发布时间:2020-07-07 10:35:48,来源:恒安嘉新
2020年6月,平台收录新增产品漏洞数量为2251个。其中,包括高危产品漏洞362个,本月产品漏洞数量与上月(1344个)数量相比增加67.5%。
2020年6月,平台收录高危产品漏洞362个(占16%)、中危产品漏洞1476个(占66%)、低危产品漏洞413个(占18%)。
图 1 产品漏洞按等级分布
2020年6月,平台收录的产品漏洞包括应用软件漏洞、WEB组件漏洞、操作系统漏洞、网络设备漏洞、安全产品漏洞、数据库漏洞、智能家居设备漏洞和SCADA软件漏洞等。其中,应用软件漏洞60%(1350个),WEB组件漏洞16%(364个),操作系统漏洞16%(353个),网络设备漏洞5%(111个),产品漏洞类型分布情况如图所示。
图 2 产品漏洞按类型分布
2020年6月,平台收录产品漏洞按所属行业划分,涉及信息传输、软件和信息技术服务业553个,制造业32个,水利、环境和公共设施管理业29个,交通运输、仓储和邮政业11个,农、林、牧、渔业4个,卫生和社会工作1个,电力、热力、燃气及水生产和供应业1个。其中“Samsung移动设备缓冲区溢出漏洞、Lenovo Printer LJ4010DN输入验证错误漏洞、HPE Onboard Administrator跨站脚本漏洞、Treck TCP/IP IPv6组件输入验证错误漏洞、F5 NGINX Controller信息泄露漏洞”等漏洞的综合评级为“高危”。
图 3产品漏洞按所属行业划分
2020年6月,平台收录产品漏洞按威胁所属领域划分,收录了76个工业控制领域,1个移动互联网领域。建议用户及时采取修补措施,避免漏洞引发的网络安全事件。
图 4 产品漏洞按威胁所属领域划分
2020年6月,平台收录产品漏洞涉及厂商包括Google、Microsoft、IBM、Adobe和Cisco等厂商。其中,收录Google漏洞位列第一,共303个,收录Microsoft漏洞位列第二,共159个,收录IBM漏洞位列第三,共107个,具体如下所示。
图 5 产品漏洞所属厂商排名TOP 10
AnyDesk是一款免费的远程连接、远程桌面控制软件,拥有先进的视频压缩技术DeskRT,AnyDesk 可用于多种操作系统,包括Windows,Linux,Android 和 iOS。
2020年2月18日作者向厂商上报了该漏洞。2020年2月21日厂商进行了修复分配了CVE 编号为CVE-2020-13160。2020年6月9日作者进行了漏洞公开披露。
在Anydesk Linux 版本 5.5.2 中,存在一个格式化字符串漏洞,攻击者通过该漏洞,可向目标计算机发送单个UDP数据包,造成远程代码执行。
攻击者可使用 msf 命令生成 shellcode,使用生成的 shellcode 修改 exp。 nc反向代理后监听端口,最后执行exp,获得目标服务器权限。
Apache Spark被披露存在远程代码执行漏洞(CVE-2020-9480)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞相关细节尚未公开,厂商已发布补丁进行修复。
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Apache Spark 是一种与 Hadoop 相似的开源集群计算环境,启用了内存分布数据集,除了能够提供交互式查询外,它还可以优化迭代工作负载。Apache Spark 是在 Scala 语言中实现的,它将 Scala 用作其应用程序框架。
2020年6月23日,Apache Spark远程代码执行漏洞。由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。
综合分析近期上报的产品漏洞情况,6月收录的产品漏洞数量较5月产品漏洞数量相比呈上升趋势。根据漏洞影响对象的类型分析,目前漏洞影响对象主要集中在应用软件漏洞、WEB组件漏洞方面。与5月相比,本月应用软件漏洞、WEB组件漏洞、操作系统漏洞和安全产品漏洞等的数量呈上升趋势,网络设备漏洞的数量呈下降趋势,SCADA软件漏洞的数量基础持平。
在平台收录的重要产品漏洞隐患中,涉及缓冲区堆溢出、命令参数注入、XSS攻击和SQL注入等漏洞的类别居多。其中,谷歌产品存在的安全漏洞可被攻击者利用绕过内容安全策略,获取敏感信息,提升权限,执行任意代码或造成拒绝服务等;微软产品存在的安全漏洞可被攻击者利用获取敏感信息,提升权限,欺骗,绕过安全功能限制,执行远程代码,或进行拒绝服务攻击等。
针对以上重要漏洞隐患,通过平台及门户网站同步发布风险提示的方式通知行业内用户及公众采取相应安全措施,规避风险。
二、系统漏洞态势分析
(一)概述
2020年6月,平台收录新增系统漏洞数量为773个。其中,包括高危系统漏洞605个,本月系统漏洞数量与上月(2435个)数量相比减少68.3%。
2020年6月,平台收录高危系统漏洞605个(占78%)、中危系统漏洞70个(占9%)、低危系统漏洞98个(占13%)。
图 6 系统漏洞按等级分布
2020年6月,平台收录的系统漏洞包括网络设备漏洞、WEB组件漏洞、应用软件漏洞、服务器漏洞、数据库漏洞、操作系统漏洞和中间件漏洞等。系统漏洞按类型分布情况如表所示。
表 1 系统漏洞按类型分布统计表
系统漏洞按类型分布 | 漏洞数量 |
网络设备漏洞 | 479 |
WEB组件漏洞 | 130 |
应用软件漏洞 | 66 |
服务器漏洞 | 25 |
数据库漏洞 | 22 |
操作系统漏洞 | 7 |
中间件漏洞 | 4 |
其他 | 40 |
总数 | 773 |
2020年6月,平台收录系统漏洞按所属行业划分,涉及信息传输、软件和信息技术服务业614个,制造业55个,卫生和社会工作52个,科学研究与技术服务业4个,居民服务、修理和其他服务业4个,批发和零售业2个,租赁和商务服务业1个。
图 7 系统漏洞按所属行业划分
2020年6月,平台收录系统漏洞按威胁所属领域划分,收录了76个工业控制领域。建议用户及时采取修补措施,避免漏洞引发的网络安全事件。
图 8 系统漏洞按威胁所属领域划分
综合分析近期上报的系统漏洞情况,6月收录的系统漏洞数量较5月系统漏洞数量相比呈下降趋势。披露信息传输、软件和信息技术服务业的漏洞数量居多,其次为制造业的漏洞数量。根据漏洞影响对象的类型分析,目前漏洞影响对象主要集中在网络设备漏洞方面。与5月相比,本月网络设备漏洞、应用软件漏洞和操作系统漏洞等的数量呈上升趋势,数据库漏洞和服务器漏洞数量呈下降趋势,WEB组件漏洞的数量基础持平。本月收录的高危系统漏洞主要涉及信息传输、软件和信息技术服务业和卫生和社会工作。
本月披露的系统漏洞主要为Mongodb未授权访问漏洞、栈缓存溢出远程代码执行漏洞和SQL注入漏洞等传统漏洞,存在较大的安全隐患,也可能存在被仿冒从而导致病毒传播的风险。针对以上重点单位漏洞,平台及时通知所属地管局要求相关企业针对以上漏洞隐患进行整改和修复。
三、总结与建议
综上所述,本月披露的产品漏洞较上月相比呈上升趋势,披露的系统漏洞较上月相比呈下降趋势。需要产品漏洞和系统漏洞的生产厂商及企业应加强人员安全意识培养,系统、相关应用用户杜绝使用弱口令,部署高级威胁监测设备,及时发现恶意网络流量,定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。