您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞月報(2022年7月)
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計(jì),2022年7月份采集安全漏洞共1924個。
本月接報漏洞15699個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)583個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)15116個,其中漏洞平臺推送漏洞13516個。
重大漏洞通報
OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274):成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4版本受漏洞影響。目前,OpenSSL官方已發(fā)布新版本修復(fù)了漏洞,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
微軟多個安全漏洞:包括Microsoft Windows 權(quán)限許可和訪問控制問題漏洞(CNNVD-202207-1061、CVE-2022-22022)、Microsoft Windows Fax Service 輸入驗(yàn)證錯誤漏洞(CNNVD-202207-1096、CVE-2022-22024)等多個漏洞,成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
漏洞態(tài)勢
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計(jì),2022年7月份新增安全漏洞共1924個,從廠商分布來看,WordPress基金會公司產(chǎn)品的漏洞數(shù)量最多,共發(fā)布117個;從漏洞類型來看,緩沖區(qū)錯誤類的漏洞占比最大,達(dá)到11.17%。本月新增漏洞中,超危漏洞292個、高危漏洞698個、中危漏洞835個、低危漏洞99個,相應(yīng)修復(fù)率分別為73.97%、84.53%、78.80%以及97.98%。合計(jì)1561個漏洞已有修復(fù)補(bǔ)丁發(fā)布,本月整體修復(fù)率81.13%。
截至2022年7月31日,CNNVD采集漏洞總量已達(dá)189054個。
1.1 漏洞增長概況
2022年7月新增安全漏洞1924個,與上月(2346個)相比減少了17.99%。根據(jù)近6個月來漏洞新增數(shù)量統(tǒng)計(jì)圖,平均每月漏洞數(shù)量達(dá)到2056個。
圖1 2022年2月至2022年7月漏洞新增數(shù)量統(tǒng)計(jì)圖
1.2 漏洞分布情況
1.2.1 漏洞廠商分布
2022年7月廠商漏洞數(shù)量分布情況如表1所示,WordPress基金會公司漏洞達(dá)到117個,占本月漏洞總量的6.08%。
表1 2022年7月排名前十廠商新增安全漏洞統(tǒng)計(jì)表
1.2.2 漏洞產(chǎn)品分布
2022年7月主流操作系統(tǒng)的漏洞統(tǒng)計(jì)情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共43個,Windows Server 2022漏洞數(shù)量最多,共42個,占主流操作系統(tǒng)漏洞總量的8.97%,排名第一。
表2 2022年7月主流操作系統(tǒng)漏洞數(shù)量統(tǒng)計(jì)
1.2.3 漏洞類型分布
2022年7月份發(fā)布的漏洞類型分布如表3所示,其中緩沖區(qū)錯誤類漏洞所占比例最大,約為11.17%。
表3 2022年7月漏洞類型統(tǒng)計(jì)表
1.2.4 漏洞危害等級分布
根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況,從高到低可將其分為四個危害等級,即超危、高危、中危和低危級別。2022年7月漏洞危害等級分布如圖2所示,其中超危漏洞292條,占本月漏洞總數(shù)的15.18%。
圖2 2022年7月漏洞危害等級分布
1.3漏洞修復(fù)情
1.3.1 整體修復(fù)情況
2022年7月漏洞修復(fù)情況按危害等級進(jìn)行統(tǒng)計(jì)見圖3。其中低危漏洞修復(fù)率最高,達(dá)到97.98%,超危漏洞修復(fù)率最低,比例為73.97%。
總體來看,本月整體修復(fù)率,由上月的71.99%上升至本月的81.13%。
圖3 2022年7月漏洞修復(fù)數(shù)量統(tǒng)計(jì)
1.3.2 廠商修復(fù)情況
2022年7月漏洞修復(fù)情況按漏洞數(shù)量前十廠商進(jìn)行統(tǒng)計(jì),其中WordPress基金會、Oracle、Microsoft等十個廠商共627條漏洞,占本月漏洞總數(shù)的32.59%,漏洞修復(fù)率為96.49%,詳細(xì)情況見表4。多數(shù)知名廠商對產(chǎn)品安全高度重視,產(chǎn)品漏洞修復(fù)比較及時,其中Oracle、Microsoft、Apple、Cisco、Samsung、Adobe等公司本月漏洞修復(fù)率均為100%,共605條漏洞已全部修復(fù)。
表4 2022年7月廠商修復(fù)情況統(tǒng)計(jì)表
1.4 重要漏洞實(shí)例
1.4.1 超危漏洞實(shí)例
2022年7月超危漏洞共292個,其中重要漏洞實(shí)例如表5所示。
表5 2022年7月超危漏洞實(shí)例
1、Django SQL注入漏洞(CNNVD-202207-347)
Django是Django基金會的一套基于Python語言的開源Web應(yīng)用框架。該框架包括面向?qū)ο蟮挠成淦?、視圖系統(tǒng)、模板系統(tǒng)等。
Django 3.2.14 版本之前3.2 版本和 4.0.6 版本之前的 4.0 版本存在SQL注入漏洞,該漏洞源于如果將不受信任的數(shù)據(jù)用作 kind/lookup_name 值,則Trunc() 和 Extract() 數(shù)據(jù)庫函數(shù)會受到 SQL 注入的影響。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.djangoproject.com/weblog/2022/jul/04/security-releases/
2、Mitsubishi Electric MC Works64 代碼問題漏洞(CNNVD-202207-2071)
Mitsubishi Electric MC Works64是日本三菱電機(jī)(Mitsubishi Electric)公司的一套數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)。
Mitsubishi Electric MC Works64 存在安全漏洞,該漏洞源于數(shù)據(jù)包的不正確輸入驗(yàn)證。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-008_en.pdf
3、Symantec Advanced Secure Gateway 授權(quán)問題漏洞(CNNVD-202207-563)
Symantec Advanced Secure Gateway(ASG)是美國賽門鐵克(Symantec)公司的一款安全網(wǎng)關(guān)設(shè)備。
Symantec Advanced Secure Gateway (ASG) 和 ProxySG存在安全漏洞,該漏洞源于容易受到 HTTP 異步漏洞的影響。攻擊者利用該漏洞發(fā)送特制的 HTTP 請求,并使用代理將 Web 服務(wù)器響應(yīng)轉(zhuǎn)發(fā)給其他客戶端。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/20638
4、Cisco Nexus Dashboard 操作系統(tǒng)命令注入漏洞(CNNVD-202207-2123)
Cisco Nexus Dashboard是美國思科(Cisco)公司的一個單一控制臺。能夠簡化數(shù)據(jù)中心網(wǎng)絡(luò)的運(yùn)營和管理。
Cisco Nexus Dashboard 存在安全漏洞,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以訪問在數(shù)據(jù)網(wǎng)絡(luò)中運(yùn)行的特定 API 并在受影響的設(shè)備上執(zhí)行任意命令。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y
5、Siemens 多款產(chǎn)品 緩沖區(qū)錯誤漏洞(CNNVD-202207-904)
Siemens SIMATIC是西門子(Siemens)的一款組態(tài)軟件。
SIMATIC CP多款產(chǎn)品、SIPLUS多款產(chǎn)品存在安全漏洞,該漏洞源于在解析特定消息時缺乏對用戶提供的數(shù)據(jù)的正確驗(yàn)證,從而導(dǎo)致基于堆的緩沖區(qū)溢出。攻擊者利用該漏洞在受影響設(shè)備中執(zhí)行代碼。以下產(chǎn)品及版本受到影響:SIMATIC CP 1242-7 V2版本、SIMATIC CP 1243-1版本、SIMATIC CP 1243-7 LTE EU版本、SIMATIC CP 1243-7 LTE US版本、SIMATIC CP 1243-8 IRC版本、SIMATIC CP 1542SP-1 IRC V2.0版本及之后版本、SIMATIC CP 1543-1 V3.0.22之前版本、SIMATIC CP 1543SP-1 V2.0版本及之后版本、SIPLUS ET 200SP CP 1542SP-1 IRC TX RAIL V2.0版本及之后版本、SIPLUS ET 200SP CP 1543SP-1 ISEC V2.0版本及之后版本、SIPLUS ET 200SP CP 1543SP -1 ISEC TX RAIL V2.0版本及之后版本、SIPLUS NET CP 1242-7 V2版本、SIPLUS NET CP 1543-1 V3.0.22之前版本、SIPLUS S7-1200 CP 1243-1版本、SIPLUS S7-1200 CP 1243-1 RAIL版本。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://cert-portal.siemens.com/productcert/pdf/ssa-517377.pdf
6、Cisco Nexus Dashboard 訪問控制錯誤漏洞(CNNVD-202207-2117)
Cisco Nexus Dashboard是美國思科(Cisco)公司的一個單一控制臺。能夠簡化數(shù)據(jù)中心網(wǎng)絡(luò)的運(yùn)營和管理。
Cisco Nexus Dashboard 存在安全漏洞,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以訪問在受影響設(shè)備的數(shù)據(jù)和管理網(wǎng)絡(luò)中運(yùn)行的服務(wù)。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y
7、Apache Xalan 輸入驗(yàn)證錯誤漏洞(CNNVD-202207-1617)
Apache Xalan是美國阿帕奇(Apache)基金會的開源軟件庫。
Apache Xalan Java XSLT庫存在輸入驗(yàn)證錯誤漏洞,該漏洞源于在處理惡意的XSLT樣式表時,存在整數(shù)截?cái)鄦栴}。這可以用來破壞由內(nèi)部XSLTC編譯器生成的Java類文件并執(zhí)行任意的Java字節(jié)碼。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://lists.apache.org/thread/12pxy4phsry6c34x2ol4fft6xlho4kyw
1.4.2 高危漏洞實(shí)例
2022年7月高危漏洞共698個,其中重要漏洞實(shí)例如表6所示。
表6 2022年7月高危漏洞實(shí)例
1、Fortinet FortiADC SQL注入漏洞(CNNVD-202207-376)
Fortinet FortiADC是美國飛塔(Fortinet)公司的一款應(yīng)用交付控制器。
Fortinet FortiADC存在SQL注入漏洞,該漏洞源于對 FortiADC 管理界面中用戶提供的數(shù)據(jù)的清理不足。遠(yuǎn)程攻擊者利用該漏洞可以向受影響的應(yīng)用程序發(fā)送特制請求,并在應(yīng)用程序數(shù)據(jù)庫中執(zhí)行任意 SQL 命令。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://fortiguard.fortinet.com/psirt/FG-IR-22-051
2、Inductive Automation Ignition 代碼問題漏洞(CNNVD-202207-2475)
Inductive Automation Ignition是美國Inductive Automation公司的一套用于SCADA系統(tǒng)的集成軟件平臺。該平臺支持SCADA(數(shù)據(jù)采集與監(jiān)控系統(tǒng))、HMI(人機(jī)界面)等。
Inductive Automation Ignition存在代碼問題漏洞,該漏洞源于在沒有XML安全標(biāo)志的情況下解析備份或還原功能中的XML,可能會導(dǎo)致XML外部實(shí)體注入攻擊。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://inductiveautomation.com/downloads/releasenotes/8.1.9#:~:text=Fixed%20multiple%20potential%20XXE%20and%20SSRF%20vulnerabilities
3、SAP Business one License service API 授權(quán)問題漏洞(CNNVD-202207-866)
SAP Business One License service API是德國SAP公司的一項(xiàng)服務(wù)。提供了一個統(tǒng)一的服務(wù)端點(diǎn),可以通過 API 調(diào)用從 SAP Business One 系統(tǒng)之外的源系統(tǒng)訪問業(yè)務(wù)數(shù)據(jù)。
SAP Business one License service API 10.0版本存在授權(quán)問題漏洞。攻擊者利用該漏洞通過網(wǎng)絡(luò)發(fā)送惡意 http 請求,從而破壞整個應(yīng)用程序。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://launchpad.support.sap.com/#/notes/3157613
4、Schneider Electric SpaceLogic C-Bus Home Controller 操作系統(tǒng)命令注入漏洞(CNNVD-202207-1279)
Schneider Electric SpaceLogic C-Bus Home Controller是法國施耐德電氣(Schneider Electric)公司的一個功能強(qiáng)大、完全集成的系統(tǒng)??梢钥刂坪妥詣踊彰骱驮S多其他電氣系統(tǒng)和產(chǎn)品。
Schneider Electric SpaceLogic C-Bus Home Controller (5200WHC2) V1.31.460 及之前版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于OS 命令中使用的特殊元素的不正確中和,攻擊者利用該漏洞可以提升root權(quán)限。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-02_SpaceLogic-C-Bus-Home-Controller-Wiser_MK2_Security_Notification.pdf
5、Redis Labs Redis 緩沖區(qū)錯誤漏洞(CNNVD-202207-1675)
Redis Labs Redis是美國Redis Labs公司的一套開源的使用ANSI C編寫、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、鍵值(Key-Value)存儲數(shù)據(jù)庫,并提供多種語言的API。
Redis 7.0.4 之前版本存在安全漏洞,該漏洞源于針對特定狀態(tài)的流鍵的特制 XAUTOCLAIM 命令可能導(dǎo)致堆溢出,并可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://github.com/redis/redis/releases/tag/7.0.4
6、Apache Hive 訪問控制錯誤漏洞(CNNVD-202207-1393)
Apache Hive是美國阿帕奇(Apache)基金會的一套基于Hadoop(分布式系統(tǒng)基礎(chǔ)架構(gòu))的數(shù)據(jù)倉庫軟件。該軟件提供了一個數(shù)據(jù)集成方法和一種高級的查詢語言,以支持在Hadoop上進(jìn)行大規(guī)模數(shù)據(jù)分析。
Apache Hive 3.1.3之前版本存在安全漏洞,該漏洞源于Hive 的CREATE和DRO函數(shù)不檢查授權(quán),未經(jīng)授權(quán)的用戶可以刪除并重新創(chuàng)建 UDF。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://lists.apache.org/thread/oqqgnhz4c6nxsfd0xstosnk0g15f7354
7、Linux kernel 資源管理錯誤漏洞(CNNVD-202207-2277)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。
Linux kernel io_uring存在安全漏洞。攻擊者利用該漏洞導(dǎo)致出現(xiàn)雙重釋放。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?h=linux-5.10.y&id=df3f3bb5059d20ef094d6b2f0256c4bf4127a859
8、ZOHO ManageEngine ADSelfService Plus 輸入驗(yàn)證錯誤漏洞(CNNVD-202207-329)
ZOHO ManageEngine ADSelfService Plus是美國卓豪(ZOHO)公司的針對 Active Directory 和云應(yīng)用程序的集成式自助密碼管理和單點(diǎn)登錄解決方案。
ZOHO ManageEngine ADSelfService Plus存在輸入驗(yàn)證錯誤漏洞,該漏洞源于移動應(yīng)用部署 API 中用戶提供的輸入驗(yàn)證不足導(dǎo)致遠(yuǎn)程攻擊者可以向受影響的移動應(yīng)用部署 API 端點(diǎn)發(fā)送特制請求并執(zhí)行拒絕服務(wù) (DoS) 攻擊。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁:
https://www.manageengine.com/products/self-service-password/
二、漏洞平臺推送情況
2022年7月漏洞平臺推送漏洞13516個。
表7 2022年7月漏洞平臺推送情況表
三、接報漏洞情況
2022年7月接報漏洞2183個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)583個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)1600個。
表8 2022年7月接報漏洞情況表(略)
四、重大漏洞通報
4.1 OpenSSL安全漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情況的報送。成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4版本受漏洞影響。目前,OpenSSL官方已發(fā)布新版本修復(fù)了漏洞,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
. 漏洞介紹
OpenSSL是OpenSSL團(tuán)隊(duì)開發(fā)的一個開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫。該產(chǎn)品支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等。該漏洞源于計(jì)算機(jī)上具有2048位私鑰的 RSA 實(shí)現(xiàn)不正確,并且在計(jì)算過程中會發(fā)生內(nèi)存損壞,導(dǎo)致攻擊者可能會在執(zhí)行計(jì)算的機(jī)器上遠(yuǎn)程執(zhí)行代碼。
. 危害影響
成功利用此漏洞的攻擊者,可造成目標(biāo)機(jī)器內(nèi)存損壞,進(jìn)而在目標(biāo)機(jī)器遠(yuǎn)程執(zhí)行代碼。OpenSSL 3.0.4版本受漏洞影響。
. 修復(fù)建議
目前,OpenSSL官方已發(fā)布新版本修復(fù)了漏洞,請用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。官方鏈接如下:
https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4d8a88c134df634ba610ff8db1eb8478ac5fd345
4.2 微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了多個安全漏洞的公告,其中微軟產(chǎn)品本身漏洞86個,影響到微軟產(chǎn)品的其他廠商漏洞3個。包括Microsoft Windows 權(quán)限許可和訪問控制問題漏洞(CNNVD-202207-1061、CVE-2022-22022)、Microsoft Windows Fax Service 輸入驗(yàn)證錯誤漏洞(CNNVD-202207-1096、CVE-2022-22024)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
. 漏洞介紹
2022年7月12日,微軟發(fā)布了2022年7月份安全更新,共89個漏洞的補(bǔ)丁程序,CNNVD對這些漏洞進(jìn)行了收錄。本次更新主要涵蓋了Microsoft
Windows 和 Windows 組件、Microsoft Visual Studio、Microsoft Windows Shell、Microsoft
Graphics Component、 Microsoft Azure、Microsoft Internet Information
Services等。CNNVD對其危害等級進(jìn)行了評價,其中高危漏洞40個,中危漏洞47個,低危漏洞2個。微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問
https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。
. 漏洞詳情
此次更新共包括82個新增漏洞的補(bǔ)丁程序,其中高危漏洞38個,中危漏洞44個。
此次更新共包括4個更新漏洞的補(bǔ)丁程序,其中高危漏洞2個,中危漏洞2個。
此次更新共包括3個影響微軟產(chǎn)品的其他廠商漏洞的補(bǔ)丁程序,其中中危漏洞1個,低危漏洞2個。
. 修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞,建議用戶及時確認(rèn)漏洞影響,盡快采取修補(bǔ)措施。微軟官方補(bǔ)丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來源:CNNVD安全動態(tài)