第89期漏洞态势

第 89 期（ 2019.6.10-2019.6.16 ）

一、本周漏洞基本态势

本周轩辕攻防实验室共收集、整理信息安全漏洞2515个，其中高危漏洞669个、中危漏洞1054个、低危漏洞792个，较上周相比较增加536个，同比增加21.3%。据统计发现未授权访问/越权漏洞是本周占比最大的漏洞。

图1 近7周漏洞数量分布图

根据监测结果，本周轩辕攻防实验室共整理漏洞 2515 个，其中其他行业799个、 商业平台行业533个 、 电信与互联网行业502个、 教育行业204个、 工业制造行业110个、 政府行业104个、 金融行业84个、 交通行业53个、 能源行业45个、 医疗卫生行业45个、 广播电视行业30个 、水利行业4个 、新闻行业2个，分布统计图如下所示：

图2 行业类型数量统计

本周漏洞类型分布统计

本周监测共有漏洞2515个，其中，漏洞数量位居首位的是未授权访问/越权漏洞占比为32%，漏洞数量位居第二的是敏感信息泄露漏洞占比28%，位居第三的是 SQL注入漏洞 占比17%，这三种漏洞数量就占总数77%，与上周相比较，发现 未授权访问/越权漏洞 数量占比增加， 敏感信息泄露漏洞 数量占比减少，SQL注入漏洞数量占比增加，其中 未授权访问/越权漏洞 数量占比增加29%， 敏感信息泄露漏洞 数量占比减少 13%，SQL注入 漏洞数量占比增加1%；其他几种漏洞仅占总数的23%，这几种漏洞中， XSS跨站脚本攻击漏洞占比7%、 后台弱口令漏洞占比6% 、其他 漏洞占比3%、 命令执行漏洞占比3% 、 任意文件遍历/下载 漏洞占比2.5%、设计缺陷/逻辑漏洞占比1%、CSRF跨站请求伪造漏洞占比0.5%。本周漏洞类型占比分布图如下：

图3 漏洞类型分布统计

经统计， 未授权访问/越权漏洞 、敏感信息泄露漏洞以及 SQL 注入漏洞在 商业平台行业 存在较为明显。同时 未授权访问/越权漏洞 也是本周漏洞类型统计中占比最多的漏洞，广大用户应加强对敏感信息泄露漏洞的防范。 未授权访问/越权漏洞 在各行业分布统计图如下：

图4 未授权访问/越权漏洞漏洞行业分布统计

本周通用型漏洞按影响对象类型统计

WEB应用漏洞1231个、应用程序 漏洞164个、 数据库漏洞35个、 操作系统漏洞32个、安全产品漏洞14个、网络设备漏洞8个、智能设备漏洞1个。

图5 漏洞影响对象类型统计图

二、本周通用型产品公告

1、Coremail邮件系统存在服务未授权访问和服务接口参数注入漏洞

Coremail邮件系统是论客科技（广州）有限公司（以下简称论客公司）自主研发的大型企业邮件系统，为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统被披露存在服务未授权访问和服务接口参数注入漏洞。攻击者可利用漏洞在未授权的情况下访问部分服务接口和进行接口参数注入操作。目前，厂商已经发布了上述漏洞的修补程序。针对CoremailXT3/CM5版本，补丁编号为CMXT3-2019-0001；针对CoremailXT5，补丁编号为CMXT5-2019-0001。提醒用户可以在Coremail云服务中心的补丁管理模块，根据补丁编号下载并按照操作指引进行手动更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.coremail.cn/Pro/p_b_flj/cat_id/115.htm

2、Mozilla产品安全漏洞

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，执行任意代码，发起拒绝服务攻击等。

收录的相关漏洞包括：Mozilla Firefox和Mozilla Firefox ESR定时攻击漏洞、Mozilla Firefox和Mozilla Firefox ESRXMLHttpRequest内存错误引用漏洞、Mozilla Firefox和Mozilla Firefox ESR crash generation server资源管理错误漏洞、Mozilla Firefox和MozillaFirefox ESR内存破坏漏洞、Mozilla Firefox和Mozilla Firefox ESR内存错误引用漏洞、Mozilla Firefox和Mozilla Firefox ESR类型混淆漏洞、Mozilla Firefox内存错误引用漏洞（CNVD-2019-17486）、Mozilla Firefox命令执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.mozilla.org/en-US/security/advisories/mfsa2019-13/

3、Siemens产品安全漏洞

Siemens Siveillance VMS是一套监控视频管理软件。LOGO!8是西门子第8代智能逻辑控制器，是西门子PLC家族里的Nano PLC，它简化了编程组态，集成的面板可显示更多的内容，并可通过集成的以太网接口轻松组网高效互联。Siemens LOGO! Soft Comfort是一个工程软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制，获取系统的未授权访问权限，导致缓冲区溢出或堆溢出等。

收录的相关漏洞包括：Google Chrome Swiftshader缓冲区溢出漏洞（CNVD-2019-17139）、Google Chrome Download Manager内存错误引用漏洞、Google Chrome Blink安全绕过漏洞（CNVD-2019-17513）、Google Chrome安全绕过漏洞（CNVD-2019-17515）、Google Chrome Extensions安全绕过漏洞（CNVD-2019-17514）、Google Chrome敏感信息泄露漏洞（CNVD-2019-17516）、Google Chrome V8安全绕过漏洞、Google Chrome安全绕过漏洞（CNVD-2019-17517）。其中，“Google Chrome DownloadManager内存错误引用漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.siemens.com/

https://support.industry.siemens.com/cs/ww/en/view/109767410

https://cert-portal.siemens.com/productcert/pdf/ssa-102144.pdf

4、Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，造成内存破坏。

收录的相关漏洞包括：Microsoft Edge和ChakraCore缓冲区溢出漏洞（CNVD-2019-16511）、Microsoft Windows GDI远程代码执行漏洞（CNVD-2019-16510）、Microsoft ChakraCore和Microsoft Edge远程代码执行漏洞（CNVD-2019-16745、CNVD-2019-16746、CNVD-2019-16748）、Microsoft Edge远程代码执行漏洞（CNVD-2019-16747）、Microsoft Edge和ChakraCore远程代码执行漏洞（CNVD-2019-16749）、多款Microsoft产品远程代码执行漏洞（CNVD-2019-16750）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://chromereleases.googleblog.com/2019/06/stable-channel-update-for-desktop.html

5、Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Jet Database Engine是其中的一个数据库引擎。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft InternetExplorer是一款Windows操作系统附带的Web浏览器。本周，该产品被披露存在多个漏洞，攻击者可利用漏洞绕过NTLM MIC保护，执行任意代码，造成内存破坏等。

收录的相关漏洞包括：MicrosoftWindows NTLM篡改安全绕过漏洞、MicrosoftWindows Jet Database Engine缓冲区溢出漏洞（CNVD-2019-17523、CNVD-2019-17525、CNVD-2019-17524）、Microsoft Internet Explorer VBScript Engine远程代码执行漏洞、Microsoft Internet Explorer远程代码执行漏洞（CNVD-2019-17527、CNVD-2019-17528）、Microsoft Edge和InternetExplorer缓冲区溢出漏洞（CNVD-2019-17529）。其中，除“Microsoft Windows NTLM篡改安全绕过漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1040

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0895

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0894

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0898

https://www.microsoft.com

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0753

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0884

6、Coremail邮件系统存在配置信息泄露漏洞

Coremail邮件系统是论客科技（广州）有限公司（以下简称论客公司）自主研发的大型企业邮件系统，为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail论客邮件系统被披露存在信息泄露漏洞。攻击者可利用该漏洞获取敏感信息。 提醒广大用户随时关注厂商主页，以获取最新补丁， 避免引发漏洞相关的网络安全事件。

参考链接：

http://www.coremail.cn/

7、D-Link DIR-818LW命令注入漏洞

D-Link DIR-818LW是一款无线路由器。D-Link DIR-818LW被披露存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://nvd.nist.gov/

三、本周重要漏洞攻击验证情况

1、RarmaRadio 'Server'拒绝服务漏洞

验证描述

RarmaRadio是一款免费的网络收音机软件。

RarmaRadio 'Server'存在拒绝服务漏洞。攻击者可以利用漏洞发起拒绝服务攻击。

验证信息

POC链接：

https://www.exploitalert.com/view-details.html?id=33297

注：以上验证信息(方法)可能带有攻击性，仅供安全研究之用。请广大用户加强对漏洞的防范工作，尽快下载相关补丁。

四、本周安全资讯

1、印象笔记扩展被曝严重漏洞，可泄露数百万用户的敏感信息

6月13日，印象笔记Web Clipper Chrome扩展中被曝存在一个严重缺陷，可导致潜在攻击者访问用户存储在第三方网络服务中的敏感信息。该问题是一个全局跨站点脚本(UXSS)漏洞，编号为CVE-2019-12592，源自一个印象笔记Web Clipper逻辑编程错误，使其可能绕过浏览器的同源策略，导致攻击者能够在印象笔记域名以外的内联框架中获得代码执行权限。发现该漏洞的安全公司Guardio表示，“由于印象笔记广为流行，该问题可能影响使用该扩展的客户和企业，在发现之时它的用户量为460万左右。”

2、Telegram服务器遭DDoS攻击，服务中断

近日，Telegram服务器遭到针对性的分布式拒绝服务攻击导致服务中断，主要影响南美和北美的用户，其他地区也出现了连接缓慢的情况。在Twitter的一则声明中，Telegram表示僵尸网络向Telegram服务器发送了庞大无用流量，服务器无法再处理来自合法用户的请求，从而导致连接不稳定。根据Downdetector（一个实时跟踪影响各种数字服务的中断的网站）的数据，DDoS攻击影响的热点是美洲东海岸、英国、荷兰、德国、乌克兰、俄罗斯和中国。

附： 第88期漏洞态势

部分数据来源CNVD