本周过失态势研判情况日本鬼父第二季
本周信息安全过失威逼合座评价级别为中。
国度信息安全过失分享平台(以下简称CNVD)本周共网罗、整理信息安全过失658个,其中高危过失176个、中危过失430个、低危过失52个。过失对等分值为5.73。本周收录的过失中,触及0day过失387个(占59日本鬼父第二季%),其中互联网上出现“WordPress Survey And Poll SQL注入过失、Sourcecodester Alumni Management System跨站剧本过失”等零日代码抨击过失。本周CNVD接到的触及党政机关和企职业单元的原创过失总和35692个,与上周(10359个)环比增多245%。
图1 CNVD收录过失近10周对等分值散播图
本周过失事件处置情况
本周,CNVD向银行、保障、动力等首要行业单元通报过失事件24起,向基础电信企业通报过失事件32起,互助CNCERT各分中心考证和处置触及方位首要部门过失事件581起,互助素养行业救急组织考证和处置高校科研院所系统过失事件191起,向国度上司信息安全互助机构上报触及部委家数、子站或直属单元信息系统过失事件90起。
此外,CNVD通过已建立的考虑机制或涉事单元公开考虑渠说念向以下单元通报了其信息系统或软硬件产物存在的过失,具体处置单元情况如下所示:
淄博闪灵相聚科技有限公司、重庆团员科技有限公司、中科博华信息科技有限公司、长沙市灵心康复器材有限公司、友讯电子开拓(上海)有限公司、兄弟(中国)营业有限公司、新天科技股份有限公司、武汉捷讯信息技巧有限公司、武汉人烟众智数字技巧有限株连公司、网经科技(苏州)有限公司、天津神州浩天科技有限公司、苏州万户相聚科技有限公司、苏州托普斯相聚科技有限公司、泗洪雷速软件有限公司、四平市九囿易通科技有限公司、四创科技有限公司、世邦通讯股份有限公司、石家庄市征红相聚科技有限公司、深圳市西迪特科技有限公司、深圳市微耕实业有限公司、深圳市必联电子有限公司、上海卓卓相聚科技有限公司、上海亿速相聚科技有限公司、上海蓝山办公软件有限公司、上海斐讯数据通讯技巧有限公司、上海泛微相聚科技股份有限公司、上海贝锐信息科技股份有限公司、上海阿法迪智能数字科技股份有限公司、山西先启科技有限公司、山东潍微科技股份有限公司、山东金钟科技集团股份有限公司、厦门昕桐科技有限公司、厦门海为科技有限公司、三星(中国)投资有限公司、普联技巧有限公司、欧姆龙(中国)有限公司、南京云网汇联软件技巧有限公司、茉柏枘(上海)软件科技有限公司、迈普通讯技巧股份有限公司、辽宁知晓数据通讯有限公司、海浪通用软件有限公司、金华市宁志相聚科技有限公司、江苏金智素养信息股份有限公司、佳能(中国)有限公司、惠普贸易(上海)有限公司、湖南强智科技发展有限公司、湖南翱云相聚科技有限公司、衡水金航规划机科技有限公司、杭州奕锐电子有限公司、杭州三汇信息工程有限公司、杭州合泰软件有限公司、杭州迪普科技股份有限公司、海南驰豹科技有限公司、海尔集团电子商务有限公司、贵州觅新科技有限公司、广州图创规划机软件开发有限公司、广州都博相聚科技有限公司、广州南边卫星导航仪器有限公司、广州合优相聚科技有限公司、广东紫旭科技有限公司、广东环天电子技巧发展有限公司、甘肃成兴信息科技有限公司、富士胶片(中国)投资有限公司、福建银达汇智信息科技股份有限公司、福建福昕软件开发股份有限公司、佛山市顺德区出格软件想象有限公司、成都索贝数码科技股份有限公司、成都念念必得信息技巧有限公司、常州文庭软件有限公司、北京中航讯科技股份有限公司、北京易讯念念达科技开发有限公司、北京信安世纪科技股份有限公司、北京文网亿联科技有限公司、北京万户相聚技巧有限公司、北京天星组态软件有限公司、北京天生创想信息技巧有限公司、北京魔方永远软件有限公司、北京好意思特软件技巧有限公司、北京猎豹移动科技有限公司、北京慧图科技(集团)股份有限公司、北京爱奇艺科技有限公司、百度安全救急反应中心、爱普生(中国)有限公司、信呼、大米CMS、中环CMS、演义极品屋、物好意思智能、责任易东说念主才招聘系统、XnSoft、Typecho、TwoThink、TOTOLINK、SEMCMS、Sapido Technology Inc、Opto22、Irfan Skiljan、Emerson、Dnsmasq、Belkin International,Inc、Bandisoft、Apache Software Foundation、Deciso B.V.和Adobe。
本周,CNVD发布了《对于Apache Log4j2存在汉典代码实施过失的安全公告》。细则参见CNVD网站公告骨子。
https://www.cnvd.org.cn/webinfo/show/7116
本周过失报送情况统计
本周报送情况如表1所示。其中,厦门服云信息科技有限公司、北京天融信相聚安全技巧有限公司、新华三技巧有限公司、哈尔滨安天科技集团股份有限公司、恒安嘉新(北京)科技股份公司等单元报送公开网罗的过失数目较多。新疆海狼科技有限公司、北京华顺信安科技有限公司、北京信联科汇科技有限公司、河南信安世纪科技有限公司、河南灵创电子科技有限公司、广东蓝爵相聚安全技巧股份有限公司、山东新潮信息技巧有限公司、山东云天安全技巧有限公司、南京树安信息技巧有限公司、北京山石网科信息技巧有限公司、快页信息技巧有限公司、浙江木链物联网科技有限公司、京东云安全、北京安帝科技有限公司、重庆都会信息科技有限公司、上海纽盾科技股份有限公司、南京领行科技股份有限公司、博智安全科技股份有限公司、北京云科安信科技有限公司(Seraph安全施行室)、广州易东信息安全技巧有限公司、福建省海峡信息技巧有限公司、安徽长泰科技有限公司、吉利星河施行室、浙江大华技巧股份有限公司、星云博创科技有限公司、北京机沃科技有限公司、深圳市魔方安全科技有限公司、北京百度网讯科技有限公司、河南天祺信息安全技巧有限公司、念念而听相聚科技有限公司、百度AIoT安全团队、浙江大学戒指科学与工程学院、内蒙古洞明科技有限公司、北京时期新权威息技巧有限公司、四川博恩信息技巧有限公司、北京君云寰球科技有限公司、北京界限无穷科技有限公司、杭州天谷信息科技有限公司过火他个东说念主白帽子向CNVD提交了35692个以事件型过失为主的原创过失,其中包括奇安信网神(补天平台)、斗象科技(过失盒子)和上海交大向CNVD分享的白帽子报送的30259条原创过失信息。
表1 过失报送情况统计表
报送单元或个东说念主
过失报送数目
原创过失数
奇安信网神(补天平台)
20043
20043
斗象科技(过失盒子)
8556
8556
上海交大
1660
1660
厦门服云信息科技有限公司
316
0
北京天融信相聚安全技巧有限公司
309
14
新华三技巧有限公司
307
0
哈尔滨安天科技集团股份有限公司
242
0
恒安嘉新(北京)科技股份公司
121
0
信服服科技股份有限公司
116
0
北京神州绿盟科技有限公司
111
5
北京数字不雅星科技有限公司
95
0
天津市国瑞数码安全系统股份有限公司(国瑞数码零点施行室)
59
0
北京启明星辰信息安全技巧有限公司
53
1
杭州安恒信息技巧股份有限公司
37
15
西安四叶草信息技巧有限公司
16
16
远江盛邦(北京)相聚安全科技股份有限公司
7
7
南京联成科技发展股份有限公司
6
6
阿里云规划有限公司
2
2
深圳市腾讯规划机系统有限公司(玄武施行室)
1
1
新疆海狼科技有限公司
254
254
北京华顺信安科技有限公司
185
4
北京信联科汇科技有限公司
115
115
河南信安世纪科技有限公司
76
76
河南灵创电子科技有限公司
75
75
广东蓝爵相聚安全技巧股份有限公司
55
55
山东新潮信息技巧有限公司
55
55
南京树安信息技巧有限公司
51
51
欲望大家安全施行室
51
0
北京山石网科信息技巧有限公司
49
49
快页信息技巧有限公司
49
49
浙江木链物联网科技有限公司
39
39
京东云安全
32
32
北京安帝科技有限公司
24
24
重庆都会信息科技有限公司
19
19
杭州迪普科技股份有限公司
13
0
亚信科技(成都)有限公司
12
0
上海纽盾科技股份有限公司
10
10
南京领行科技股份有限公司
9
9
博智安全科技股份有限公司
8
8
北京云科安信科技有限公司(Seraph安全施行室)
7
7
广州易东信息安全技巧有限公司
6
6
福建省海峡信息技巧有限公司
5
5
安徽长泰科技有限公司
4
4
吉利星河施行室
4
4
绝色爆乳家政在线观看浙江大华技巧股份有限公司
4
4
星云博创科技有限公司
3
3
北京机沃科技有限公司
3
3
深圳市魔方安全科技有限公司
3
3
北京百度网讯科技有限公司
3
3
河南天祺信息安全技巧有限公司
2
2
山东云天安全技巧有限公司
2
2
念念而听相聚科技有限公司
2
2
百度AIoT安全团队
2
2
浙江大学戒指科学与工程学院
1
1
内蒙古洞明科技有限公司
1
1
北京时期新权威息技巧有限公司
1
1
四川博恩信息技巧有限公司
1
1
北京君云寰球科技有限公司
1
1
北京界限无穷科技有限公司
1
1
杭州天谷信息科技有限公司
1
1
CNCERT贵州分中心
4
4
个东说念主
4381
4381
报送共计
37680
35692
本周过失按类型和厂商统计
本周,CNVD收录了658个过失。WEB应用345个,应用体式192个,相聚开拓(交换机、路由器等相聚端开拓)71个,智能开拓(物联网终局开拓)23个,操作系统17个, 安全产物7个,数据库3个。
表2 过失按影响类型统计表
过失影响对象类型
过失数目
WEB应用
345
应用体式
192
相聚开拓(交换机、路由器等相聚端开拓)
71
智能开拓(物联网终局开拓)
23
操作系统
17
安全产物
7
数据库
3
图2 本周过失按影响类型散播
CNVD整理和发布的过失触及石家庄市征红相聚科技有限公司、淄博闪灵相聚科技有限公司、D-Link等多家厂商的产物,部分过失数目按厂商统计如表3所示。
表3 过失产物触及厂商散播统计表
序号
厂商(产物)
过失数目
所占比例
1
石家庄市征红相聚科技有限公司
42
6%
2
淄博闪灵相聚科技有限公司
25
4%
3
D-Link
25
4%
4
SourceCodester
23
4%
5
无忧相聚
17
3%
6
Dell
16
2%
7
淮南市银泰软件科技有限公司
15
2%
8
IBM
15
2%
9
Unitrends
13
2%
10
其他
467
71%
本周行业过失收录情况
本周,CNVD收录了58个电信行业过失,7个移动互联网行业过失,6个工控行业过失(如下图所示)。其中,“D-Link DIR-615缓冲区溢露马脚、D-LINK DIR-3040信息清晰过失(CNVD-2021-94832)”等过失的详尽评级为“高危”。联系厂商如故发布了过失的修补体式,请参照CNVD联系行业过失库衔接。
电信行业过失衔接:
移动互联网行业过失衔接:
工控系统行业过失衔接:
图3 电信行业过失统计
图4 移动互联网行业过失统计
图5 工控系统行业过失统计
本周首要过失安全告警
本周,CNVD整理和发布以下首要安全过失信息。
1、Adobe产物安全过失
Adobe Reader(也被称为Acrobat Reader)是Adobe公司开发的一款PDF文献阅读软件。Adobe Acrobat是由Adobe公司开发的一款PDF剪辑软件。本周,上述产物被走漏存在多个过失,抨击者可把握过失读取任性文献系统,实施任性代码等。
CNVD收录的联系过失包括:Adobe Acrobat/Reader开释后重用过失(CNVD-2021-94911、CNVD-2021-94912、CNVD-2021-94913、CNVD-2021-94914)、Adobe Acrobat/Reader栈缓冲区溢露马脚(CNVD-2021-94917、CNVD-2021-94916)、Adobe Acrobat/Reader越界写入过失(CNVD-2021-94918)、Adobe Acrobat/Reader越界读取过失(CNVD-2021-94939)。当今,厂商如故发布了上述过失的修补体式。CNVD辅导用户实时下载补丁更新,幸免激励过失联系的相聚安全事件。
参考衔接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94911
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94912
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94913
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94914
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94917
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94916
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94918
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94939
2、D-Link产物安全过失
D-Link DIR-809是中国友讯(D-Link)公司的一款双频路由器。D-Link DIR-605L是D-link公司推出的第一款云路由器,传输速率为300Mpbs。本周,上述产物被走漏存在多个过失,抨击者可把握过失取得用户名和密码,导致拒绝管事或实施任性代码等。
CNVD收录的联系过失包括:D-Link DIR-809 formStaticDHCP缓冲区溢露马脚、D-Link DIR-809 formSetPortTr缓冲区溢露马脚(CNVD-2021-94717)、D-Link DIR-809 formVirtualApp缓冲区溢露马脚、D-Link DIR-809 formVirtualServ缓冲区溢露马脚(CNVD-2021-94719)、D-Link DIR-809 formSetPortTr缓冲区溢露马脚、D-Link DIR-809 formWlanSetup缓冲区溢露马脚、D-Link DIR-809 formAdvFirewall缓冲区溢露马脚、D-Link DIR-605L信息清晰过失。其中,除“D-Link DIR-605L信息清晰过失”外,其余过失详尽评级为“高危”。当今,厂商如故发布了上述过失的修补体式。CNVD辅导用户实时下载补丁更新,幸免激励过失联系的相聚安全事件。
参考衔接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94716
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94717
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94718
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94719
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94721
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94723
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94722
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94835
3、Dell产物安全过失
Dell EMC iDRAC9是好意思国戴尔(DELL)公司的一套包含硬件和软件的系统管解析决有酌量。该有酌量为Dell PowerEdge系统提供汉典治理、崩溃系统规复和电源戒指等功能。Dell EMC PowerFlex是好意思国戴尔(DELL)公司的一个应用软件。提供极高的活泼性和可膨大性,以及企业级性能和弹性,同期简化基础次第的治理和操作。Dell OpenManage Enterprise是好意思国戴尔(DELL)公司的一款用于IT基础架构治理的易于使用的一双多系管辖理戒指台。 该软件撑抓一个戒指台中经济高效地为 Dell EMC PowerEdge 管事器提供全面的生命周期治理。Dell PowerEdge Server BIOS是好意思国戴尔(DELL)公司的一款系统更新首先体式。Dell Emc Streaming Data Platform是好意思国戴尔(Dell)公司的一个用于实时吸收、存储和分析一语气流数据的平台。本周,上述产物被走漏存在多个过失,抨击者可把握过失糊弄受害者用户点击坏心制作的衔接,将用户重定向到任性的衔接地址,实施犯警SQL号令,导致客户端代码实施等。
CNVD收录的联系过失包括:Dell EMC iDRAC9跨站剧本过失(CNVD-2021-94891、CNVD-2021-94895、CNVD-2021-94894)、Dell EMC iDRAC9输入考证诞妄过失(CNVD-2021-94890)、Dell powerflex presentation server数据伪造问题过失、Dell OpenManage Enterprise操作系统号令注入过失、Dell PowerEdge缓冲区溢露马脚、Dell EMC Streaming Data Platform SQL注入过失。其中,“Dell PowerEdge缓冲区溢露马脚”的详尽评级为“高危”。当今,厂商如故发布了上述过失的修补体式。CNVD辅导用户实时下载补丁更新,幸免激励过失联系的相聚安全事件。
参考衔接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94891
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94890
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94896
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94895
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94894
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94898
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94897
https://www.cnvd.org.cn/flaw/show/CNVD-2021-95602
4、ZOHO产物安全过失
ZOHO ManageEngine SupportCenter Plus是ZOHO公司的一种基于Web的客户撑抓软件。ZOHO ManageEngine M365 Manager Plus是ZOHO公司的一个宽泛 Microsoft 365器用。ZOHO ManageEngine ADManager Plus是好意思国Zoho公司的一个 Active Directory (AD) 治理和阐发贬责有酌量。ZOHO ManageEngine Log360是好意思国卓豪(ZOHO)公司的一个集成的日记治理和Active Directory审计和警报贬责有酌量。ZOHO ManageEngine Network Configuration Manager是好意思国ZOHO公司的一种多供应商相聚变更、建立和合规性治理 (Nccm) 贬责有酌量。ZOHO ManageEngine ServiceDesk Plus(SDP)是好意思国卓豪(ZOHO)公司的一套基于ITIL架构的IT管事治理软件。本周,上述产物被走漏存在多个过失,抨击者可把握过失通过SSO接会计户,取得明锐数据,汉典实施代码等。
CNVD收录的联系过失包括:ZOHO ManageEngine SupportCenter Plus跨站剧本过失(CNVD-2021-94825、CNVD-2021-94824)、ZOHO ManageEngine M365 Manager Plus文献上传过失、ZOHO ManageEngine ADManager Plus授权问题过失、ZOHO ManageEngine Log360打听戒指诞妄过失、ZOHO ManageEngine Network Configuration Manager号令注入过失、ZOHO ManageEngine SupportCenter Plus管事器端苦求伪造过失、ZOHO ManageEngine ServiceDesk Plus汉典代码实施过失。其中,“ZOHO ManageEngine M365 Manager Plus文献上传过失、ZOHO ManageEngine ADManager Plus授权问题过失、ZOHO ManageEngine Log360打听戒指诞妄过失、ZOHO ManageEngine Network Configuration Manager号令注入过失”的详尽评级为“高危”。当今,厂商如故发布了上述过失的修补体式。CNVD辅导用户实时下载补丁更新,幸免激励过失联系的相聚安全事件。
参考衔接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94825
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94824
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94823
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94829
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94828
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94827
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94826
https://www.cnvd.org.cn/flaw/show/CNVD-2021-94846
5、Philips Healthcare Tasy Electronic Medical Record (EMR) SQL注入过失
Philips Healthcare Tasy Electronic Medical Record (EMR)是一个全面的医疗信息学贬责有酌量,触及医疗环境的系数范围,将医疗保健一语气体中临床和非临床范围的点聚拢起来。本周,Philips Healthcare Tasy Electronic Medical Record (EMR)被走漏存在SQL注入过失。抨击者可通过CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST或CD_USUARIO_CONVENIO参数把握该过失进行SQL注入抨击。当今,厂商尚未发布上述过失的修补体式。CNVD辅导浩瀚用户随时蔼然厂商主页,以取得最新版块。
参考衔接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-94943
更多高危过失如表4所示,详备信息可左证CNVD编号,在CNVD官网进行查询。参考衔接:
表4 部分首要高危过失列表
CNVD编号
过失称呼
详尽评级
确立面貌
CNVD-2021-94830
D-Link DIR-X6060和D-Link DIR-X1560拒绝管事过失
高
当今厂商已发布升级补丁以确立过失,补丁取得衔接:
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10243
CNVD-2021-94904
Apache Storm号令注入过失
高
厂商已发布了过失确立体式,请实时蔼然更新:
https://lists.apache.org/thread.html/r5fe881f6ca883908b7a0f005d35115af49f43beea7a8b0915e377859@
CNVD-2021-94903
Linux kernel开释后重用过失(CNVD-2021-94903)
高
厂商已发布了过失确立体式,请实时蔼然更新:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a3727a8bac0a9e77c70820655fd8715523ba3db7
CNVD-2021-94925
Centreon OS号令注入过失
高
厂商已发布了过失确立体式,请实时蔼然更新:
https://github.com/centreon/centreon/pull/8467#event-3163627607
CNVD-2021-94955
HMI3 Control Panel信任治理问题过失
高
厂商已发布了过失确立体式,请实时蔼然更新:
https://us-cert.cisa.gov/ics/advisories/icsma-21-215-01
CNVD-2021-94962
Microsoft Azure权限许可和打听戒指问题过失(CNVD-2021-94962)
高
厂商已发布了过失确立体式,请实时蔼然更新:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42303
CNVD-2021-94964
Monstra汉典代码实施过失(CNVD-2021-94964)
高
当今厂商已发布升级补丁以确立过失,补丁取得衔接:
https://github.com/monstra-cms/monstra/issues/470
CNVD-2021-95249
ecshop SQL注入过失(CNVD-2021-95249)
高
厂商已发布了过失确立体式,请实时蔼然更新:
https://github.com/shopex/ecshop/issues/4
CNVD-2021-95252
LibreDWG缓冲区溢露马脚(CNVD-2021-95252)
高
当今厂商已发布升级补丁以确立过失,补丁取得衔接:
https://github.com/LibreDWG/libredwg/issues/325
CNVD-2021-94836
D-Link DIR-615缓冲区溢露马脚
高
当今厂商已发布升级补丁以确立过失,细则请蔼然厂商主页:
https://www.dlink.com/en/security-bulletin/
小结:本周,Adobe产物被走漏存在多个过失,抨击者可把握过失读取任性文献系统,实施任性代码等。此外,D-Link、Dell、ZOHO等多款产物被走漏存在多个过失,抨击者可把握过失通过SSO接会计户,取得明锐数据,实施犯警SQL号令,汉典实施代码等。另外,Philips Healthcare Tasy Electronic Medical Record (EMR) 被走漏存在SQL注入过失。抨击者可通过CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST或CD_USUARIO_CONVENIO参数把握该过失进行SQL注入抨击。提议联系用户随时蔼然上述厂商主页,实时取得确立补丁或贬责有酌量。
(剪辑:CNVD)
