网络与信息安全情况通报

2024年第 7期

 

第四师可克达拉市网络与信息安全信息通报中心       2024年1月16日

 

2023年CNVD漏洞周报

（20240108-20240114）

 

一、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞344个，其中高危漏洞141个、中危漏洞191个、低危漏洞12个。漏洞平均分值为6.49。本周收录的漏洞中，涉及0day漏洞251个（占73%），其中互联网上出现“Library Management System SQL注入漏洞（CNVD-2024-01189）、RPCMS跨站脚本漏洞（CNVD-2024-01190）”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数4842个，与上周（5215个）环比减少7%。

        图1 CNVD收录漏洞近10周平均分值分布图

二、本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件12起，向基础电信企业通报漏洞事件5起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件816起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件140起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件36起。

三、本周漏洞按类型和厂商统计

本周，CNVD收录了344个漏洞。WEB应用153个，应用程序100个，网络设备（交换机、路由器等网络端设备）42个，智能设备（物联网终端设备）20个，操作系统19个，安全产品7个，数据库3个。

图2 本周漏洞按影响类型分布

四、本周行业漏洞收录情况

本周，CNVD收录了29个电信行业漏洞，29个移动互联网行业漏洞，11个工控行业漏洞（如下图所示）。其中，“Siemens CPCI85 Firmware of SICAM A8000 Devices命令注入漏洞、TP-LINK TL-ER5120G命令执行漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

 

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/       

图3 电信行业漏洞统计

图4 移动互联网行业漏洞统计

 

图5 工控系统行业漏洞统计

五、本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上获得更高的权限。

CNVD收录的相关漏洞包括：Google Android信息泄露漏洞（CNVD-2024-01353、CNVD-2024-01354、CNVD-2024-01355、CNVD-2024-01356、CNVD-2024-01368、CNVD-2024-01369、CNVD-2024-01377）、Google Android权限提升漏洞（CNVD-2024-01363）。其中，“Google Android权限提升漏洞（CNVD-2024-01363）、Google Android信息泄露漏洞（CNVD-2024-01377）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01353

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01354

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01355

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01356

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01363

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01368

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01369

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01377

2、IBM产品安全漏洞

IBM Planning Analytics是美国国际商业机器（IBM）公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。IBM AIX是美国国际商业机器（IBM）公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM Rational Asset Manager是美国IBM公司的一种协作软件开发工具。组织可以使用它来识别、管理和治理软件资产和服务的设计、开发和使用。IBM i是美国国际商业机器（IBM）公司的一套运行在IBM Power Systems和IBM PureSystems中的操作系统。IBM QRadar SIEM是美国国际商业机器（IBM）公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。IBM Security Verify Access（ISAM）是美国国际商业机器（IBM）公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT和云技术等平台安全简单的访问。IBM TRIRIGA Application Platform是美国国际商业机器（IBM）公司的一套用于部署TRIRIGA应用的技术平台。该平台提供了一组设计时和运行时组件，分别用于构建和运行其企业级应用，并支持客户特定的配置，而无需更改源代码。IBM Tivoli Workload Scheduler是美国国际商业机器（IBM）公司的一套企业任务调度软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞发送特制的HTTP请求上传恶意脚本，从而导致在易受攻击的系统上执行任意代码，导致拒绝服务攻击，执行远程代码等。

CNVD收录的相关漏洞包括：IBM Planning Analytics代码问题漏洞（CNVD-2024-01168）、IBM AIX输入验证错误漏洞（CNVD-2024-01169）、IBM Rational Asset Manager权限控制问题漏洞、IBM i授权问题漏洞、IBM QRadar SIEM跨站脚本漏洞（CNVD-2024-01173）、IBM Security Verify Access资源管理错误漏洞、IBM TRIRIGA Application Platform跨站脚本漏洞（CNVD-2024-01175）、IBM Tivoli Workload Scheduler XML外部实体注入漏洞。其中，“IBM Planning Analytics代码问题漏洞（CNVD-2024-01168）、IBM Security Verify Access资源管理错误漏洞、IBM Tivoli Workload Scheduler XML外部实体注入漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01168

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01169

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01170

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01172

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01173

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01174

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01175

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01176

3、Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2024-01177、CNVD-2024-01178、CNVD-2024-01179、CNVD-2024-01180、CNVD-2024-01181、CNVD-2024-01182、CNVD-2024-01183、CNVD-2024-01184）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01177

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01178

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01179

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01180

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01181

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01182

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01183

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01184

4、Apache产品安全漏洞

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache Guacamole是美国阿帕奇（Apache）基金会的一款无客户端的远程桌面网关。该产品支持VNC、RDP和SSH等协议。Apache Pulsar是美国阿帕奇（Apache）基金会的一个用于云环境种，集消息、存储、轻量化函数式计算为一体的分布式消息流平台。Apache IoTDB是美国阿帕奇（Apache）基金会的一款为时间序列数据设计的集成数据管理引擎，它能够提供数据收集、存储和分析服务等。Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Dubbo是美国阿帕奇（Apache）基金会的一款基于Java的轻量级RPC（远程过程调用）框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。Apache Doris是美国阿帕奇（Apache）基金会的一个现代MPP分析数据库产品。可以提供亚秒级查询和高效的实时数据分析。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞发送特制请求进行SSRF攻击，读取任意文件属性，导致拒绝服务，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Apache OFBiz服务器端请求伪造漏洞、Apache OFBiz服务器端请求伪造漏洞（CNVD-2024-01013）、Apache Guacamole整数溢出漏洞、Apache Pulsar WebSocket Proxy拒绝服务漏洞、Apache IoTDB反序列化漏洞、Apache Airflow跨站请求伪造漏洞（CNVD-2024-01017）、Apache Dubbo代码问题漏洞（CNVD-2024-02173）、Apache Doris授权问题漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01012

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01013

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01020

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01019

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01018

https://www.cnvd.org.cn/flaw/show/CNVD-2024-01017

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02173

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02172

5、TP-LINK Tapo C100拒绝服务漏洞

TP-LINK Tapo C100是中国普联（TP-LINK）公司的一款网络摄像头设备。本周，TP-LINK Tapo C100被披露存在拒绝服务漏洞。攻击者可利用该漏洞通过提供精心设计的Web请求来导致拒绝服务(DoS)。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-02155

六、小结

本周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上获得更高的权限。此外，IBM、Adobe、Apache等多款产品被披露存在多个漏洞，攻击者可利用漏洞发送特制的HTTP请求上传恶意脚本，从而导致在易受攻击的系统上执行任意代码，导致拒绝服务攻击，执行远程代码等。另外，TP-LINK Tapo C100被披露存在拒绝服务漏洞。攻击者可利用漏洞通过提供精心设计的Web请求来导致拒绝服务(DoS)。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。