本期漏洞情况态势
▼本周漏洞态势
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞547个,其中高危漏洞261个、中危漏洞253个、低危漏洞33个。漏洞平均分值为6.52。本周收录的漏洞中,涉及0day漏洞259个(占47%),其中互联网上出现“TOTOLINK NR1800X setOpModeCfg缓冲区溢出漏洞、ZKTeco ZKBioSecurity SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数26350个,与上周(5742个)环比增加3.6倍。
漏洞信息
▼重点安全漏洞
Siemens Parasolid是德国西门子(Siemens)公司的一个几何建模内核。SIMATIC Drive Controllers用于生产机器的自动化,结合了SIMATIC S7-1500 CPU和SINAMICS S120驱动控制的功能。SIMATIC ET 200SP Open Controller是SIMATIC S7-1500控制器的基于PC的版本。SIMATIC S7-1200 CPU产品专为工业环境中的离散和连续控制而设计,如全球制造业、食品和饮料以及化工行业。SIMATIC S7-1500 CPU产品专为全球制造、食品和饮料以及化工等工业环境中的离散和连续控制而设计。SIMATIC S7-1500 Software Controller是用于基于PC的自动化解决方案的SIMATIC软件控制器。SIMATIC S7-PLCSIM Advanced模拟S7-1200、S7-1500和其他一些PLC衍生产品。包括模拟PLC的完全网络访问,即使在虚拟化环境中也是如此。SIPLUS extreme产品设计用于在极端条件下可靠运行,基于SIMATIC,LOGO!,SITOP,SINAMICS,SIMOTION,SCALANCE或其他设备。SIPLUS设备使用与其所基于的产品相同的固件。TIM 1531 IRC是SIMATIC S7-1500、S7-400、S7-300与SINAUT ST7、DNP3和IEC 60870-5-101/104的通信模块,具有三个RJ45接口,用于通过基于IP的网络(WAN/LAN)进行通信,以及一个RS 232/RS 485接口,用于经经典WAN网络进行通信。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在设备中拒绝服务,在当前进程的上下文中执行代码。
CNVD收录的相关漏洞包括:Siemens Parasolid越界写入漏洞(CNVD-2022-87977、CNVD-2022-87979、CNVD-2022-87978、CNVD-2022-87980)、Siemens Industrial产品拒绝服务漏洞(CNVD-2022-87982、CNVD-2022-87984、CNVD-2022-87983、CNVD-2022-87985)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
补丁获取链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87977
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87979
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87978
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87980
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87982
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87984
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87983
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87985
2.Oracle产品安全漏洞
Oracle Database Server是美国甲骨文(Oracle)公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。Java VM是其中的一个Java虚拟机组件。Oracle Fusion Middleware(Oracle融合中间件)是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle MySQL Server是一款关系型数据库。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过HTTP访问网络,从而破坏Oracle Enterprise Data Quality,对Oracle Enterprise Data Quality的关键数据和所有可访问数据,导致对Java VM可访问数据的子集进行未经授权的读取访问,通过多种协议访问网络,从而破坏MySQL Server,并导致MySQL Server挂起或频繁重复崩溃(完全DOS)等。
CNVD收录的相关漏洞包括:Oracle Database Server信息泄露漏洞(CNVD-2022-87654)、Oracle Enterprise Data Quality信息泄露漏洞、Oracle MySQL Server拒绝服务漏洞(CNVD-2022-87656、CNVD-2022-87655、CNVD-2022-87659、CNVD-2022-87658、CNVD-2022-87657、CNVD-2022-87660)。其中,“Oracle Enterprise Data Quality信息泄露漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
补丁获取链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87654
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87653
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87656
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87655
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87659
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87658
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87657
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87660
IBM WebSphere MQ是美国国际商业机器(IBM)公司的一套系统。IBM Sterling Secure Proxy是一个用于确保组织非保护区(DMZ)中文件安全传输的应用程序代理。IBM PowerVM Hypervisor是一个应用软件。提供了一个安全且可扩展的虚拟化环境,这些应用程序基于Power Systems平台的高级RAS功能和领先性能而构建。IBM Sterling Partner Engagement Manager是一个自动化管理工具。IBM Security Access Manager Appliance(ISAM Appliance)是一款基于网络设备的安全解决方案。该产品主要用于访问控制和基于Web的威胁防护,提供系统性能监控、日志分析和诊断等功能。IBM Engineering Requirements Quality Assistant是一款基于Watson AI用于辅助开发人员提高工程需求质量的软件。该应用可显著降低发现缺陷成本,有利于尽早发现工程流程中的需求错误,加快产品上市。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞解密高度敏感的信息,绕过安全配置设置并导致拒绝服务,获得提升的权限等。
CNVD收录的相关漏洞包括:IBM WebSphere MQ拒绝服务漏洞(CNVD-2022-87643)、IBM Sterling Secure Proxy弱加密漏洞、IBM PowerVM Hypervisor配置错误漏洞、IBM Sterling Partner Engagement Manager跨站请求伪造漏洞、IBM Sterling Partner Engagement Manager服务器端请求伪造漏洞、IBM Sterling Partner Engagement Manager LDAP注入漏洞、IBM Security Access Manager Appliance访问控制错误漏洞(CNVD-2022-87650)、IBM Engineering Requirements Quality Assistant跨站脚本漏洞(CNVD-2022-87649)。其中,除“IBM Sterling Partner Engagement Manager服务器端请求伪造漏洞、IBM Security Access Manager Appliance访问控制错误漏洞(CNVD-2022-87650)、IBM Engineering Requirements Quality Assistant跨站脚本漏洞(CNVD-2022-87649)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
补丁获取链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87643
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87642
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87644
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87648
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87647
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87646
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87650
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87649
4.Adobe产品安全漏洞
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。Adobe Acrobat是一套PDF文件编辑和转换工具。Adobe Reader是一套PDF文档阅读软件。Adobe Framemaker是一套用于编写和编辑大型或复杂文档(包括结构化文档)的页面排版软件。Adobe Dimension是一套2D和3D合成设计工具。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行代码或导致应用程序崩溃等。
CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2022-87164、CNVD-2022-87165)、多款Adobe产品资源管理错误漏洞、Adobe FrameMaker堆缓冲区溢出漏洞(CNVD-2022-87169、CNVD-2022-87168)、Adobe Dimension内存错误引用漏洞、Adobe Dimension代码执行漏洞、Adobe Dimension越界读取漏洞。其中,除“Adobe Experience Manager跨站脚本漏洞(CNVD-2022-87164、CNVD-2022-87165)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
补丁获取链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87164
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87165
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87166
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87168
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87169
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87921
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87920
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87923
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。本周,WordPress Read more By Adam被披露存在跨站请求伪造漏洞。攻击者可利用漏洞伪造恶意请求诱骗受害者点击执行敏感操作。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-88226
6.ZKTeco ZKBioSecurity SQL注入漏洞
验证描述
ZKTeco ZKBioSecurity是中国ZKTeco公司的一个基于Web的一体式平台。
ZKteco ZKBioSecurity V5000 4.1.3版本存在SQL注入漏洞,该漏洞源于组件/baseOpLog.do缺少对外部输入SQL语句的验证,攻击者可利用漏洞获取数据库敏感信息。
验证信息
POC链接:
https://medium.com/stolabs/cve-2022-36635-a-sql-injection-in-zksecuritybio-to-rce-c5bde2962d47
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-87368
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。
Google TensorFlow 2.11.0之前版本存在缓冲区错误漏洞,该漏洞源于当输入长度大于或等于输出大小时,则会触发越界内存读取或程序崩溃。
补丁获取链接:
https://github.com/tensorflow/tensorflow/security/advisories/GHSA-frqp-wp83-qggv
8. IBM Content Navigator 缓冲区错误漏洞(CNNVD-202212-2644)
IBM Content Navigator是美国国际商业机器(IBM)公司的一款Web客户机。该产品支持从Web浏览器搜索和处理存储在内容服务器中的文档。
IBM Content Navigator存在安全漏洞。攻击者利用该漏洞加载外部插件并执行代码。以下版本受到影响:3.0.0、3.0.1、3.0.2、3.0.3、3.0.4、3.0.5、3.0.6、3.0.7、3.0.8、3.0.9、3.0.10、3.0.11和3.0.12版本.
补丁获取链接:
https://www.ibm.com/support/pages/node/6844453
高级威胁情报解读
1.新一代的Kerberos攻击分析
近期,研究人员发布了新的Kerberos攻击方式的分析报告。Active Directory的广泛使用使Kerberos攻击成为许多攻击者的主要手段,研究人员发现了两种新的攻击技术,Diamond Ticket和Sapphire Ticket,这两种新技术都是从Golden Ticket扩展出来的。Golden Ticket攻击允许威胁行为者伪造一张票以伪装成高特权用户。
新的攻击技术使攻击者能够不受限制地访问AD域中的所有服务和资源。Sapphire Ticket攻击需要获取域中用户的凭据,然后利用凭据获取TGT,并将其用于解密高权限用户的PAC。Diamond Ticket攻击首先是获取TGT,然后使用KRBTGT帐户的密钥解密TGT并修改Ticket,提升权限。
披露时间:2022年12月12日
情报来源:
https://unit42.paloaltonetworks.com/next-gen-kerberos-attacks/
网络安全研究人员在Python Package Index(PyPI)存储库中发现了一个新的恶意包,该包冒充了大型网络安全公司SentinelOne的软件开发工具包(SDK),作为名为SentinelSneak的活动的一部分。
据说该软件包名为SentinelOne,现已下架,据说是在2022年12月8日至11日之间发布的,在两天内连续推送了近二十多个版本。
它声称提供了一种更简单的方法来访问公司的API,但隐藏着一个恶意后门,旨在从开发系统中收集敏感信息,包括访问凭据,SSH密钥和配置数据。
更重要的是,还观察到威胁参与者发布了另外两个具有类似命名变体的软件包 - SentinelOne-sdk和SentinelOneSDK - 强调了潜伏在开源存储库中的持续威胁。
"SentinelOne冒名顶替包只是利用PyPI存储库的最新威胁,并强调了对软件供应链日益增长的威胁,因为恶意行为者使用'域名仿冒'等策略来利用开发人员的困惑并将恶意代码推送到开发管道和合法应用程序中,"ReversingLabs威胁研究员Karlo Zanki在与The Hacker News分享的一份报告中说。关于欺诈性软件包的值得注意的是,它模仿了SentinelOne向其客户提供的合法SDK,可能会诱骗开发人员从PyPI下载该模块。
披露时间:2022年12月20日
情报来源:
https://x.threatbook.com/v5/article?threatInfoID=40910
3.Windows-dwmcore.dll-二进制-UA
Microsoft DWM Core Library 存在一处安全问题,成功利用可实现本地权限提升,获取到系统 SYSTEM 权限。
披露时间:2022年12月16日
情报来源:
https://ti.dbappsecurity.com.cn/vul/DAS-T104650
4.攻击者利用CHAOS RAT开展加密货币挖矿活动
研究人员近期发现了针对Linux系统的加密货币挖矿活动,且攻击者主要使用了基于开源项目的Chaos远程访问木马(Trojan.Linux.CHAOSRAT)。该工具可对受感染系统执行反向shell,并具有截取屏幕截图,收集系统信息,下载、上传及删除文件等多种功能。
活动中使用的恶意软件首先通过更改/etc/crontab文件建立持久性,这可使其每10分钟从Pastebin下载一次。之后下载额外有效负载:包括XMRig矿工软件、配置文件、杀死竞争恶意软件的有效负载,以及基于Go编写的Chaos RAT。此外,主要下载器脚本和其他有效负载托管在不同位置,以确保活动持续活跃。
披露时间:2022年12月12日
情报来源https://www.trendmicro.com/en_no/research/22/l/linux-cryptomining-enhanced-via-chaos-rat-.html
5.GoTrim僵尸网络正积极暴力破解WordPress等网站
据研究人员称,一种名为“GoTrim”的基于Go的新型僵尸网络恶意软件正扫描网络以寻找自托管的WordPress网站,并试图暴力破解管理员的密码以最终控制网站。该恶意活动始于2022年9月,目前仍在进行中,这将增加恶意软件部署、信用卡窃取脚本注入、托管网络钓鱼页面等风险。根据被破坏站点的流行程度,可能会影响数百万人。
GoTrim主要利用僵尸网络执行分布式暴力攻击,其可以通过客户端和服务器两种模式与其C2服务器进行通信。此外,GoTrim通过检查网页内容中的特定字符串尝试确定目标网站上是否正在使用四种CMS(WordPress、Joomla、OpenCart、DataLife Engine)中的一种,但目前仅支持对WordPress和OpenCart网站进行身份验证,这表明该僵尸网络恶意软件仍在开发中。
披露时间:2022年12月12日
情报来源:
https://www.fortinet.com/blog/threat-research/gotrim-go-based-botnet-actively-brute-forces-wordpress-websites
6.微软2022年12月补丁日
本月,微软共发布了48个漏洞的补丁程序,修复了Microsoft Office、.NET Framework、Windows 蓝牙驱动等产品中的漏洞。CVE-2022-44698 Windows SmartScreen 安全功能绕过漏洞已检测到在野攻击,CVE-2022-44710 DirectX 图形内核权限提升漏洞已公开技术细节。其中,有14个漏洞值得关注(包括6个紧急漏洞、7个重要漏洞和1个中等漏洞),还有8个漏洞被微软标记为 “Exploitation Detected”或“Exploitation More Likely”,这代表这些漏洞已被利用或更容易被利用。详情见情报来源链接。
披露时间:2022年12月14日
情报来源:
https://mp.weixin.qq.com/s/qUKaGP4YdcYNYOlJGutA8g
本文来源:CNVD漏洞平台、CNNVD安全动态、微步在线、安恒威胁分析平台、奇安信威胁情报中心
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...