信息安全通告

根据我司安服人员对国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）、国家互联网应急中心（CNCERT）和重要安全厂商的预警信息统计分析，本月主要的信息安全情况如下:

重大漏洞预警：

本月含6个超危漏洞：Cisco Expressway Series 安全漏洞、Gerbv 缓冲区错误漏洞 、Tp-link TL-WR840N 安全漏洞、Scrapy信息泄露漏洞、四创科技有限公司山洪灾害监测预警平台存在文件上传漏洞、Totolink X5000R和TotoLink A7000R命令注入漏洞。

安全要闻：

近期，乌克兰计算机紧急事件响应政府小组(CERT-UA)声称UAC-0035组织(又名 InvisiMole)针对乌克兰国家机构发起鱼叉式网络钓鱼邮件攻击，这些钓鱼邮件使用名为“501_25_103.zip”的存档，其中包含一个快捷方式文件。打开LNK文件后，将下载一个HTA文件并在受害者的计算机上执行。HTA文件包含一个VBScript代码，用于获取和解码诱饵文件和恶意程序 LoadEdge后门。然后后门与远程命令和控制服务器建立联系以下载并执行其他恶意负载，包括TunnelMole、滥用DNS协议的恶意软件以及RC2FM和RC2CL。LoadEdge后门通过Windows注册表将会一直存在。

对此，CERT-UA及时发布了公告，公告中称：乌克兰CERT-UA计算机紧急情况应对政府小组收到政府机构的通知。通知中表明了该活动与UAC-0035组织(InvisiMole)的活动有关。请注意恶意程序LoadEdge的编译日期–24.02.2022，同时，CERT还分享了近期攻击的入侵指标(IoC)。

InvisiMole组织是与俄罗斯有关的威胁组织 ，从2013年以来一直保持活跃，虽然ESET专家将该组织与Gamaredon俄罗斯APT组织联系起来，但这两个组织很可能是独立的。该组织于2018年首次被ESET发现，当时专家们发现了一种复杂的间谍软件，被追踪为InvisiMole，在过去五年中用于俄罗斯和乌克兰的针对性攻击。在过去的活动中，该组织针对的是少数军事部门的知名组织和东欧的外交使团。

（一）本月高危漏洞情况

表1 高危漏洞情况表

（一）高危漏洞修复建议

本月漏洞及危害影响主要为：

l Cisco Expressway Series 安全漏洞（CNNVD-202203-118）

Cisco Expressway Series是美国思科（Cisco）公司的一款用于防火墙外访问设备的软件。该软件为防火墙外的用户提供了简单、高度安全的访问功能，帮助远程办公人员在他们选择的设备上更有效地工作。

Cisco Expressway Series 存在安全漏洞，该漏洞源于用户提供的命令参数的输入验证不足。该漏洞可能允许经过身份验证的远程攻击者对应用程序具有读/写权限，从而在受影响设备的底层操作系统上进行目录遍历攻击并覆盖文件。 

l Gerbv 缓冲区错误漏洞 （CNNVD-202202-2155）

Gerbv是一个 Gerber 文件（仅限 Rs-274X）查看器。用于查看 Rs-274X Gerber 文件、Excellon 钻孔文件和 Pick-N-Place 文件。

Gerbv存在缓冲区错误漏洞，该漏洞源于在孔径宏轮廓原始功能中存在越界读取漏洞。一份精心制作的Gerber档案可能会导致信息泄露。攻击者可利用该漏洞可以提供一个恶意文件来触发此漏洞。

l Tp-link TL-WR840N 安全漏洞（CNNVD-202202-2071）

Tp-link TL-WR840N是中国普联（Tp-link）公司的一款无线路由器。

TP-LINK TL-WR840N(ES)_V6.20_180709存在安全漏洞，该漏洞源于函数dm_checkString包含整数溢出。攻击者可利用该漏洞通过特制的HTTP请求造成拒绝服务（DoS）。

l Scrapy信息泄露漏洞（CNVD-2022-17012）

Scrapy是一个用Python编写的自由且开源的网络爬虫框架。
Scrapy 2.6.1之前版本中存在信息泄露漏洞，该漏洞源于产品未对敏感信息进行有效保护。攻击者可利用该漏洞获得敏感信息。

l 四创科技有限公司山洪灾害监测预警平台存在文件上传漏洞（CNVD-2022-13862）

四创科技有限公司是中国减灾兴利信息服务提供商。
四创科技有限公司山洪灾害监测预警平台存在文件上传漏洞，攻击者可利用该漏洞获取服务器权限

l Totolink X5000R和TotoLink A7000R命令注入漏洞（CNNVD-202203-1513）

Totolink X5000R是中国Totolink公司的一个路由器。TotoLink A7000R是中国TotoLink公司的一款无线路由器。

Totolink 路由器的 X5000R V9.1.0u.6118_B20201102 和 A7000R V9.1.0u.6115_B20201022 存在安全漏洞，该漏洞允许攻击者通过精心制作的请求执行任意命令。

l TOTOLink A3000RU命令注入漏洞（CNVD-2022-17107）

TOTOLink A3000RU是中国TotoLink公司的一款无线路由器。
TOTOLink A3000RU V5.9c.2280_B20180512版本存在命令注入漏洞，攻击者可利用该漏洞通过QUERY_STRING参数执行任意命令。 

l Tenda G1 and G3命令注入漏洞（CNVD-2022-16177）

Tenda G1 and G3是中国腾达（Tenda）公司的一个路由器。
Tenda G1 and G3存在命令注入漏洞，攻击者可利用该漏洞通过usbOrdinaryUserName参数执行任意命令。

l Phicomm 多款产品安全漏洞（CNNVD-202203-804）

Phicomm PHICOMM K2等都是中国斐讯（Phicomm）公司的产品。PHICOMM K2是一款无线路由器。PHICOMM K3等都是中国斐讯（PHICOMM）公司的产品。PHICOMM K3是一个双频千兆无线 WiFi 路由器。PHICOMM K3C是一个双频千兆无线 WiFi 路由器。PHICOMM K2 A7是一个双频千兆无线 WiFi 路由器。PHICOMM K2G A1是一个双频千兆无线 WiFi 路由器。

Phicomm 多款产品存在安全漏洞，本地网络的远程攻击者可利用该漏洞获取设备的根shell，从而破坏目标系统。

l Adobe Illustrator 缓冲区错误漏洞（CNNVD-202203-798）

Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。

Adobe Illustrator 存在缓冲区错误漏洞，远程攻击者可利用该漏洞创建一个特别制作的PCT文件，诱导受害者打开它，从而触发内存损坏，并在目标系统上执行任意代码。

l Huawei HarmonyOS空指针解引用漏洞（CNVD-2022-17707）

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。
Huawei HarmonyOS SensorhubMain存在安全漏洞。攻击者可利用该漏洞导致内核死机。

l Terramaster TOS 命令注入漏洞（CNNVD-202203-1539）

Terramaster TOS是中国铁威马（Terramaster）公司的一款基于Linux平台的，专用于erraMaster云存储NAS服务器的操作系统。

Terramaster TOS 4.2.29版本存在命令注入漏洞，该漏洞源于api.php脚本中的webNasIPS 组件中的输入验证不正确。未经身份验证的攻击者可以发送特殊数据利用该漏洞并在目标系统上执行任意命令。

l Red Hat 389 Directory Server 安全漏洞（CNNVD-202203-1532）

Red Hat 389 Directory Server（前称Fedora Directory Server）是美国红帽（Red Hat）公司的一款企业级的Linux目录服务器。该服务器完全支持LDAPv3规范，具有可扩展、多主复制等特点。

Red Hat 389 Directory Server 存在安全漏洞，该漏洞源于应用对于LDAP端口访问缺乏有效处理，导致slapd崩溃的分段错误。未经验证的攻击者可以发送TCP连接消息利用该漏洞访问LDAP端口导致拒绝服务。 

l Google Chrome 资源管理错误漏洞 （CNNVD-202203-1449）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

Google Chrome 的Blink Layout 存在资源管理错误漏洞，该漏洞源于Blink Layout组件释放后重用。远程攻击者可以创建特制的网页，诱使受害者访问该网页，在无错误后触发使用，并在目标系统上执行任意代码。

l Tiny File Manager路径遍历漏洞（CNNVD-202203-1434）

Tiny File Manager是一款基于Web的开源文件管理器。

Tiny File Manager 2.4.1中的tinyfilemanager.php文件上传功能存在路径遍历漏洞，该漏洞允许远程攻击者使用有效用户账户上传恶意PHP文件到webroot并在目标服务器上实现代码执行。

l Tenda AX12堆栈溢出漏洞（CNVD-2022-22746）

Tenda Ax12是中国腾达（Tenda）公司的一款双频千兆Wifi 6无线路由器。
Tenda AX12存在安全漏洞，攻击者可利用漏洞通过列表参数造成拒绝服务（DoS）。

l WAVLINK AC1200存在未明漏洞（CNVD-2022-22304）

WAVLINK AC1200是中国睿因科技（WAVLINK）公司的一个双频大功率无线路由器。
WAVLINK AC1200 WAVLINK-A42W-1.27.6-20180418版本存在安全漏洞，该漏洞源于wx.html页面中缺少对于身份验证。未经身份验证的攻击者可以利用该漏洞访问此页面。

l Atom CMS远程代码执行漏洞（CNVD-2022-22310）

Atom CMS是一个内容管理系统。
Atom CMS 2.0版本存在远程代码执行漏洞，该漏洞源于/admin/uploads.php 未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。

l UltraVNC存在未明漏洞（CNVD-2022-22270）

UltraVNC是一款用于Windows平台的开源远程终端控制软件。
UltraVNC 1.3.8.0 之前的版本的DSM插件存在安全漏洞，本地经过身份验证的攻击者可利用该漏洞在易受攻击的系统上实现本地权限提升 (LPE)。

修复建议

 以上漏洞厂家均已发布漏洞补丁链接，详情请关注厂家主页查看最新消息。