20221206第20期｜安全漏洞一周播报

本期漏洞情况态势

▼本周漏洞态势

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞558个，其中高危漏洞166个、中危漏洞282个、低危漏洞110个。漏洞平均分值为5.74。本周收录的漏洞中，涉及0day漏洞349个（占63%），其中互联网上出现“Hospital Management System SQL注入漏洞（CNVD-2022-83601）、Money Transfer Management System SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数16272个，与上周（39112个）环比减少58%。

漏洞信息

▼重点安全漏洞

1.Dell产品安全漏洞

Dell SupportAssist for Business PCs是一款适用于企业电脑的客户端应用程序。该程序提供自动化、主动和预测性技术进行故障排除等。Dell SupportAssist for Home PCs是一款适用于家庭电脑的客户端应用程序。该程序提供自动化、主动和预测性技术进行故障排除等。Dell SupportAssist Client是美国戴尔（DELL）公司的一款客户端应用程序。该程序提供自动化、主动和预测性技术进行故障排除等。Dell PowerStore全闪存数据存储设备采用以数据为中心、具有高度适应性的智能基础架构来提供AppsON功能，实现传统和现代工作负载的转型。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取对系统的管理员访问权限，导致信息泄露和任意执行代码等。

CNVD收录的相关漏洞包括：Dell SupportAssist for Home PCs and Dell SupportAssist for Business PCs代码问题漏洞、Dell SupportAssist Client代码问题漏洞、Dell SupportAssist Client Consumer and Dell SupportAssist Client Commercial代码问题漏洞、Dell PowerStore开放端口漏洞、Dell PowerStore资源管理错误漏洞、Dell PowerStore授权问题漏洞、Dell PowerStore公式注入漏洞、Dell PowerStore操作系统命令注入漏洞。其中，除“Dell SupportAssist Client代码问题漏洞、Dell PowerStore公式注入漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83203

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83202

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83201

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83204

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83209

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83208

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83206

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83205

2.IBM产品安全漏洞

IBM Rational ClearCase是美国IBM公司的一套软件配置管理解决方案。该方案可提供版本控制、工作空间管理、并行开发支持和构建审计等功能。IBM AIX是美国国际商业机器（IBM）公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM CICS TX是美国国际商业机器（IBM）公司的一个综合的、单一的事务运行时包。IBM DataPower Gateway是美国IBM公司的一套专门为移动、云、应用编程接口（API）、网络、面向服务架构（SOA）、B2B和云工作负载而设计的安全和集成平台。该平台可利用专用网关平台跨渠道保护、集成和优化访问。IBM WebSphere Application Server（WAS）是美国国际商业机器（IBM）公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBMWebSphere软件平台的基础。IBM QRadar SIEM是美国IBM公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取密码及文档数据库的未授权访问权限，在Web UI中嵌入任意JavaScript代码，从而改变预期的功能，导致受信任会话中的凭据泄露等。

CNVD收录的相关漏洞包括：IBM Rational ClearCase GIT connector信任管理问题漏洞、IBM AIX命令注入漏洞、IBM CICS TX加密问题漏洞（CNVD-2022-83579、CNVD-2022-83580）、IBM DataPower Gateway跨站点请求伪造漏洞、IBM WebSphere Application Server跨站脚本漏洞（CNVD-2022-83582）、IBM QRadar SIEM信息泄露漏洞（CNVD-2022-83586）、IBM QRadar SIEM访问控制错误漏洞（CNVD-2022-83584）。其中，“IBM CICS TX加密问题漏洞（CNVD-2022-83579、CNVD-2022-83580）、IBM DataPower Gateway跨站点请求伪造漏洞、IBM QRadar SIEM访问控制错误漏洞（CNVD-2022-83584）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-82253

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83581

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83580

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83579

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83583

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83582

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83586

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83584

3.Apache产品安全漏洞

Apache Hama是美国阿帕奇（Apache）公司的一个基于批量同步并行计算技术的分布式计算框架。用于大规模科学计算，例如矩阵，图形和网络算法。Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Heron是一款分布式、具有容错功能的实时流处理引擎。Apache Pulsar是美国阿帕奇（Apache）基金会的一个用于云环境种，集消息、存储、轻量化函数式计算为一体的分布式消息流平台。该软件支持多租户、持久化存储、多机房跨区域数据复制，具有强一致性、高吞吐以及低延时的高可扩展流数据存储特性。Apache JSPWiki是美国阿帕奇（Apache）基金会的一款基于Java、Servlet和JSP构建的开源WikiWiki引擎。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过路径遍历导致信息泄露，在任务执行上下文中执行的命令，而无需对DAG文件进行写入访问等。

CNVD收录的相关漏洞包括：Apache Hama路径遍历漏洞、Apache Airflow操作系统命令注入漏洞（CNVD-2022-83588、CNVD-2022-83589）、Apache Heron注入漏洞、Apache Pulsar信任管理问题漏洞（CNVD-2022-83591）、Apache JSPWiki跨站脚本漏洞（CNVD-2022-83597、CNVD-2022-83598、CNVD-2022-83599）。其中，“Apache Hama路径遍历漏洞、Apache Airflow操作系统命令注入漏洞（CNVD-2022-83589）、Apache Heron注入漏洞、Apache Pulsar信任管理问题漏洞（CNVD-2022-83591）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83590

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83589

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83588

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83592

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83591

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83597

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83598

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83599

4.Microsoft产品安全漏洞

Microsoft Azure Site Recovery是美国微软（Microsoft）公司的一种站点恢复 (DRaaS)，用于云和混合云架构。Microsoft Windows是美国微软（Microsoft）公司的一套个人设备使用的操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Azure Site Recovery权限提升漏洞（CNVD-2022-84109、CNVD-2022-84111）、Microsoft Azure Site Recovery远程代码执行漏洞（CNVD-2022-84112）、Microsoft Windows DNS Server远程代码执行漏洞（CNVD-2022-84113、CNVD-2022-84114、CNVD-2022-84115、CNVD-2022-84116、CNVD-2022-84117）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-84109

https://www.cnvd.org.cn/flaw/show/CNVD-2022-84111

https://www.cnvd.org.cn/flaw/show/CNVD-2022-84112

https://www.cnvd.org.cn/flaw/show/CNVD-2022-84113

https://www.cnvd.org.cn/flaw/show/CNVD-2022-84114

https://www.cnvd.org.cn/flaw/show/CNVD-2022-84115

https://www.cnvd.org.cn/flaw/show/CNVD-2022-84116

https://www.cnvd.org.cn/flaw/show/CNVD-2022-84117

5.TCL LinkHub Mesh Wi-Fi操作系统命令注入漏洞

TCL LinkHub Mesh Wi-Fi是TCL公司的一款路由器。本周，TCL LinkHub Mesh Wi-Fi被披露存在命令注入漏洞。攻击者可利用该漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-82016

6.Hospital Management System SQL注入漏洞（CNVD-2022-83601）

验证描述

Hospital Management System是一款医院管理系统。包含病患信息管理、预约服务、财务管理等模块。

Hospital Management System v1.0版本中存在SQL注入漏洞。该漏洞源于admin.php中的adminname参数缺少有效验证有关。攻击者可利用该漏洞对目标有针对性的发起SQL注入攻击，危害站点系统安全。

验证信息

POC链接：

https://github.com/HH1F/Hospital-Management-System-V1.0-SQLi

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-83601

7.WordPress plugin WPForms Pro 安全漏洞（CNNVD-202211-2696）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin WPForms Pro 1.7.7 之前版本存在安全漏洞，该漏洞源于在生成 CSV 文件时不验证其表单数据。攻击者可利用该漏洞执行 CSV 注入攻击。

补丁获取链接：

https://wpscan.com/vulnerability/0eae5189-81af-4344-9e96-dd1f4e223d41

8. Google Android 安全漏洞（CNNVD-202211-3038）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android 存在安全漏洞，该漏洞源于在SharedMetadata.cpp的shared_metadata_init函数中存在整数溢出问题，从而导致越界写入。攻击者利用该漏洞可以升级权限。

补丁获取链接：

https://source.android.com/docs/security/bulletin/pixel/2022-11-01

高级威胁情报解读

1.Lazarus组织以日本瑞穗銀行等招聘信息为诱饵的攻击活动分析

一直以来，木马样本的免杀率都是各个APT组织高度关注的要点，随着杀毒软件的更新迭代，检出方法不断的完善，恶意样本的检出率也随之提高，攻击者为进一步对抗而使用了各种匪夷所思的绕过方法、千奇百怪的免杀方法。近日，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中便发现Lazarus组织最新的0杀软查杀攻击样本，样本为VHD（虚拟磁盘映像）文件，以日本瑞穗银行（Mizuho Bank）的招聘信息为诱饵进行攻击。

经测试发现Win7系统并不支持直接打开该类文件，因此该样本可能主要针对高版本Windows系统。样本在文件名中使用了大量空格来隐藏.exe后缀，并利用PDF图标进行伪装。虽然没有获取到后续攻击载荷，但通过关联发现其他几个类似的样本，疑似是Lazarus组织在使用工具批量制作攻击样本。

披露时间：2022年11月29日

情报来源：

https://mp.weixin.qq.com/s/nnLqUBPX8xZ3hCr5u-iSjQ

2.Kimsuky组织以IBM公司安全产品为诱饵的攻击活动分析

BabyShark是基于 Microsoft Visual Basic (VB) 脚本的恶意软件系列，用于收集敏感信息。该组件最早发现于2019年，用于针对美国国家安全智库，之后该组件也被用于从事核安全和朝鲜半岛国家安全问题的间谍活动。近日，研究人员捕获了一起APT-C-55(Kimsuky)组织利用IBM公司安全产品为诱饵投递BabyShark攻击组件的攻击活动，攻击者向目标投递恶意ISO文件，通过BAT脚本安装IBM公司安全产品，同时利用BAT脚本下载恶意载荷，收集目标主机信息。

在此次攻击活动中，攻击者利用失陷域nuclearpolicy101[.]org向目标投递名为RapportSetup.iso的恶意文件，ISO文件内包含名为install.bat的恶意BAT脚本以及名为update.exe的 IBM Security Trusteer Rapport安全产品，执行恶意BAT脚本后会安装update.exe，但同时也会从C2下载恶意后门脚本以窃取目标信息。

披露时间：2022年11月29日

情报来源：

https://mp.weixin.qq.com/s/OaECtSaeClPzFHslN_WamA

3.Group123组织新后门Dolphin披露

研究人员披露了Group123（ScarCruft）组织使用的一个以前未报告的新后门，并将其命名为Dolphin，该后门具有广泛的间谍功能，包括监控驱动器和便携式设备以及泄露感兴趣的文件、键盘记录和截屏以及从浏览器窃取凭据。它的功能是为特定定目标保留的，在使用较低级的恶意软件进行初始妥协后，会部署Dolphin后门到这些目标。与其他ScarCruft工具一样，Dolphin滥用云存储服务，特别是Google Drive来进行C&C通信。

2021年初，Group123针对韩国媒体目标进行多阶段攻击。据报道，当时认为最终有效载荷是BLUELIGHT后门，但研究人员遥测发现一个更复杂的后门通过BLUELIGHT部署在特定目标系统上，即DolPhin后门。自2021年4月首次发现Dolphin以来，研究人员已经观察到多个版本的后门，其中威胁行为者改进了后门的功能并试图逃避检测。

披露时间：2022年11月30日

情报来源：

https://www.welivesecurity.com/2022/11/30/whos-swimming-south-korean-waters-meet-scarcrufts-dolphin/

4.Bitbucket Server and Data Center-环境变量-命令执行

Bitbucket Server 和 Data Center版本存在使用环境变量的命令注入漏洞，具有控制其用户名权限的攻击者可以在系统上执行任意命令。

影响版本：- 7.0 to 7.5 (all versions) - 7.6.0 to 7.6.18 - 7.7 to 7.16 (all versions) - 7.17.0 to 7.17.11 - 7.18 to 7.20 (all versions) - 7.21.0 to 7.21.5 If mesh.enabled=false is set in bitbucket.properties: - 8.0.0 to 8.0.4 - 8.1.0 to 8.1.4 - 8.2.0 to 8.2.3 - 8.3.0 to 8.3.2 - 8.4.0 to 8.4.1

披露时间：2022年12月06日

情报来源：https://ti.dbappsecurity.com.cn/vul/DAS-T104637

5.Apache Fineract-provider-文件上传

Apache Fineract 在 1.8.1 之前的版本中由于 FileSystemContentRepository.java 类对用户传入的文件路径名限制不当从而存在路径遍历漏洞，经过身份验证的攻击者可利用此漏洞删除或覆盖系统文件，Fineract 加载攻击者上传的恶意文件时将远程执行恶意代码。

披露时间：2022年12月05日

情报来源：

https://ti.dbappsecurity.com.cn/vul/DAS-T104638

6.ClickHouse HTTP-ClickHouse-server-服务参数注入

Yandex ClickHouse 19.13.5.44之前版本中存在安全漏洞。攻击者可利用该漏洞注入HTTP头。

披露时间：2022年12月11日

情报来源：

https://ti.dbappsecurity.com.cn/vul/DAS-T104636

本文来源：CNVD漏洞平台、CNNVD安全动态、安恒威胁分析平台、奇安信威胁情报中心