第87期漏洞态势

第 87 期（ 2019.5.27-2019.6.2 ）

一、本周漏洞基本态势

本周轩辕攻防实验室共收集、整理信息安全漏洞1448个，其中高危漏洞673个、中危漏洞480个、低危漏洞295个，较上周相比较减少637个，同比减少44%。据统计发现 SQL 注入漏洞是本周占比最大的漏洞，也是据统计以来，除第7期和第40期以外，每周漏洞数量都占比最大的漏洞。

图1 近7周漏洞数量分布图

根据监测结果，本周轩辕攻防实验室共整理漏洞1448个，其中其他行业551个、电信与互联网行业502个、 教育行业130个 、 商业平台行业108个、 政府行业49个、 工业制造行业26个、 医疗行业24个、 能源行业20个、 金融行业12个、 环保行业11个、交通行业9个、 新闻行业4个、 广播与电视行业2个，分布统计图如下所示：

图2 行业类型数量统计

本周漏洞类型分布统计

本周监测共有漏洞1448个，其中，漏洞数量位居首位的是SQL注入漏洞占比为31%，漏洞数量位居第二的是后台弱口令漏洞占比17%，位居第三的是敏感信息泄露漏洞占比13%，这三种漏洞数量就占总数61%，与上周相比较，发现SQL注入漏洞数量占比减少，后台弱口令漏洞数量占比增加，敏感信息泄露漏洞数量占比减少，其中SQL注入漏洞数量占比减少9%，后台弱口令漏洞数量占比增加 6%， 敏感信息泄露漏洞数量占比减少8%；其他几种漏洞仅占总数的39%，这几种漏洞中， 未授权访问/越权漏洞占比11%、 其他漏洞占比9% 、 XSS跨站脚本攻击漏洞占比6%、 任意文件遍历/下载漏洞占比5% 、 设计缺陷/逻辑漏洞占比3% 、 命令执行漏洞占比3%、CSRF跨站请求伪造漏洞占比2%。本周漏洞类型占比分布图如下：

图3 漏洞类型分布统计

经统计，SQL注入漏洞和弱口令漏洞在电信与互联网行业 以及其他行业 存在较为明显，敏感信息漏洞在商业平台行业存在较为明显。同时SQL注入漏洞也是本周漏洞类型统计中占比最多的漏洞，广大用户应加强对SQL注入漏洞的防范。SQL注入漏洞在各行业分布统计图如下：

图4 SQL注入漏洞行业分布统计

本周通用型漏洞按影响对象类型统计

WEB应用漏洞671个、 操作系统漏洞52个、 应用程序漏洞43个、数据库漏洞37个、安全产品漏洞33个、网络设备漏洞27个。

图5 漏洞影响对象类型统计图

二、本周通用型产品公告

1 、 Microsoft 产品安全漏洞

Microsoft Internet Explorer（IE）是一款Windows操作系统附带的Web浏览器。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分，也可作为单独的JavaScript引擎使用。本周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞导致缓冲区溢出或堆溢出等。

收录的相关漏洞包括：MicrosoftEdge和ChakraCore缓冲区溢出漏洞（CNVD-2019-16202、CNVD-2019-16201、CNVD-2019-16203、CNVD-2019-16206、CNVD-2019-16205、CNVD-2019-16207）、Microsoft Internet Explorer缓冲区溢出漏洞（CNVD-2019-16204）、MicrosoftEdge缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0916

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0915

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0917

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0929

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0925

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0924

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0922

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0923

2 、 Schneider Electric 产品安全漏洞

Schneider Electric Modicon M580、M340是一款可编程自动化控制器。Schneider ElectricTriconex TriStation Emulator是一款Triconex仿真模拟器。Schneider Electric 1st Gen Pelco Sarix Enhanced Camera是一系列固定式IP摄像机。Schneider Electric SpectraEnhanced PTZ Camera是一系列球型IP摄像机。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提交特殊的请求，可进行拒绝服务攻击，执行任意的操作系统命令等。

收录的相关漏洞包括：Schneider Electric Modicon越界写拒绝服务漏洞、Schneider Electric Modicon非法内存块写拒绝服务漏洞、Schneider Electric Modicon非法断点参数拒绝服务漏洞、Schneider Electric Triconex TriStation Emulator拒绝服务漏洞、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera跨站请求伪造漏洞、Schneider Electric 1st Gen Pelco Sarix Enhanced Camera命令注入漏洞（CNVD-2019-16261、CNVD-2019-16259）、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera任意OS命令执行漏洞。其中，“Schneider Electric 1st GenPelco Sarix Enhanced Camera命令注入漏洞（CNVD-2019-16259）、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera任意OS命令执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.schneider-electric.com/

https://www.schneider-electric.com/en/download/document/SEVD-2019-045-03/

3 、 Open-Xchange 产品安全漏洞

Open-Xchange OX App Suite是一套Web云桌面环境。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，执行客户端代码等。

收录的相关漏洞包括：Open-Xchange OX App Suite访问控制错误漏洞（CNVD-2019-15534、CNVD-2019-15677）、Open-Xchange OX App Suite跨站脚本漏洞（CNVD-2019-15656、CNVD-2019-15675）、Open-Xchange GmbH OX App Suite跨站脚本漏洞、Open-Xchange OX App Suite访问控制错误漏洞、Open-Xchange OX App Suite信息泄露漏洞（CNVD-2019-16163）、Open-Xchange OX App Suite授权问题漏洞。其中，“Open-Xchange OX App Suite访问控制错误漏洞（CNVD-2019-15534、CNVD-2019-16065）、Open-Xchange OX App Suite授权问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://documentation.open-xchange.com/7.8.4/release-notes/release-notes.html

4 、 Oracle 产品安全漏洞

Oracle MySQL是一套开源的关系数据库管理系统。Oracle JD Edwards Products是一套全面集成的企业资源计划管理软件套件（ERP）。Oracle Retail Applications是一套零售应用商店解决方案。Oracle Siebel CRM是一套客户关系管理解决方案。Oracle Enterprise Manager Products Suite是一套企业内部部署管理平台。本周，该产品被披露存在多个漏洞，攻击者可利用漏洞未授权读取、更新、插入或删除数据，造成拒绝服务，影响数据的保密性、完整性和可用性。

收录的相关漏洞包括：Oracle MySQL Server拒绝服务漏洞（CNVD-2019-16231、CNVD-2019-16233、CNVD-2019-16232、CNVD-2019-16234）、Oracle JD Edwards Products JD Edwards EnterpriseOne Tools访问控制错误漏洞、Oracle Retail Applications Retail Point-of-Service访问控制错误漏洞、Oracle Siebel CRM Siebel Core-Server BizLogic Script访问控制错误漏洞、Oracle Enterprise Manager Products Suite ApplicationTesting Suite访问控制错误漏洞。其中，“Oracle Retail ApplicationsRetail Point-of-Service访问控制错误漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.oracle.com/technetwork/security-advisory/cpuapr2019verbose-5072824.html

5 、 Westermo DR-260 、 DR-250 和 MR-260 跨站请求伪造漏洞

Westermo DR-260是一款DSL路由器。Westermo DR-250是一款DSL路由器。Westermo MR-260是一款3G多媒体路由器。

Westermo DR-260、DR-250和MR-260被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.westermo.com/

三、本周重要漏洞攻击验证情况 

1 、 VFront 跨站脚本漏洞

验证描述

VFront是一套使用 PHP 和Javascript编写的用于 MySQL 或PostgreSQL数据库的开源前端管理工具。

Vfront 0.99.5版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

验证信息

POC链接：

https://packetstormsecurity.com/files/153104/VFront-0.99.5-Persistent-Cross-Site-Scripting.html

注：以上验证信息(方法)可能带有攻击性，仅供安全研究之用。请广大用户加强对漏洞的防范工作，尽快下载相关补丁。

四、本周安全资讯

1、未修复的漏洞将影响所有 Docker 版本

所有版本的Docker目前都容易受到“竞态条件”的攻击，这种攻击手段可使攻击者对主机系统上的任何文件都具有读写访问权限，概念验证代码已经发布。该漏洞类似于CVE-2018-15664，它为黑客提供了一个窗口，可以指定的程序开始对资源进行操作之前修改资源路径，归属于时间检查（TOCTOU）类型的错误。

该漏洞的核心源于FollowSymlinkInScope功能，该功能易受TOCTOU攻击。该函数的目的是通过将进程视为Docker容器组件来以安全的方式解析指定的路径。解释路径的操作不会立即进行，它会“稍微延时后完成”。攻击者可以通过这个时间差修改路径，该路径最终会以root权限进行相关操作。

2、Office 365出现网络钓鱼

近日，一种新形式的钓鱼活动出现在网络中，攻击者会将钓鱼内容伪装成Office 365点警告邮件，并告知用户他们的账户中出现异常数量的文件删除。钓鱼攻击以Office 365警告内容的形式出现，声称用户已触发中级威胁警报，并告知用户在其账户中发生了大量文件删除行为，诱使用户点击警告框。如果用户点击警告框并，会进入伪造的登录页面，一旦输入账号密码，就会被钓鱼网站获取并保存。随后，登录页面会刷新并将用户重定向至正常登陆页面，以掩盖钓鱼行为。微软提醒用户，Microsoft账户和outlook账户的登录表单只会来自microsoft.com、live.com或outlook.com。如果发现有任何来自其他URL的Microsoft登录表单，请不要使用。

附： 第86期漏洞态势

部分数据来源CNVD