当前位置:首页
>新闻动态>工作动态
产业观察:2022第一季度网络安全产业最新动态——漏洞与处罚篇
发布日期:2022-04-13 来源:网络安全产业推进部


漏洞



我中心持续关注国家信息安全漏洞发现与修复情况,截至2022年3月31日,国家信息安全漏洞库(CNNVD)第一季度采集信息安全漏洞共5978个。接报漏洞53789个,其中信息技术产品漏洞(通用型漏洞)1124个,网络信息系统漏洞(事件型漏洞)52665个。国家信息安全漏洞共享平台(CNVD)第一季度采集信息安全漏洞共5576个,其中高危漏洞1896个,中危漏洞3761个,低危漏洞549个,上述漏洞中,可被利用来实施远程网络攻击的漏洞有4117个。中心统计分析了2022年1-3月CNNVD发布的漏洞类型如下表所示,其中跨站脚本类漏洞所占比例最大,约为12.01%,其次是缓冲区溢出类漏洞,占本季度漏洞总数的11.01%,排在前五的还有输入验证错误、代码问题与资源管理错误。


2022年第一季度漏洞类型统计表


根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2022年第一季度漏洞危害等级分布如下图所示,其中超危漏洞879条,占本季度漏洞总数的14.70%。


2022年第一季度漏洞危害等级分布图


据CNNVD信息安全漏洞通报显示,漏洞数量增长呈现上升趋势,本季度还出现了多个危害极大、影响面极广的重大安全漏洞,漏洞详情如下。


  1. Apache log4j代码问题漏洞(CNNVD-202201-1425、CVE-2022-23307)等多个安全漏洞:成功利用上述漏洞的攻击者可以在目标系统上执行恶意代码。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影响。目前,Apache官方已经发布了新版本修复了漏洞。


  2. Polkit 全漏洞(CNNVD-202201-2343、CVE-2021-4034):成功利用此漏洞的攻击者,可在默认配置下提升本地用户权限。Polkit0.92-0.115版本均受此漏洞影响。目前,Polkit官方已发布新版本修复了漏洞。


  3. Fortinet FortiWeb安 全 漏 洞 (CNNVD-202202-129 、CVE-2021-43073):成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiWeb 6.4.1 及其以下版本均受此漏洞影响。目前,Fortinet官方已发布新版本修复了漏洞。


  4. 微软多个安全漏洞:包括 Microsoft Hyper-V 权限许可和访问控制问题漏洞(CNNVD-202201-787、CVE-2022-21901)、MicrosoftEdge代码注入漏洞(CNNVD-202202-235、CVE-2022-23263)等 58 个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁。


  5. Linux kernel安全漏洞(CNNVD-202203-522、CVE-2022-0847):成功利用此漏洞的攻击者,可提升本地用户权限。Linux Kernel 5.8-5.16.11、5.8-5.15.25、5.8-5.10.102等版本均受此漏洞影响。目前,Linux官方已发布新版本修复了漏洞。


  6. Redis 代码注入漏洞(CNNVD-202202-1622、CVE-2022-0543):成功利用此漏洞的攻击者,可在目标服务器远程执行恶意代码,进而控制目标服务器。Redis 5.x 系列 5.0.14以下版本、Redis 6.x系列6.0.16以下版本、Redis 7.x 系列7.0-rc2以下版本均受漏洞影响。目前,Redis官方已发布新版本修复了漏洞。


处罚


中心收录了2022年第一季度全球影响较大的公开处罚事件,处罚金额总计超过4亿美元。其中,数据泄露与隐私侵犯是违反各国相关法律法规,受到经济处罚的主要原因。典型事件摘取如下。


时间:1月

国家:法国

被处罚方:Facebook与谷歌

处罚事件:因违反欧盟的隐私保护法,未为用户提供拒绝cookie跟踪的选择,法国数据保护监管机构国家信息与自由委员会(CNIL) 对Facebook和谷歌分别处以1.5亿欧元(1.7亿美元)和6000万欧元(6800万美元)的罚款


时间:1月

国家:美国

被处罚方:摩根士丹利

处罚事件:摩根士丹利以6000万美元就此数据泄露诉讼达成和解,泄露的原因是淘汰的服务器等设备在售卖前未清除敏感信息


时间:1月

国家:美国

被处罚方:Accellion

处罚事件:企业内容防火墙提供商Accellion达成810万美元的和解协议,以结束涉及其遗留文件共享服务(FTA)的数据泄露诉讼


时间:2月

国家:美国

被处罚方:Facebook

处罚事件:Facebook同意支付 9000 万美元来解决已有十年之久的使用cookie追踪用户活动,侵犯隐私的案件


时间:3月

国家:爱尔兰

被处罚方:Meta Platforms

处罚事件:爱尔兰数据保护委员会(DPC)对Facebook和WhatsApp所有者Meta Platforms处以1700万欧元(约合1860万美元)的罚款,原因是该地区发生了一系列违反欧盟GDPR法律的安全漏洞


时间:3月

国家:美国

被处罚方:CafePress

处罚事件:CafePress因掩盖2019年客户信息泄露事件而被罚款50万美元


时间:3月

国家:英国

被处罚方:West Sussex-based Domestic Support Ltd、Home Sure Solutions、Seaview Brokers、UK Platinum Home Care Services、UK Appliance Cover

处罚事件:英国数据监管机构对五家公司处以40.5万英镑的罚款,这5家公司以老年人为目标,通过电话偏好系统非法拨打了75万个未经同意的营销电话



分享:
Produced By 大汉网络 大汉版通发布系统