首頁 > 新聞資訊 > 互聯網安全公告 > 詳情信息

2022年1月信息安全通告

發布時間:2022-05-26 16:58:37

新聞來源:貴州融創智云信息科技有限公司

信息安全通告

根據我司安服人員對國家信息安全漏洞庫(CNNVD)、國家信息安全漏洞共享平臺(CNVD)、國家互聯網應急中心(CNCERT)和重要安全廠商的預警信息統計分析,本月主要的信息安全情況如下:

重大漏洞預警:

本月含13個超危漏洞:Apple macOS Mojave存在未明漏洞、北京網御星云信息技術有限公司防火墻存在命令執行漏洞、HuaWeismartphone資源管理錯誤漏洞、SourcecodesterVehicleServiceManagementSyste安全漏洞、ApacheKylin輸入驗證錯誤漏洞、ApacheKylin命令注入漏洞、HuaweiHarmonyOS緩沖區錯誤漏洞、CodeIgniter代碼問題漏洞、ToTolinkEx200命令注入漏洞、TP-Link Archer C9 安全漏洞、MingSoft Mcms 安全漏洞、Apache Log4j 代碼問題漏洞、Tp-link TP-Link Archer C9 安全漏洞 

安全要聞:

根據保險機構安聯公司日前發布的風險晴雨表,網絡風險成為2022年全球企業最擔心的問題。由于新冠疫情、數據泄露或重大IT中斷的威脅,使企業更擔心業務和供應鏈中斷、自然災害或疫情大流行,這些不利因素在過去一年中對企業運營影響很大。

在安聯公司的調查中,網絡安全事件第二次位居榜首(44%的受訪者認為至關重要)。業務中斷緊隨其后,名列第二(42%);自然災害排名第三(25%),高于2021年的第6位。氣候變化從第9位上升至第6位(17%),創下歷史新高,而疫情大流行則降至第4位(22%)。

這項調查匯集了來自全球89個國家和地區的2650名專家的觀點,這些專家包括首席執行官、風險經理、經紀人和保險專家。

AGCS公司首席執行官Joachim Mueller總結說,“業務中斷可能仍是2022年的主要潛在風險主題。對于大多數企業來說,最主要的擔憂是由于各種項目無法正常生產或提供服務。由于各種觸發因素,2021年遭到了前所未有的破壞。例如,嚴重的網絡攻擊、許多與氣候變化相關的天氣事件對供應鏈的影響,以及與疫情相關的制造問題和運輸瓶頸造成了嚴重破壞。盡管不能排除與新冠疫情相關的進一步破壞,但2022年將逐步緩解這種情況。培養抵御導致業務中斷的多種原因的能力正日益成為企業的競爭優勢。”

在美國,業務中斷是商業領域關注的首要問題,其次是網絡事件(37%)和自然災害(35%)。

勒索軟件引發網絡擔憂,同時對商業智能漏洞的認識不斷提高

在大多數接受調查的國家和地區,網絡攻擊事件被列為最主要的風險。其主要驅動因素是勒索軟件攻擊最近的激增,57%的受訪者認為這是未來一年的最大的網絡威脅。最近的網絡攻擊趨勢令人擔憂,例如將系統加密與數據泄露相結合的“雙重勒索”策略;利用可能影響數千家公司(例如Log4J、Kaseya)或針對物理關鍵基礎設施(Colonial燃油管道遭遇攻擊)的軟件漏洞。

網絡安全也被列為企業需要關注的環境、社會和治理(ESG)問題,受訪者表示需要建立彈性,并為未來的中斷做好預防準備,否則將面臨來自監管機構、投資者和其他利益相關者的指責和懲罰等日益嚴重的后果。

AGCS公司全球網絡主管Scott Sayce解釋冰,“對于網絡犯罪分子來說,勒索軟件已經成為一項大生意,他們正在改進策略,降低進入門檻,只需很少訂閱費和很少的技術知識就可以實施網絡攻擊。網絡犯罪的商業化使得大規模利用漏洞變得更加容易。我們將看到更多針對技術供應鏈和關鍵基礎設施的攻擊。”

業務中斷是第二大令人擔憂的風險。在以廣泛中斷為標志的2021年,現代供應鏈和生產網絡的脆弱程度比以往任何時候都更加明顯。根據調查,導致業務中斷的最主要原因是網絡事件,這反映了勒索軟件攻擊的增加,以及企業對數字化的日益依賴和轉向遠程工作的影響。在受訪者看來,自然災害和流行病是業務中斷的另外兩個重要觸發因素。

在過去一年,隨著新冠疫情的爆發導致全球大量工廠關閉,并導致集裝箱運輸港口的擁堵程度達到創紀錄水平,封鎖后的需求激增與生產和物流中斷相結合。與新冠疫情相關的延誤加劇了其他供應鏈問題,例如蘇伊士運河堵塞或日本和德克薩斯州的芯片工廠由于天氣原因和火災關閉之后導致全球半導體短缺。

AGCS公司房地產行業主管、技術、媒體和電信業務主管Philip Beblo表示,“這場疫情暴露了現代供應鏈的依賴程度,以及多個不相關的事件如何聚集在一起造成廣泛的破壞。這是第一次在全球范圍內對供應鏈的彈性進行了測試。”

根據貿易信貸保險商Euler Herme公司最近發布的一份全球貿易報告,新冠疫情可能會在2022年下半年導致供應鏈嚴重中斷,盡管全球供需和集裝箱運輸能力的不匹配最終將會緩解,并假設沒有其他意外。

業務中斷的風險意識正在成為企業的重要戰略問題。AGCS公司財產風險咨詢業務的全球主管Maarten vander Zwaag說,“高層管理人員越來越愿意為供應鏈帶來更高的透明度,很多企業投資工具并積極處理數據,以更好地了解風險并為業務連續性創建庫存、冗余和應急計劃。”


(一)本周高危漏洞情況

1 高危漏洞情況表

序號

漏洞名稱

漏洞編號

危害等級

解決方案

1

Apple macOS Mojave存在未明漏洞

CNVD-2022-00609

超危

廠商已發布了漏洞修復程序,請及時關注更新:
https://support.apple.com/en-us/HT209139

2

北京網御星云信息技術有限公司防火墻存在命令執行漏洞

CNVD-2021-93921

超危

廠商已發布了漏洞修復程序,請及時關注更新:
https://www.leadsec.com.cn/

3

華為USG2210E存在弱口令漏洞

CNVD-2021-93881

中危

廠商已提供漏洞修補方案,補丁下載地址:
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20200506-02-authentication-cn

4

HuaWei smartphone 資源管理錯誤漏洞

CNNVD-202201-566

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://consumer.huawei.com/cn/support/bulletin/2022/1/ 

5

Sourcecodester Vehicle Service Management System 安全漏洞

CNNVD-202201-436

超危

目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:

https://www.sourcecodester.com/php/14972/vehicle-service-management-system-php-free-source-code.html 

6

Apache Kylin 輸入驗證錯誤漏洞

CNNVD-202201-410

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://lists.apache.org/thread/hh5crx3yr701zd8wtpqo1mww2rlkvznw 

7

Apache Kylin 命令注入漏洞

CNNVD-202201-407

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://lists.apache.org/thread/70fkf9w1swt2cqdcz13rwfjvblw1fcpf 

8

Huawei HarmonyOS 緩沖區錯誤漏洞

CNNVD-202201-276

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://device.harmonyos.com/cn/docs/security/update/security-bulletins-202201-0000001238736331 

9

CodeIgniter 代碼問題漏洞

CNNVD-202201-186

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://github.com/codeigniter4/CodeIgniter4/commit/ce95ed5765256e2f09f3513e7d42790e0d6948f5 

10

ToTolink Ex200命令注入漏洞

CNNVD-202201-147

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://github.com/doudoudedi/ToTolink_EX200_Cmmand_Execute/blob/main/ToTolink%20EX200%20Comand%20Injection2.md 

11

TP-Link Archer C9 安全漏洞

CVE-2021-35003

超危

目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:

https://www.zerodayinitiative.com/advisories/ZDI-22-080/ 

12

銳捷EG2000系列易網關WEB管理系統命令執行漏洞

CNVD-2021-102439

高危

目前廠商已經發布了升級補丁以修復此安全問題,補丁獲取鏈接:
https://www.ruijie.com.cn/fw/rj/82550/

13

ToTolink Ex200命令注入漏洞

 

CNVD-2022-03901

高危

https://github.com/doudoudedi/ToTolink_EX200_Cmmand_Execute/blob/main/ToTolink%20EX200%20Comand%20Injection2.md

14

MingSoft Mcms 安全漏洞

CNNVD-202201-1855

超危

目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:

https://gitee.com/mingSoft/MCMS 

15

Apache Log4j 代碼問題漏洞

CNNVD-202201-1425

超危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://lists.apache.org/thread/rg4yyc89vs3dw6kpy3r92xop9loywyhh 

16

Tp-link TP-Link Archer C9 安全漏洞

CNNVD-202201-1392

超危

目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:

https://www.zerodayinitiative.com/advisories/ZDI-22-080/ 

17

Oracle MySQL 輸入驗證錯誤漏洞

CNNVD-202201-1588

高危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://www.cybersecurity-help.cz/vdb/SB2022011905 

18

小米投屏 緩沖區錯誤漏洞

CNNVD-202201-1528

高危

目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://trust.mi.com/zh-CN/misrc/bulletins/advisory?cveId=92 


(二)高危漏洞修復建議

本周漏洞及危害影響主要為:

Apple macOS Mojave存在未明漏洞(CNVD-2022-00609)

Apple macOS Mojave是美國蘋果(Apple)公司的一套專為Mac計算機所開發的專用操作系統。
Apple macOS Mojave 10.14之前版本存在安全漏洞,該漏洞源于機構恢復密鑰可能會被錯誤地報告為存在。目前沒有詳細漏洞細節提供。

北京網御星云信息技術有限公司防火墻存在命令執行漏洞(CNVD-2021-93921 )

北京網御星云信息技術有限公司由聯想網御科技(北京)有限公司更名而來,業務涵蓋網絡邊界安全防護、應用與數據安全防護、全網安全風險管理、專業安全解決方案和專業安全服務等多個方向。
北京網御星云信息技術有限公司防火墻存在命令執行漏洞,攻擊者可利用該漏洞獲取服務器控制權。

華為USG2210E存在弱口令漏洞(CNVD-2021-93881)

USG2210E安全網關是面向中小型企業/分支機構設計的新一代防火墻/UTM設備。
華為USG2210E存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。

HuaWei smartphone 資源管理錯誤漏洞CNNVD-202201-566)

Huawei Smartphone是中國華為(Huawei)公司的一款智能手機。

HuaWei smartphone 存在安全漏洞,該漏洞源于智能手機的顯示模塊存在不受控制的資源消耗漏洞。 成功利用此漏洞可能會影響服務完整性。

Sourcecodester Vehicle Service Management Syste安全漏洞(CNNVD-202201-436)

Sourcecodester Vehicle Service Management System是開源的一個PHP 項目。用于汽車維修/服務店或企業的簡單 Web 應用程序。

Sourcecodester Vehicle Service Management System 1.0版本存在安全漏洞,該漏洞源于系統缺少對于cookies的有效防護,攻擊者可利用該漏洞可以竊取cookies導致全帳戶接管。

Apache Kylin 輸入驗證錯誤漏洞(CNNVD-202201-410)

Apache Kylin是美國阿帕奇(Apache)基金會的一款開源的分布式分析型數據倉庫。該產品主要提供Hadoop/Spark之上的SQL查詢接口及多維分析(OLAP)等功能。

Apache kylin 存在輸入驗證錯誤漏洞,該漏洞源于Kylin可以接收用戶輸入并通過class . forname(…)加載任何類。

Apache Kylin 命令注入漏洞 (CNNVD-202201-407)

Apache Kylin是美國阿帕奇(Apache)基金會的一款開源的分布式分析型數據倉庫。該產品主要提供Hadoop/Spark之上的SQL查詢接口及多維分析(OLAP)等功能。

Apache kylin 存在命令注入漏洞,該漏洞源于在使用用戶傳入的項目名執行一些命令之前,Apache kylin會檢查項目的合法性,正在檢查的內容與在DiagnosisService中用作shell命令參數的內容之間不匹配。攻擊者可利用該漏洞導致非法的項目名稱通過檢查并執行以下步驟,從而導致命令注入漏洞。

Huawei HarmonyOS 緩沖區錯誤漏洞 (CNNVD-202201-276)

Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。

Huawei HarmonyOS 骨聲紋TA存在安全漏洞。成功利用此漏洞可以導致惡意代碼執行。

CodeIgniter 代碼問題漏洞(CNNVD-202201-186)

CodeIgniter是一款使用PHP語言編寫的開源Web框架。

CodeIgniter 存在代碼問題漏洞,該漏洞源于軟件中的old() 函數中發現了不可信數據的反序列化。遠程攻擊者可能會注入帶有此漏洞的可自動加載的任意對象,并可能在服務器上執行現有的PHP代碼。

ToTolink Ex200命令注入漏洞(CNNVD-202201-147)

ToTolink Ex200是中國ToTolink公司的一款 2.4G 無線 N 范圍擴展器。旨在擴大現有Wi-Fi網絡的覆蓋范圍,消除“盲點”。

ToTolink Ex200存在安全漏洞,攻擊者可以通過給GET參數注入相關命令注入從而實現惡意攻擊。

TP-Link Archer C9 安全漏洞(CVE-2021-35003)

Tp-link TP-Link Archer C9是中國普聯(Tp-link)公司的一款無線路由器。

TP-Link Archer C90 存在安全漏洞,該漏洞源于DNS響應的處理存在缺陷。攻擊者可利用該漏洞在受影響的TP-Link Archer C90路由器安裝上執行任意代碼。

銳捷EG2000系列易網關WEB管理系統命令執行漏洞(CNVD-2021-102439)

北京星網銳捷網絡技術有限公司是一家擁有包括交換機、路由器、軟件、安全防火墻、無線產品、存儲等全系列的網絡設備產品線及解決方案的專業化網絡廠商。
銳捷EG2000系列易網關WEB管理系統存在命令執行漏洞,攻擊者可利用該漏洞獲取服務器控制權。

ToTolink Ex200命令注入漏洞(CNVD-2022-03901)

ToTolink Ex200是中國ToTolink公司的一款 2.4G 無線 N 范圍擴展器。旨在擴大現有Wi-Fi網絡的覆蓋范圍,消除“盲點”。
ToTolink Ex200存在命令注入漏洞,該漏洞源于用戶輸入構造執行命令過程中,網絡系統或產品未能正確過濾其中的特殊字符、命令等。攻擊者可利用該漏洞通過精心構造的請求注入執行惡意命令。

MingSoft Mcms 安全漏洞(CNNVD-202201-1855)

MingSoft Mcms是中國銘飛(MingSoft)公司的一個完整開源的 J2ee 系統。

MingSoft Mcms v5.2.4版本存在安全漏洞,該漏洞源于組件ms模板writeFileContent.do缺少對于文件類型的限制和過濾,導致任意文件上傳漏洞。

Apache Log4j 代碼問題漏洞(CNNVD-202201-1425)

Apache Log4j是美國阿帕奇(Apache)基金會的一款基于Java的開源日志記錄工具。

Apache log4j 1.x存在代碼問題漏洞,該漏洞源于在log4j的chainsaw組件中某些日志條目的內容被反序列化并可能允許代碼執行。攻擊者可以在運行 chainsaw 組件時向服務器發送帶有序列化數據的請求,進而執行惡意代碼。

Tp-link TP-Link Archer C9 安全漏洞(CNNVD-202201-1392)

Tp-link TP-Link Archer C9是中國普聯(Tp-link)公司的一款無線路由器。

TP-Link Archer C90 存在安全漏洞,該漏洞源于DNS響應的處理存在缺陷。攻擊者可利用該漏洞在受影響的TP-Link Archer C90路由器安裝上執行任意代碼。

Oracle MySQL 輸入驗證錯誤漏洞(CNNVD-202201-1588)

Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。

MySQL Server存在輸入驗證錯誤漏洞,該漏洞的存在是由于 MySQL Server 中的 Server: Optimizer 組件中的輸入驗證不正確。遠程認證用戶可以利用此漏洞破壞或刪除數據。該漏洞允許遠程認證用戶破壞或刪除數據。

小米投屏 緩沖區錯誤漏洞(CNNVD-202201-1528)

Xiaomi 小米投屏是中國小米科技(Xiaomi)公司的提供了投屏功能。

小米投屏http服務存在安全漏洞,該漏洞可能會導致應用程序在局域網中崩潰。

修復建議

以上漏洞廠家均已發布漏洞補丁鏈接,詳情請關注廠家主頁查看最新消息。