2022年，工業和信息化部網絡安全產業發展中心（工業和信息化部信息中心）充分發揮網絡安全產業研究分析優勢，按照信息泄露與網絡攻擊篇、漏洞與處罰篇、國內外產融篇等主題，將研究分析成果在公眾號和官網上每季度進行連載發布，供業界參考。今日為2022第二季度網絡安全產業最新動態——漏洞與處罰篇。

我中心持續關注國家信息安全漏洞發現與修復情況，截至2022年6月30日，國家信息安全漏洞庫（CNNVD）第二季度采集信息安全漏洞共6488個。接報漏洞72093個，其中信息技術產品漏洞（通用型漏洞）1451個，網絡信息系統漏洞（事件型漏洞）70642個。國家信息安全漏洞共享平臺（CNVD）第一季度采集信息安全漏洞共4940個，其中高危漏洞1677個，中危漏洞2777個，低危漏洞486個。上述漏洞中，可被利用來實施遠程網絡攻擊的漏洞有4043個。中心統計分析了2022年4-6月CNNVD發布的漏洞類型如下表所示，其中跨站腳本類漏洞所占比例最大，約為13.03%，其次是緩沖區溢出類漏洞，占本季度漏洞總數的9.41%，排在前五的還有輸入驗證錯誤、代碼問題與SQL注入。

2022年第二季度漏洞類型統計表

根據漏洞的影響范圍、利用方式、攻擊后果等情況，從高到低可將其分為四個危害等級，即超危、高危、中危和低危級別。2022年第二季度漏洞危害等級分布如下圖所示，其中超危漏洞1048條，占本季度漏洞總數的16.15%。

2022年第二季度漏洞危害等級分布圖

據CNNVD信息安全漏洞通報顯示，第二季度漏洞數量較上季度增長8.53%，且出現了多個危害極大、影響面極廣的重大安全漏洞，漏洞詳情如下。

1. Apache Struts2安全漏洞（CNNVD-202204-3223、CVE-2021-31805）∶成功利用此漏洞的攻擊者，可在目標服務器遠程執行惡意代碼，進而控制目標服務器。Apache Struts 2.0.0至2.5.29 版本均受漏洞影響，目前Apache 官方已發布新版本修復了漏洞。

2. 微軟官方發布了Microsoft Windows Network File System代碼注入漏洞（CNNVD-202204-3112、CVE-2022-24491）、Microsoft Windows Remote Procedure Call Runtime 代碼注入漏洞（CNNVD-202204-3019、CVE-2022-26809）等多個漏洞成功利用上述漏洞的攻擊者可以在目標系統上執行任意代碼、獲取用戶數據，提升權限等。微軟多個產品和系統受漏洞影響，目前微軟官方已經發布了漏洞修復補丁。

3. F5 BIG-IP 訪問控制錯誤漏洞（CNNVD-202205-2141、 CVE-2022-1388）：攻擊者可在未授權的情況下遠程執行命令、創建或刪除文件、開啟或關閉服務等。F5 BIG-IP多個版本受此漏洞影響，目前F5 官方已經發布了新版本修復了漏洞。

4. 微軟官方發布公告更新了 Microsoft Windows LDAP輸入驗證錯 誤漏洞（CNNVD-202205-2869、CVE-2022-22012）、Microsoft Windows Network File System輸入驗證錯誤漏洞（CNNVD-202205-2781、CVE-2022-26937）等多個漏洞：成功利用上述漏洞的攻擊者可以在目標系統上執行任意代碼、獲取用戶數據，提升權限等。微軟多個產品和系統受漏洞影響，目前微軟官方已經發布了漏洞修復補丁。

5. Microsoft Windows Support Diagnostic Tool安全漏洞（CNNVD-202205-4277、CVE-2022-30190）：成功利用此漏洞的攻擊者，可在目標主機執行惡意代碼。Windows11、Windows10等多個系統版本均受此漏洞影響，目前微軟官方發布了臨時修補措施緩解漏洞帶來的危害。

6. 微軟官方發布公告更新了多款Microsoft產品資源管理錯誤漏 洞（CNNVD-202205-2800、CVE-2022-23267）、Microsoft Visual Studio安全漏洞（CNNVD-202204-3059、CVE-2022-24513）等多個漏洞：成功利用上述漏洞的攻擊者可以在目標系統上執行任意代碼、獲取用戶數據，提升權限等。微軟多個產品和系統受漏洞影響，目前微軟官方已經發布了漏洞修復補丁。

中心收錄了2022年第二季度全球公開的容易被攻擊者利用的漏洞，這些漏洞多被用以執行遠程代碼，實施網絡攻擊或者竊取隱私數據，其中較為典型的事件摘取如下。

時間：4月

影響范圍：近40%的Mac

概況：蘋果4月披露了兩個影響MacO，iOS和iPadOS操作系統運行的漏洞（CVE-2022-22675、CVE-2022-22674），并發布了該軟件的更新版本，但忽略了Big Sur和Catalina版本的MacOS，近40%的Mac遭受了2次0day漏洞攻擊。

時間：4月

影響范圍：使用聯發科和高通芯片的Android設備

概況：聯發科和高通芯片中的音頻編解碼器中的一個容易被利用的漏洞，使數以百萬計的Android手機暴露在被窺探的風險中，遠程攻擊者可以利用此漏洞，通過向目標發送格式錯誤的音頻文件在Android設備上執行惡意軟件，從而遠程訪問其媒體和音頻對話。

時間：5月

影響范圍：數千臺設備

概況：CVE-2022-1388是一個嚴重的遠程代碼執行漏洞，未經身份驗證的攻擊可以從互聯網上針對暴露其管理界面的設備或從目標組織的網絡，輕松利用該漏洞發起攻擊。

時間：5月

影響范圍：Zoom 5.10.4及Expat解析器2.4.5

概況：在通過Zoom聊天向受害者發送消息后，攻擊者可以攔截和修改其客戶端更新請求和響應，從而向受害者發送惡意更新，該更新將自動下載并執行，最終允許零點擊遠程代碼（RCE）的執行。

時間：6月

影響范圍：UNISOC芯片的手機

概況：半導體公司UNISOC的總部位于上海，是僅次于聯發科、高通和蘋果的全球第四大移動處理器制造商。其智能手機芯片組中發現了一個嚴重的，甚至可能被武器化的安全漏洞，該漏洞存在于調制解調器固件中，而不是Android操作系統本身，攻擊者可以通過這個漏洞用畸形數據包破壞智能手機的無線電通信。

中心收錄了2022年第二季度全球影響較大的公開處罰事件，其中，數據竊取與隱私侵犯是違反各國相關法律法規，受到經濟處罰的主要原因，最高處罰金額達到23億美元。典型事件摘取如下。

時間：5月

國家：美國

被處罰方：Colonial Pipeline

處罰事件：燃料管道運營商Colonial Pipeline在2021年一起勒索攻擊事件后，被管道和危險材料安全管理部門檢查出，可能違反了數項管道安全規則，包括“未能充分規劃和準備手動關閉和重新啟動其管道系統”，Colonial Pipeline因此面臨近100萬美元的罰款。

時間：5月

國家：美國

被處罰方：Pegasystems

處罰事件：費爾法克斯縣法院發現，Pegasystems在八年間，使用各種手段竊取Appian的數據，包括向政府承包商支付費用，以獲取Appian系統的后端訪問。5月，Pegasystems因網絡盜竊商業機密，被判賠償Appian總計約23億美元。

時間：5月

國家：英國

被處罰方：Clearview AI

處罰事件：面部識別公司Clearview AI，因侵犯英國隱私法律法規被英國監管機構罰款750萬英鎊（約合943萬美元），并被勒令停止收集和使用在互聯網上公開的英國居民個人數據，并刪除已收集的英國居民信息。

時間：5月

國家：美國

被處罰方：扎克伯格

處罰事件：哥倫比亞特區起訴扎克伯格，稱Cambridge Analytica公司未經許可收集了多達8700萬Facebook用戶的姓名、朋友列表、當前城市、電子郵件地址、Facebook消息等眾多詳細信息，親自參與該公司侵犯用戶隱私行為的扎克伯格，應該對此承擔個人責任。

時間：5月

國家：美國

被處罰方：Twitter

處罰事件：為了結有關其濫用為安全目的收集的非公開信息來投放定向廣告的指控，Twitter同意向美國聯邦貿易委員會(FTC)支付1.5 億美元。

時間：6月

國家：美國

被處罰方：Carnival Cruise Lines

處罰事件：為結束美國46個州在一系列網絡攻擊中訪問客戶和員工的敏感個人信息后提起的兩起單獨訴訟，Carnival Cruise Lines將支付超過600萬美元。

（本文由工業和信息化部網絡安全產業發展中心（工業和信息化部信息中心）網絡安全產業推進部編制，撰寫過程中得到了數世咨詢等單位的大力支持，在此向所有給予指導和幫助的領導、專家、企業和相關機構表示衷心感謝。鑒于本文數據來源于網絡公開披露信息，并且網絡安全產業正處于快速發展階段，新技術、新模式層出不窮，本文難免存在一定疏漏和不足，敬請廣大讀者提出寶貴意見和建議。）