天科技集團股份有限公司 |
453 |
0 |
深信服科技股份有限公司 |
418 |
20 |
北京神州綠盟科技有限公司 |
335 |
0 |
上海交大 |
286 |
286 |
北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 |
250 |
1 |
京東科技信息技術(shù)有限公司 |
119 |
0 |
北京啟明星辰信息安全技術(shù)有限公司 |
98 |
35 |
恒安嘉新(北京)科技股份公司 |
83 |
0 |
中國電信集團系統(tǒng)集成有限責任公司 |
23 |
23 |
北京知道創(chuàng)宇信息技術(shù)有限公司 |
21 |
2 |
北京長亭科技有限公司 |
19 |
1 |
杭州安恒信息技術(shù)股份有限公司 |
12 |
4 |
北京安信天行科技有限公司 |
11 |
11 |
遠江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司 |
10 |
10 |
南京眾智維信息科技有限公司 |
4 |
4 |
華為技術(shù)有限公司 |
3 |
3 |
河南東方云盾信息技術(shù)有限公司 |
31 |
31 |
信息產(chǎn)業(yè)信息安全測評中心 |
14 |
14 |
成都久信信息技術(shù)股份有限公司 |
13 |
13 |
快頁信息技術(shù)有限公司 |
11 |
11 |
北京山石網(wǎng)科信息技術(shù)有限公司 |
8 |
8 |
蘇州棱鏡七彩信息科技有限公司 |
8 |
8 |
中資網(wǎng)絡(luò)信息安全科技有限公司 |
7 |
7 |
上海觀安信息技術(shù)股份有限公司 |
5 |
5 |
江蘇極元信息技術(shù)有限公司 |
3 |
3 |
重慶都會信息科技有限公司 |
2 |
2 |
南方電網(wǎng)數(shù)字電網(wǎng)集團信息通信科技有限公司 |
2 |
2 |
北京翰慧投資咨詢有限公司 |
2 |
2 |
北京遠禾科技有限公司 |
2 |
2 |
北京天下信安技術(shù)有限公司 |
1 |
1 |
安徽希客安全技術(shù)服務(wù)有限公司 |
1 |
1 |
博智安全科技股份有限公司 |
1 |
1 |
江西中和證信息安全技術(shù)有限公司 |
1 |
1 |
安徽天行網(wǎng)安信息安全技術(shù)有限公司 |
1 |
1 |
中國人民財產(chǎn)保險股份有限公司 |
1 |
1 |
北京卓識網(wǎng)安技術(shù)股份有限公司 |
1 |
1 |
江蘇軟測信息科技有限公司 |
1 |
1 |
CNCERT貴州分中心 |
6 |
6 |
CNCERT浙江分中心 |
2 |
2 |
CNCERT寧夏分中心 |
2 |
2 |
個人 |
876 |
876 |
報送總計 |
46913 |
44226 |
本周漏洞按類型和廠商統(tǒng)計
本周,CNVD收錄了308個漏洞。WEB應用154個,應用程序74個,網(wǎng)絡(luò)設(shè)備(交換機、路由器等網(wǎng)絡(luò)端設(shè)備)39個,智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)25個,操作系統(tǒng)8個,數(shù)據(jù)庫6個,安全產(chǎn)品2個。
表2 漏洞按影響類型統(tǒng)計表
漏洞影響對象類型 |
漏洞數(shù)量 |
WEB應用 |
154 |
應用程序 |
74 |
網(wǎng)絡(luò)設(shè)備(交換機、路由器等網(wǎng)絡(luò)端設(shè)備) |
39 |
智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備) |
25 |
操作系統(tǒng) |
8 |
數(shù)據(jù)庫 |
6 |
安全產(chǎn)品 |
2 |
CNVD整理和發(fā)布的漏洞涉及用Adobe、TOTOLINK、Google等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表
序號 |
廠商(產(chǎn)品) |
漏洞數(shù)量 |
所占比例 |
1 |
Adobe |
33 |
11% |
2 |
TOTOLINK |
15 |
5% |
3 |
Google |
13 |
4% |
4 |
SAP |
12 |
4% |
5 |
北京神州視翰科技有限公司 |
12 |
4% |
6 |
Apache |
12 |
4% |
7 |
用友網(wǎng)絡(luò)科技股份有限公司 |
8 |
3% |
8 |
暢捷通信息技術(shù)股份有限公司 |
7 |
2% |
9 |
北京人大金倉信息技術(shù)股份有限公司 |
6 |
2% |
10 |
其他 |
190 |
61% |
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了32個電信行業(yè)漏洞,15個移動互聯(lián)網(wǎng)行業(yè)漏洞,5個工控行業(yè)漏洞(如下圖所示)。其中,“Tenda FH1202 form_fast_setting_wifi_set方法緩沖區(qū)溢出漏洞、Huawei HarmonyOS和EMUI拒絕服務(wù)漏洞(CNVD-2024-36099)”等漏洞的綜合評級為“高危”。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補程序,請參照CNVD相關(guān)行業(yè)漏洞庫鏈接。
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、Google產(chǎn)品安全漏洞
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞繞過安全限制,在系統(tǒng)上執(zhí)行任意代碼或?qū)е聭贸绦虮罎ⅰ?/p>
CNVD收錄的相關(guān)漏洞包括:Google Chrome Audio模塊內(nèi)存錯誤引用漏洞、Google Chrome Browser UI模塊內(nèi)存錯誤引用漏洞、Google Chrome PDFium模塊內(nèi)存錯誤引用漏洞、Google Chrome Tab Strip模塊緩沖區(qū)溢出漏洞、Google Chrome V8模塊內(nèi)存錯誤引用漏洞、Google Chrome安全繞過漏洞(CNVD-2024-36090、CNVD-2024-36091)、Google Chrome代碼執(zhí)行漏洞(CNVD-2024-36093)。上述漏洞的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
2、Adobe產(chǎn)品安全漏洞
Adobe Bridge是美國奧多比(Adobe)公司的一款文件查看器。Adobe Dimension是美國奧多比(Adobe)公司的是一套2D和3D合成設(shè)計工具。Adobe InDesign是美國奧多比(Adobe)公司的一套排版編輯應用程序。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在系統(tǒng)上執(zhí)行任意代碼,或者導致應用程序崩潰。
CNVD收錄的相關(guān)漏洞包括:Adobe Bridge越界寫入漏洞(CNVD-2024-35982、CNVD-2024-35983)、Adobe Dimension越界寫入漏洞(CNVD-2024-35995)、Adobe Dimension內(nèi)存錯誤引用漏洞(CNVD-2024-35998)、Adobe InDesign越界讀取漏洞(CNVD-2024-36305)、Adobe InDesign越界寫入漏洞(CNVD-2024-36304、CNVD-2024-36303、CNVD-2024-36306)。上述漏洞的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
3、SAP產(chǎn)品安全漏洞
SAP CRM是德國思愛普(SAP)公司的一個客戶關(guān)系管理系統(tǒng)。SAP My Travel Requests是美國思愛普(SAP)公司的一個交易應用程序。SAP Enable Now Manager是德國思愛普(SAP)公司的中央內(nèi)容管理和協(xié)作平臺。SAP BusinessObjects BI Platform是德國思愛普(SAP)公司的用于數(shù)據(jù)報告、可視化和共享的集中套件。SAP NetWeaver Application Server是德國思愛普(SAP)公司的一款應用程序服務(wù)器。SAP CRM是德國思愛普(SAP)公司的一個客戶關(guān)系管理系統(tǒng)。SAP Commerce是德國思愛普(SAP)公司的一套基于云的電子商務(wù)平臺。該產(chǎn)支持銷售管理、營銷管理、訂單管理和運營管理等。SAP Business Workflow是德國思愛普(SAP)公司的用于執(zhí)行業(yè)務(wù)流程的關(guān)鍵組件,它允許用戶設(shè)計、實施和管理業(yè)務(wù)流程,確保流程的合規(guī)性,并通過自動化減少手動操作的需要。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,執(zhí)行執(zhí)行任意代碼,導致權(quán)限升級等。
CNVD收錄的相關(guān)漏洞包括:SAP CRM信息泄露漏洞、SAP My Travel Requests授權(quán)問題漏洞、SAP Enable Now Manager授權(quán)問題漏洞、SAP BusinessObjects BI Platform反序列化漏洞、SAP NetWeaver Application Server文件上傳漏洞、SAP CRM授權(quán)問題漏洞、SAP Commerce授權(quán)問題漏洞(CNVD-2024-36346)、SAP Business Workflow信息泄露漏洞。其中,“SAP BusinessObjects BI Platform反序列化漏洞、SAP NetWeaver Application Server文件上傳漏洞”的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
4、Apache產(chǎn)品安全漏洞
Apache Answer是美國阿帕奇(Apache)基金會的一個社區(qū)平臺。Apache MINA SSHD是美國阿帕奇(Apache)基金會的一個純Java庫,支持客戶端和服務(wù)器端的SSH協(xié)議。Apache DolphinScheduler是美國阿帕奇(Apache)基金會的一個分布式的基于DAG可視化的工作流任務(wù)調(diào)度系統(tǒng)。Apache Answer是美國阿帕奇(Apache)基金會的一個社區(qū)平臺。Apache Linkis是美國阿帕奇(Apache)基金會的一款中間件產(chǎn)品,可以在上層應用和底層數(shù)據(jù)引擎之間建立起有效的連接。Apache InLong是美國阿帕奇(Apache)基金會的一站式的海量數(shù)據(jù)集成框架。提供自動化、安全、可靠的數(shù)據(jù)傳輸能力。Apache Traffic Server是美國阿帕奇(Apache)基金會的一套可擴展的HTTP代理和緩存服務(wù)器。Apache SeaTunnel是美國阿帕奇(Apache)基金會的一個簡單易用的數(shù)據(jù)集成框架。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞偽造任何令牌來登錄任何用戶,遠程代碼執(zhí)行,導致拒絕服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:Apache Answer安全繞過漏洞(CNVD-2024-35661)、Apache MINA SSHD安全繞過漏洞、Apache DolphinScheduler輸入驗證錯誤漏洞(NVD-C-2024-618180)、Apache Answer安全繞過漏洞、Apache Linkis權(quán)限提升漏洞、Apache InLong代碼注入漏洞(CNVD-2024-35666)、Apache Traffic Server輸入驗證錯誤漏洞(CNVD-2024-35671)、Apache SeaTunnel認證繞過漏洞。其中,除“Apache MINA SSHD安全繞過漏洞”外,其余漏洞的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
Tenda AX1806是中國騰達(Tenda)公司的一個WiFi6無線路由器。本周,Tenda AX1806被披露存在緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞通過特制的輸入導致拒絕服務(wù)。目前,廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關(guān)注廠商主頁,以獲取最新版本。
小結(jié):本周,Google產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞繞過安全限制,在系統(tǒng)上執(zhí)行任意代碼或?qū)е聭贸绦虮罎ⅰ4送猓珹dobe、SAP、Apache等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞偽造任何令牌來登錄任何用戶,獲取敏感信息,在系統(tǒng)上執(zhí)行任意代碼,導致拒絕服務(wù)等。另外,Tenda AX1806被披露存在緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞通過特制的輸入導致拒絕服務(wù)。建議相關(guān)用戶隨時關(guān)注上述廠商主頁,及時獲取修復補丁或解決方案。
