发布时间:2020-06-22 08:55:56,来源:恒安嘉新
2020年5月,平台收录新增产品漏洞数量为1344个。其中,包括高危产品漏洞341个,本月产品漏洞数量与上月(1883个)数量相比减少28.6%。
2020年5月,平台收录高危产品漏洞341个(占25%)、中危产品漏洞796个(占59%)、低危产品漏洞207个(占15%)。
图 1 产品漏洞按等级分布
2020年5月,平台收录的产品漏洞包括应用软件漏洞、WEB组件漏洞、网络设备漏洞、操作系统漏洞、安全产品漏洞、数据库漏洞、智能家居设备漏洞、中间件漏洞、通讯设备漏洞、PLC设备漏洞、服务器漏洞和SCADA软件漏洞等。其中,应用软件漏洞占57%(768个),WEB组件漏洞占19%(256个),网络设备漏洞占10%(135个),操作系统漏洞占5 %(68个),产品漏洞类型分布情况如图所示。
图 2 产品漏洞按类型分布
2020年5月,平台收录产品漏洞按所属行业划分,涉及信息传输、软件和信息技术服务业468个,居民服务、修理和其他服务业14个,交通运输、仓储和邮政业1个,农、林、牧、渔业1个。其中“Juniper Networks Junos OS Evolved日志信息泄露漏洞、Huawei P20不恰当鉴权漏洞、Symantec Endpoint Protection Manager缓冲区溢出漏洞、NETGEAR WAC510信息泄露漏洞” 等漏洞的综合评级为“高危”。
图 3产品漏洞按所属行业划分
2020年5月,平台收录产品漏洞按威胁所属领域划分,收录了37个工业控制领域,1个移动互联网领域。建议用户及时采取修补措施,避免漏洞引发的网络安全事件。
图 4 产品漏洞按威胁所属领域划分
2020年5月,平台收录产品漏洞涉及厂商包Google、WordPress、Cisco、Microsoft和Moxa等厂商。其中,收录Google漏洞位列第一,共105个,收录WordPress漏洞位列第二,共47个,收录Cisco漏洞位列第三,共42个,具体如下所示。
图 5 产品漏洞所属厂商排名TOP 10
2020年5月,收录了StrandHogg 2.0特权提升漏洞。该漏洞使恶意应用伪装成大多数合法应用,并从Android用户那里窃取敏感信息。
该漏洞被命名为StrandHogg 2.0,是通过反射执行,从而允许恶意应用自由地假定合法应用的身份,同时也保持完全隐藏。一旦安装恶意程序,就能让恶意程序顺利伪装合法应用,获得更高的权限,窃取信息或进行任意恶意操作。攻击者通过劫持APP,并向用户展示一个虚假应用界面。
攻击者利用该漏洞,可在无需root访问权限的情况下,执行恶意攻击,例如:通过麦克风收听用户、通过相机拍照、阅读和发送SMS消息、记录电话对话、网络钓鱼登录凭据、访问设备上所有私人照片和文件、获取位置和GPS信息、访问联系人列表、访问电话日志。
近日,Apache Tomcat发布通告称修复了一个源于持久化Session的远程代码执行漏洞(CVE-2020-9484)。攻击者可利用漏洞发送一个恶意构造的请求,来造成反序列化代码执行漏洞。目前,官方已发布各个版本修复补丁,建议用户尽快升级到最新版本。
当tomcat使用了cluster功能共享session时,若同步端点可被访问,即可发生恶意序列化数据进行RCE。漏洞利用需要同时满足以下4个条件:
1.攻击者可以控制服务器上的文件名/文件内容;
2.服务器上配置使用了PersistenceManager的FileStore;
3.PersistenceManager配置了sessionAttributeValueClassNameFilter值为“NULL”或者其他宽松的过滤器,使得攻击者可以提供反序列化对象;
4.攻击者知道FileStore使用的存储位置到可控文件的相对路径
攻击者在同时满足以上4个条件时,可以发送一个恶意构造的请求,来造成反序列化代码执行漏洞。
综合分析近期上报的产品漏洞情况,5月收录的产品漏洞数量较4月产品漏洞数量相比呈下降趋势。根据漏洞影响对象的类型分析,目前漏洞影响对象主要集中在应用软件漏洞、WEB组件漏洞方面。与4月相比,本月中间件漏洞数量呈上升趋势,应用软件漏洞、WEB组件漏洞、网络设备漏洞和操作系统漏洞等的数量呈下降趋势。
在平台收录的重要产品漏洞隐患中,涉及缓冲区堆溢出、命令参数注入、SQL注入和XSS攻击等漏洞的类别居多。其中,谷歌产品存在的安全漏洞可被攻击者利用获取敏感信息,绕过安全限制,执行任意代码,造成堆损坏等;WordPress产品存在的安全漏洞可被攻击者利用绕过访问限制,执行客户端代码,上传webshell,获得服务器权限等。
针对以上重要漏洞隐患,通过平台及门户网站同步发布风险提示的方式通知行业内用户及公众采取相应安全措施,规避风险。
二、系统漏洞态势分析
2020年5月,平台收录新增系统漏洞数量为3502个。其中,包括高危系统漏洞1642个,本月系统漏洞数量与上月(3502个)数量相比减少30.5%。
2020年5月,平台收录高危系统漏洞2199个(占90%)、中危系统漏洞27个(占1%)、低危系统漏洞209个(占9%)。
图 6 系统漏洞按等级分布
2020年5月,平台收录的系统漏洞包括数据库漏洞、服务器漏洞、WEB组件漏洞、应用软件漏洞和操作系统漏洞等。系统漏洞按类型分布情况如表所示。
表 1 系统漏洞按类型统分布计表
系统漏洞按类型分布 | 漏洞数量 |
数据库漏洞 | 2129 |
服务器漏洞 | 150 |
WEB组件漏洞 | 134 |
应用软件漏洞 | 14 |
操作系统漏洞 | 2 |
其他 | 6 |
总数 | 2435 |
2020年5月,平台收录系统漏洞按所属行业划分,涉及信息传输、软件和信息技术服务业107个,公共管理、社会保障和社会组织85个,制造业27个,卫生和社会工作17个,科学研究与技术服务业4个,教育1个,居民服务、修理和其他服务业1个,文化、体育和娱乐业1个,租赁和商务服务业1个。
图 7 系统漏洞按所属行业划分
2020年5月,平台收录系统漏洞按威胁所属领域划分,收录了28个工业控制领域,13个移动互联网领域。建议用户及时采取修补措施,避免漏洞引发的网络安全事件。
图 8 系统漏洞按威胁所属领域划分
综合分析近期上报的系统漏洞情况,5月收录的系统漏洞数量较4月系统漏洞数量相比呈下降趋势。披露信息传输、软件和信息技术服务业的漏洞数量居多,其次为公共管理、社会保障和社会组织的漏洞数量。根据漏洞影响对象的类型分析,目前漏洞影响对象主要集中在数据库漏洞方面。与4月相比,本月数据库漏洞和服务器漏洞数量呈上升趋势,WEB组件漏洞、应用软件漏洞和操作系统漏洞等的数量呈下降趋势。本月收录的高危系统漏洞主要涉及信息传输、软件和信息技术服务业和卫生和社会工作。
本月披露的系统漏洞主要为SaltStack远程命令执行漏洞、未授权访问漏洞和跨站脚本等传统漏洞,存在较大的安全隐患,也可能存在被仿冒从而导致病毒传播的风险。针对以上重点单位漏洞,平台及时通知所属地管局要求相关企业针对以上漏洞隐患进行整改和修复。
三、总结与建议
综上所述,本月披露的产品漏洞较上月相比呈下降趋势,披露的系统漏洞较上月相比呈下降趋势。需要产品漏洞和系统漏洞的生产厂商及企业应提供安全意识,及时更新对应补丁漏洞或者升级组件,部署安全加固软件,严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。