发布时间:2020-09-26 14:30:59,来源:恒安嘉新
2020年8月,平台收录新增产品漏洞数量为1775个。其中,包括高危产品漏洞301个,本月产品漏洞数量与上月(2888个)数量相比减少38.5%。
2020年8月,平台收录高危产品漏洞301个(占17.0%)、中危产品漏洞1065个(占60.0%)、低危产品漏洞409个(占23.0%)。
图 1 产品漏洞按等级分布
2020年8月,平台收录的产品漏洞包括应用软件漏洞、WEB组件漏洞、操作系统漏洞、网络设备漏洞、智能家居设备漏洞、安全产品漏洞、数据库漏洞、中间件漏洞和PLC设备漏洞等。其中,应用软件漏洞68.8%(1221个)、WEB组件漏洞16.2%(288个)、操作系统漏洞6.0%(107个)、网络设备漏洞5.1%(91个)、智能家居设备漏洞0.8%(15个),产品漏洞类型分布情况如图所示。
图 2 产品漏洞按类型分布
2020年8月,平台收录产品漏洞按所属行业划分,涉及信息传输、软件和信息技术服务业669个,制造业19个。其中“Huawei FusionCompute命令注入漏洞、多款Mitsubishi Electric产品访问控制错误漏洞、多款NETGEAR产品缓冲区溢出漏洞、Apache Struts2 S2-059远程代码执行漏洞、Adobe Magento Commerce和Magento Open Source路径遍历漏洞”等漏洞的综合评级为“高危”。
图 3产品漏洞按所属行业划分
2020年8月,平台收录产品漏洞按威胁所属领域划分,主要为通用互联网领域(占95.8%),其次为工业控制领域(占4.2%)。建议用户及时采取修补措施,避免漏洞引发的网络安全事件。
图 4产品漏洞按威胁所属领域划分
2020年8月,平台收录产品漏洞涉及厂商包括IBM、Cisco、Microsoft、Oracle和Google等厂商。其中,收录IBM漏洞位列第一,共99个,收录Cisco漏洞位列第二,共97个,收录Microsoft漏洞位列第三,共89个,具体如下所示。
图 5 产品漏洞所属厂商排名TOP 10
近日,Apache发布了S2-059 Struts 远程代码执行漏洞的风险通告,该漏洞编号为CVE-2019-0230,攻击者可通过构造恶意OGNL表达式进行注入攻击,风险极大。建议受影响的用户尽快升级到指定版本,做好资产自查以及预防工作,以免遭受黑客攻击。
Apache Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。
该漏洞源于Struts2在某些标签属性中使用OGNL表达式时未能做内容过滤。攻击者可通过构造恶意的OGNL表达式,并将其设置到可被外部输入进行修改,且会执行OGNL表达式的Struts2标签的属性值,引发OGNL表达式解析,最终导致远程代码执行。
近日,宝塔面板被爆出存在未授权访问漏洞,漏洞等级:高危,攻击者通过访问特定路径,可直接访问到phpmyadmin数据管理页面,获取服务器系统权限。目前宝塔面板官方已紧急发布安全更新以及短信通知,要求使用Linux面板7.4.2及Windows面板6.8版本的用户尽快升级至最新版本。
宝塔面板是一款提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。
该漏洞源于宝塔面板在部署phpMyAdmin时,直接部署在http://ip:888/pma/路径下不需要验证用户名密码即可直接访问。远程攻击者通过访问特定路径,可直接访问到phpmyadmin数据管理页面,获取服务器系统权限。
综合分析近期上报的产品漏洞情况,8月收录的产品漏洞数量较7月产品漏洞数量相比呈下降趋势。根据漏洞影响对象的类型分析,目前漏洞影响对象主要集中在应用软件漏洞、WEB组件漏洞方面。与7月相比,本月智能家居设备漏洞和中间件漏洞的数量呈上升趋势,应用软件漏洞、WEB组件漏洞、操作系统漏洞和网络设备漏洞等的数量呈下降趋势。
在平台收录的重要产品漏洞隐患中,涉及信息泄露、跨站脚本、资源管理错误、缓冲区溢出和任意代码执行等漏洞的类别居多。其中,国际商业机器公司产品存在的安全漏洞可被攻击者利用获取敏感信息,提升权限,执行任意代码或发起拒绝服务攻击等;思科产品存在的安全漏洞可被攻击者利用绕过身份验证,获取数据库敏感信息,在受影响的系统上执行命令等。
针对以上重要漏洞隐患,通过平台及门户网站同步发布风险提示的方式通知行业内用户及公众采取相应安全措施,规避风险。
2. 系统漏洞态势分析
2.1概述
2020年8月,平台收录新增系统漏洞数量为1249个。其中,包括高危系统漏洞1026个,本月系统漏洞数量与上月(4103个)数量相比减少69.6%。
2020年8月,平台收录高危系统漏洞1026个(占82.2%)、中危系统漏洞145个(占11.6%)、低危系统漏洞78个(占6.2%)。
图 6 系统漏洞按等级分布
2020年8月,平台收录的系统漏洞包括WEB组件漏洞、操作系统漏洞、中间件漏洞和数据库漏洞等。系统漏洞按类型分布情况如表所示。
表 1 系统漏洞按类型统分布计表
系统漏洞按类型分布 | 漏洞数量 |
WEB组件漏洞 | 1206 |
操作系统漏洞 | 10 |
中间件漏洞 | 10 |
数据库漏洞 | 1 |
其他 | 22 |
总数 | 1249 |
2020年8月,平台收录系统漏洞按所属行业划分,涉及制造74个,卫生和社会工作35个,信息传输、软件和信息技术服务业15个,科学研究与技术服务业14个,批发和零售业11个,居民服务、修理和其他服务业2个,建筑业2个,教育1个,租赁和商务服务业1服务。
图 7 系统漏洞按所属行业划分
2020年8月,平台收录系统漏洞按威胁所属领域划分,主要为工业控制领域(占86.7%),其次为通用互联网领域(占13.3%)。建议用户及时采取修补措施,避免漏洞引发的网络安全事件。
图 8 系统漏洞按威胁所属领域划分
综合分析近期上报的系统漏洞情况,8月收录的系统漏洞数量较7月系统漏洞数量相比呈下降趋势。披露制造业的漏洞数量居多,其次为卫生和社会工作的漏洞数量。根据漏洞影响对象的类型分析,目前漏洞影响对象主要集中在WEB组件漏洞方面。与7月相比,本月中间件漏洞数量呈上升趋势,WEB组件漏洞、操作系统漏洞和数据库漏洞数量呈下降趋势。本月收录的高危系统漏洞主要涉及卫生和社会工作。
本月披露的系统漏洞主要SVN源码信息泄露、跨站脚本漏洞和代码执行漏洞等传统漏洞,存在较大的安全隐患,也可能存在被仿冒从而导致病毒传播的风险。针对以上重点单位漏洞,平台及时通知所属地管局要求相关企业针对以上漏洞隐患进行整改和修复。
3. 总结与建议
综上所述,本月披露的产品漏洞较上月相比呈下降趋势,披露的系统漏洞较上月相比呈下降趋势。需要产品漏洞和系统漏洞的生产厂商及企业应在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。
产品漏洞上报单位:
系统漏洞上报单位:
