发布时间:2020-06-11 16:25:13,来源:网络安全威胁信息共享平台,恒安嘉新
2020年4月,平台收录新增产品漏洞数量为1883个。其中,包括高危产品漏洞144个,本月产品漏洞数量与上月(1505个)数量相比增加25.1%。
1、产品漏洞收录分析
2020年4月,平台收录高危产品漏洞144个(占8%)、中危产品漏洞374个(占20%)、低危产品漏洞1365个(占72%)。
图 1 产品漏洞按等级分布
2020年4月,平台收录的产品漏洞包括应用软件漏洞、WEB组件漏洞、网络设备漏洞、操作系统漏洞、数据库漏洞、安全产品漏洞、PLC设备漏洞、智能家居设备漏洞、中间件漏洞、服务器漏洞和SCADA软件漏洞等。其中,应用软件漏洞占49%(920个),WEB组件漏洞占28%(519个),网络设备漏洞占11%(205个),操作系统漏洞占6 %(115个),数据库漏洞占2%(37个),产品漏洞类型分布情况如图所示。
图 2 产品漏洞按类型分布
2020年4月,平台收录产品漏洞涉及厂商包括Oracle、Microsoft、IBM、Google和Apple等厂商。其中,收录Oracle漏洞位列第一,共299个,收录Microsoft漏洞位列第二,共110个,收录IBM漏洞位列第三,共73个,具体如下所示。
图 3 产品漏洞所属厂商排名TOP 10
2、本月重点漏洞分析
2020年4月,收录了Zoom客户端存在UNC路径注入漏洞。攻击者利用该漏洞,可在未授权的情况下获取用户敏感信息。目前,漏洞细节尚未公开,Zoom公司暂未发布官方补丁。
Zoom是一款多人手机云视频会议软件,为用户提供兼备高清视频会议与移动网络会议功能的免费云视频通话服务。用户可通过手机、平板电脑、PC与工作伙伴进行多人视频及语音通话、屏幕分享、会议预约管理等商务沟通。
2020年4月,网络安全专家@ _g0dmode最新发现,这也得到研究人员Matthew Hickey和Mohamed A. Baset的证实,Windows的Zoom客户端容易受到UNC路径注入漏洞的攻击,该漏洞可能使远程攻击者窃取Windows系统用户的登录凭据。其中Windows系统在尝试连接和下载托管文件时,会自动向远程SMB服务器公开用户的登录用户名和NTLM密码哈希。未经身份验证的攻击者利用该漏洞,向目标用户发送精心构造的恶意请求,即可获取敏感信息。被盗的登录详细信息可以立即重用,来破坏其他用户或IT资源,并发起进一步的攻击。
2020年4月,互联网爆出深信服VPN被恶意劫持,并发送恶意文件安全漏洞信息。攻击者利用该漏洞,可在远程执行任意代码。目前,漏洞细节已公开,深信服公司已发布官方补丁。
深信服是一家专注于企业级安全、云计算及IT基础设施的产品和服务供应商,拥有智安全、云计算和新IT三大业务品牌,致力于让用户的IT更简单、更安全、更有价值。
该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动VPN客户端连接VPN服务器时,客户端会从所连接的VPN服务器上固定位置的配置文件获取升级信息,并下载一个名为SangforUD.exe的程序执行。客户端仅对更新程序做了简单的版本对比,没有做任何的安全检查。导致黑客攻破VPN服务器后篡改升级配置文件并替换升级程序,利用此漏洞针对VPN用户定向散播后门程序。此后门是一个具备持久化攻击能力的木马下载器,通过HTTP方式回传加密的系统信息和下载下阶段的载荷运行。
2020年04月17日, 通达OA官方更新了一个v11版本安全补丁, 其中修复了一个任意用户伪造登录漏洞。未经授权的远程攻击者可以利用漏洞构造的请求包进行任意用户伪造登录。
3、产品漏洞态势分析
综合分析近期上报的产品漏洞情况,4月收录的产品漏洞数量较3月产品漏洞数量相比呈上升趋势。根据漏洞影响对象的类型分析,目前漏洞影响对象主要集中在应用软件漏洞、WEB组件漏洞方面。与3月相比,本月应用软件漏洞、WEB组件漏洞、网络设备漏洞和操作系统漏洞等的数量呈上升趋势,数据库漏洞的数量呈下降趋势,安全产品漏洞的数量基本持平。
在平台收录的重要产品漏洞隐患中,涉及命令参数注入、缓冲区堆溢出、XSS攻击和SQL注入等漏洞的类别居多。其中,甲骨文产品存在的安全漏洞可被攻击者利用影响数据的可用性、保密性和完整性;微软产品存在的安全漏洞可被攻击者利用进行绕过身份验证,获取敏感信息,提升权限,执行任意代码,导致拒绝服务攻击等。
针对以上重要漏洞隐患,通过平台及门户网站同步发布风险提示的方式通知行业内用户及公众采取相应安全措施,规避风险。
二、系统漏洞态势分析
(一)概述
2020年4月,平台收录新增系统漏洞数量为3502个。其中,包括高危系统漏洞1642个,本月系统漏洞数量与上月(687个)数量相比增加4.1倍。
1、系统漏洞收录分析
2020年4月,平台收录高危系统漏洞1642个(占47%)、中危系统漏洞967个(占28%)、低危系统漏洞893个(占25%)。
图 4 系统漏洞按等级分布
2020年4月,平台收录的系统漏洞包括数据库漏洞、WEB组件漏洞、应用软件漏洞、PLC设备漏洞、组态软件漏洞、操作系统漏洞、服务器漏洞、嵌入式系统漏洞、DCS系统漏洞、中间件漏洞、安全产品漏洞和计算机漏洞等。系统漏洞按类型分布情况如表所示。
表 1 系统漏洞按类型统分布计表
2020年4月,平台收录系统漏洞按所属行业划分,涉及信息传输、软件和信息技术服务业2065个,制造业919个,卫生和社会工作75个,公共管理、社会保障和社会组织21个,批发和零售业21个,教育7个,科学研究与技术服务业7个,文化、体育和娱乐业5个,电力、热力、燃气及水生产和供应业2个,交通运输、仓储和邮政业2个,居民服务、修理和其他服务业2个,建筑业1个,金融业1个,农、林、牧、渔业1个,住宿和餐饮业1个,租赁和商务服务业1个。
图 5 系统漏洞按所属行业划分
2020年4月,平台收录系统漏洞按威胁所属领域划分,收录了1547个工业控制领域,67个移动互联网领域。建议用户及时采取修补措施,避免漏洞引发的网络安全事件。
图 6 系统漏洞按威胁所属领域划分
2020年4月,平台收录的系统漏洞中涉疫情防控重点用户相关网站及信息系统的网络安全漏洞隐患或事件共66个,涉医疗相关漏洞164个。
2、系统漏洞态势分析
综合分析近期上报的系统漏洞情况,4月收录的系统漏洞数量较3月系统漏洞数量相比呈上升趋势。披露信息传输、软件和信息技术服务业的漏洞数量居多,其次为制造业披露的漏洞数量。根据漏洞影响对象的类型分析,目前漏洞影响对象主要集中在数据库方面。与3月相比,本月还披露有PLC设备漏洞、组态软件漏洞、嵌入式系统漏洞、DCS系统漏洞、安全产品漏洞和计算机漏洞。本月收录的高危系统漏洞主要涉及信息传输、软件和信息技术服务业和制造业。披露的系统漏洞主要是由于弱口令、XSS攻击、设计缺陷和认证绕过等成因造成。
在近期依托平台开展的“涉疫重点单位安全保障”专项整治工作中,发现国内某些医疗机构的官方网站、移动APP被披露存在安全漏洞。与3月相比,本月披露的系统漏洞主要为文件上传漏洞、跨站脚本漏洞和未授权访问漏洞等传统漏洞,存在较大的安全隐患,也可能存在被仿冒从而导致病毒传播的风险。针对以上涉疫重点单位漏洞,平台及时通知所属地管局要求相关企业针对以上漏洞隐患进行整改和修复。
三、总结与建议
综上所述,本月披露的产品漏洞较上月相比呈上升趋势,披露的系统漏洞较上月相比呈上升趋势。需要产品漏洞和系统漏洞的生产厂商及企业应提供安全意识,积极主动做好预防,
对系统安全设计方案、应对网络攻击的方案、系统测试方案的评估与审核等,降低可能引发的安全风险。
网络安全威胁信息共享平台
恒安嘉新(北京)科技股份公司
2020年05月29日