信息安全通告

根据我司安服人员对国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）、国家互联网应急中心（CNCERT）和重要安全厂商的预警信息统计分析，本月主要的信息安全情况如下:

重大漏洞预警：

本月含13个超危漏洞：Apple macOS Mojave存在未明漏洞、北京网御星云信息技术有限公司防火墙存在命令执行漏洞、HuaWeismartphone资源管理错误漏洞、SourcecodesterVehicleServiceManagementSyste安全漏洞、ApacheKylin输入验证错误漏洞、ApacheKylin命令注入漏洞、HuaweiHarmonyOS缓冲区错误漏洞、CodeIgniter代码问题漏洞、ToTolinkEx200命令注入漏洞、TP-Link Archer C9 安全漏洞、MingSoft Mcms 安全漏洞、Apache Log4j 代码问题漏洞、Tp-link TP-Link Archer C9 安全漏洞 

安全要闻：

根据保险机构安联公司日前发布的风险晴雨表，网络风险成为2022年全球企业最担心的问题。由于新冠疫情、数据泄露或重大IT中断的威胁，使企业更担心业务和供应链中断、自然灾害或疫情大流行，这些不利因素在过去一年中对企业运营影响很大。

在安联公司的调查中，网络安全事件第二次位居榜首(44%的受访者认为至关重要)。业务中断紧随其后，名列第二(42%);自然灾害排名第三(25%)，高于2021年的第6位。气候变化从第9位上升至第6位(17%)，创下历史新高，而疫情大流行则降至第4位(22%)。

这项调查汇集了来自全球89个国家和地区的2650名专家的观点，这些专家包括首席执行官、风险经理、经纪人和保险专家。

AGCS公司首席执行官Joachim Mueller总结说，“业务中断可能仍是2022年的主要潜在风险主题。对于大多数企业来说，最主要的担忧是由于各种项目无法正常生产或提供服务。由于各种触发因素，2021年遭到了前所未有的破坏。例如，严重的网络攻击、许多与气候变化相关的天气事件对供应链的影响，以及与疫情相关的制造问题和运输瓶颈造成了严重破坏。尽管不能排除与新冠疫情相关的进一步破坏，但2022年将逐步缓解这种情况。培养抵御导致业务中断的多种原因的能力正日益成为企业的竞争优势。”

在美国，业务中断是商业领域关注的首要问题，其次是网络事件(37%)和自然灾害(35%)。

勒索软件引发网络担忧，同时对商业智能漏洞的认识不断提高

在大多数接受调查的国家和地区，网络攻击事件被列为最主要的风险。其主要驱动因素是勒索软件攻击最近的激增，57%的受访者认为这是未来一年的最大的网络威胁。最近的网络攻击趋势令人担忧，例如将系统加密与数据泄露相结合的“双重勒索”策略;利用可能影响数千家公司(例如Log4J、Kaseya)或针对物理关键基础设施(Colonial燃油管道遭遇攻击)的软件漏洞。

网络安全也被列为企业需要关注的环境、社会和治理(ESG)问题，受访者表示需要建立弹性，并为未来的中断做好预防准备，否则将面临来自监管机构、投资者和其他利益相关者的指责和惩罚等日益严重的后果。

AGCS公司全球网络主管Scott Sayce解释冰，“对于网络犯罪分子来说，勒索软件已经成为一项大生意，他们正在改进策略，降低进入门槛，只需很少订阅费和很少的技术知识就可以实施网络攻击。网络犯罪的商业化使得大规模利用漏洞变得更加容易。我们将看到更多针对技术供应链和关键基础设施的攻击。”

业务中断是第二大令人担忧的风险。在以广泛中断为标志的2021年，现代供应链和生产网络的脆弱程度比以往任何时候都更加明显。根据调查，导致业务中断的最主要原因是网络事件，这反映了勒索软件攻击的增加，以及企业对数字化的日益依赖和转向远程工作的影响。在受访者看来，自然灾害和流行病是业务中断的另外两个重要触发因素。

在过去一年，随着新冠疫情的爆发导致全球大量工厂关闭，并导致集装箱运输港口的拥堵程度达到创纪录水平，封锁后的需求激增与生产和物流中断相结合。与新冠疫情相关的延误加剧了其他供应链问题，例如苏伊士运河堵塞或日本和德克萨斯州的芯片工厂由于天气原因和火灾关闭之后导致全球半导体短缺。

AGCS公司房地产行业主管、技术、媒体和电信业务主管Philip Beblo表示，“这场疫情暴露了现代供应链的依赖程度，以及多个不相关的事件如何聚集在一起造成广泛的破坏。这是第一次在全球范围内对供应链的弹性进行了测试。”

根据贸易信贷保险商Euler Herme公司最近发布的一份全球贸易报告，新冠疫情可能会在2022年下半年导致供应链严重中断，尽管全球供需和集装箱运输能力的不匹配最终将会缓解，并假设没有其他意外。

业务中断的风险意识正在成为企业的重要战略问题。AGCS公司财产风险咨询业务的全球主管Maarten vander Zwaag说，“高层管理人员越来越愿意为供应链带来更高的透明度，很多企业投资工具并积极处理数据，以更好地了解风险并为业务连续性创建库存、冗余和应急计划。”

（一）本周高危漏洞情况

表1 高危漏洞情况表

（二）高危漏洞修复建议

本周漏洞及危害影响主要为：

l Apple macOS Mojave存在未明漏洞（CNVD-2022-00609）

Apple macOS Mojave是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。
Apple macOS Mojave 10.14之前版本存在安全漏洞，该漏洞源于机构恢复密钥可能会被错误地报告为存在。目前没有详细漏洞细节提供。

l 北京网御星云信息技术有限公司防火墙存在命令执行漏洞(CNVD-2021-93921 )

北京网御星云信息技术有限公司由联想网御科技（北京）有限公司更名而来，业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理、专业安全解决方案和专业安全服务等多个方向。
北京网御星云信息技术有限公司防火墙存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

l 华为USG2210E存在弱口令漏洞（CNVD-2021-93881）

USG2210E安全网关是面向中小型企业/分支机构设计的新一代防火墙/UTM设备。
华为USG2210E存在弱口令漏洞，攻击者可利用该漏洞获取敏感信息。

l HuaWei smartphone 资源管理错误漏洞（CNNVD-202201-566）

Huawei Smartphone是中国华为（Huawei）公司的一款智能手机。

HuaWei smartphone 存在安全漏洞，该漏洞源于智能手机的显示模块存在不受控制的资源消耗漏洞。 成功利用此漏洞可能会影响服务完整性。

l Sourcecodester Vehicle Service Management Syste安全漏洞（CNNVD-202201-436）

Sourcecodester Vehicle Service Management System是开源的一个PHP 项目。用于汽车维修/服务店或企业的简单 Web 应用程序。

Sourcecodester Vehicle Service Management System 1.0版本存在安全漏洞，该漏洞源于系统缺少对于cookies的有效防护，攻击者可利用该漏洞可以窃取cookies导致全帐户接管。

l Apache Kylin 输入验证错误漏洞（CNNVD-202201-410）

Apache Kylin是美国阿帕奇（Apache）基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。

Apache kylin 存在输入验证错误漏洞，该漏洞源于Kylin可以接收用户输入并通过class . forname(…)加载任何类。

l Apache Kylin 命令注入漏洞 （CNNVD-202201-407）

Apache Kylin是美国阿帕奇（Apache）基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。

Apache kylin 存在命令注入漏洞，该漏洞源于在使用用户传入的项目名执行一些命令之前，Apache kylin会检查项目的合法性，正在检查的内容与在DiagnosisService中用作shell命令参数的内容之间不匹配。攻击者可利用该漏洞导致非法的项目名称通过检查并执行以下步骤，从而导致命令注入漏洞。

l Huawei HarmonyOS 缓冲区错误漏洞 （CNNVD-202201-276）

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。

Huawei HarmonyOS 骨声纹TA存在安全漏洞。成功利用此漏洞可以导致恶意代码执行。

l CodeIgniter 代码问题漏洞（CNNVD-202201-186）

CodeIgniter是一款使用PHP语言编写的开源Web框架。

CodeIgniter 存在代码问题漏洞，该漏洞源于软件中的old() 函数中发现了不可信数据的反序列化。远程攻击者可能会注入带有此漏洞的可自动加载的任意对象，并可能在服务器上执行现有的PHP代码。

l ToTolink Ex200命令注入漏洞（CNNVD-202201-147）

ToTolink Ex200是中国ToTolink公司的一款 2.4G 无线 N 范围扩展器。旨在扩大现有Wi-Fi网络的覆盖范围，消除“盲点”。

ToTolink Ex200存在安全漏洞，攻击者可以通过给GET参数注入相关命令注入从而实现恶意攻击。

l TP-Link Archer C9 安全漏洞(CVE-2021-35003)

Tp-link TP-Link Archer C9是中国普联（Tp-link）公司的一款无线路由器。

TP-Link Archer C90 存在安全漏洞，该漏洞源于DNS响应的处理存在缺陷。攻击者可利用该漏洞在受影响的TP-Link Archer C90路由器安装上执行任意代码。

l 锐捷EG2000系列易网关WEB管理系统命令执行漏洞（CNVD-2021-102439）

北京星网锐捷网络技术有限公司是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商。
锐捷EG2000系列易网关WEB管理系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

l ToTolink Ex200命令注入漏洞（CNVD-2022-03901）

ToTolink Ex200是中国ToTolink公司的一款 2.4G 无线 N 范围扩展器。旨在扩大现有Wi-Fi网络的覆盖范围，消除“盲点”。
ToTolink Ex200存在命令注入漏洞，该漏洞源于用户输入构造执行命令过程中，网络系统或产品未能正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞通过精心构造的请求注入执行恶意命令。

l MingSoft Mcms 安全漏洞(CNNVD-202201-1855)

MingSoft Mcms是中国铭飞（MingSoft）公司的一个完整开源的 J2ee 系统。

MingSoft Mcms v5.2.4版本存在安全漏洞，该漏洞源于组件ms模板writeFileContent.do缺少对于文件类型的限制和过滤，导致任意文件上传漏洞。

l Apache Log4j 代码问题漏洞（CNNVD-202201-1425）

Apache Log4j是美国阿帕奇（Apache）基金会的一款基于Java的开源日志记录工具。

Apache log4j 1.x存在代码问题漏洞，该漏洞源于在log4j的chainsaw组件中某些日志条目的内容被反序列化并可能允许代码执行。攻击者可以在运行 chainsaw 组件时向服务器发送带有序列化数据的请求，进而执行恶意代码。

l Tp-link TP-Link Archer C9 安全漏洞（CNNVD-202201-1392）

Tp-link TP-Link Archer C9是中国普联（Tp-link）公司的一款无线路由器。

TP-Link Archer C90 存在安全漏洞，该漏洞源于DNS响应的处理存在缺陷。攻击者可利用该漏洞在受影响的TP-Link Archer C90路由器安装上执行任意代码。

l Oracle MySQL 输入验证错误漏洞（CNNVD-202201-1588）

Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。

MySQL Server存在输入验证错误漏洞，该漏洞的存在是由于 MySQL Server 中的 Server： Optimizer 组件中的输入验证不正确。远程认证用户可以利用此漏洞破坏或删除数据。该漏洞允许远程认证用户破坏或删除数据。

l 小米投屏 缓冲区错误漏洞（CNNVD-202201-1528）

Xiaomi 小米投屏是中国小米科技（Xiaomi）公司的提供了投屏功能。

小米投屏http服务存在安全漏洞，该漏洞可能会导致应用程序在局域网中崩溃。

修复建议

以上漏洞厂家均已发布漏洞补丁链接，详情请关注厂家主页查看最新消息。