国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞534个,互联网上出现“Hoosk CMS任意文件上传漏洞、Resort Reservation System跨站脚本漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
【资料图】
一周行业要闻速览
金融AIGC调研:机构对GPT需求迫切,“AI换脸”敲响安全警钟
我们迫切需要重构人工智能信任,在技术上、制度上有效对抗AI虚假,建立防范AI操纵的防火墙,维护数字经济时代的国家安全与金融业安全。>>详细
AI时代,眼见一定为实吗?
AI诈骗层出不穷,但再高明的骗局,总会有破局之法。>>详细
紧急提醒|网聊10分钟被骗430万,警惕AI新骗局!
明明已经和借钱的朋友视频过,怎么还是被骗了钱?注意! !现在人脸也能被盗用,新型AI电信诈骗正在悄悄蔓延! >>详细
【防诈骗】欺诈套路再升级,新型刷单骗局要提防
请提高警惕,不要轻信任何涉及以上刷单套路的虚假信息,不轻信网络中陌生人说辞,避免遭受资金损失。>>详细
“AI换脸”调查:“丢脸”同时暗藏“丢钱”风险 券商提示警惕高仿真诈骗手段
受访专家普遍认为,“AI换脸”技术的滥用给金融机构敲响了警钟,其复杂性、隐蔽性、突发性对机构的科技识别及运用提出了更高的要求。>>详细
老年消费者注意 这三类诈骗陷阱或许就在您身边
一方面不信“偏门”,办理各类金融业务一定要通过正规机构和渠道;不贪“小利”,谨记“天上不会掉馅饼”的道理。另一方面多了解金融常识,从正规渠道了解金融产品和办理流程,提高防范风险能力。>>详细
关于发布《网络安全标准实践指南—网络数据安全风险评估实施指引》的通知
本《实践指南》给出了网络数据安全风险评估的评估思路、工作流程和评估内容。>>详细
谨防电信网络诈骗,小心踩入“圈套”!
不明APP不下载,不明链接不点击。如遇可疑情况,要多和家人、朋友沟通商议并及时报警,以免遭到不法侵害。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年5月22日-28日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞534个,其中高危漏洞228个、中危漏洞284个、低危漏洞22个。漏洞平均分值为6.36。上周收录的漏洞中,涉及0day漏洞417个(占78%),其中互联网上出现“Hoosk CMS任意文件上传漏洞、Resort Reservation System跨站脚本漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Adobe产品安全漏洞
Adobe Substance 3D Painter是美国奥多比(Adobe)公司的一个3D纹理处理应用程序。Adobe Dimension是美国奥多比(Adobe)公司的一套2D和3D合成设计工具。上周,上述产品被披露存在越界读取漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Adobe Substance 3D Painter越界读取漏洞(CNVD-2023-40147、CNVD-2023-40146、CNVD-2023-40149、CNVD-2023-40152、CNVD-2023-41408)、Adobe Dimension越界读取漏洞(CNVD-2023-41413、CNVD-2023-41416、CNVD-2023-41414)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Cisco产品安全漏洞
Cisco Identity Services Engine(ISE)是美国思科(Cisco)公司的一款环境感知平台(ISE身份服务引擎)。该平台通过收集网络、用户和设备中的实时信息,制定并实施相应策略来监管网络。Cisco Small Business是美国思科(Cisco)公司的一个交换机。Cisco DNA Center是美国思科(Cisco)公司的一个网络管理和命令中心服务。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞从受影响设备的文件系统下载任意文件,对底层操作系统执行命令注入攻击,并将权限提升到root等。
CNVD收录的相关漏洞包括:Cisco Identity Services Engine命令注入漏洞(CNVD-2023-40185、CNVD-2023-40187)、Cisco Identity Services Engine路径遍历漏洞(CNVD-2023-40184、CNVD-2023-40186)、Cisco Identity Services Engine授权绕过漏洞(CNVD-2023-40191)、Cisco Identity Services Engine任意文件下载漏洞、Cisco Small Business拒绝服务漏洞(CNVD-2023-40906)、Cisco DNA Center命令执行漏洞。其中,“Cisco Identity Services Engine命令注入漏洞(CNVD-2023-40187)、Cisco Small Business拒绝服务漏洞(CNVD-2023-40906)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
SAP产品安全漏洞
SAP Application Interface Framework(SAP AIF)是德国思爱普(SAP)公司的一个应用程序接口框架。SAP BusinessObjects Platform是德国思爱普(SAP)公司的一个用于数据报告、可视化和共享的集中式套件。SAP Web Dispatcher是德国思爱普(SAP)公司的Load Balancing的核心组件,支持负载均衡,提供反向代理的功能,使得外网用户可以访问到内部应用。SAP NetWeaver AS是德国思爱普(SAP)公司的一款SAP网络应用服务器。它不仅能提供网络服务,且还是SAP软件的基本平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,覆盖操作系统文件,导致系统不可用等。
CNVD收录的相关漏洞包括:SAP Application Interface Framework信息泄露漏洞、SAP BusinessObjects Platform信息泄露漏洞、SAP Web Dispatcher访问控制错误漏洞、SAP NetWeaver AS资源管理错误漏洞、SAP NetWeaver AS访问控制错误漏洞(CNVD-2023-40162)、SAP NetWeaver AS跨站脚本漏洞(CNVD-2023-40169)、SAP NetWeaver AS路径遍历漏洞、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞(CNVD-2023-40166)。其中,“SAP NetWeaver AS路径遍历漏洞、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞(CNVD-2023-40166)”的综合评级为 “高危”。目前,厂商已经发布了上述漏洞的修补程序。
Schneider Electric产品安全漏洞
Schneider Electric Conext Gateway是法国施耐德电气(Schneider Electric)公司的一系列网关设备。Schneider Electric EcoStruxure Control Expert是法国施耐德电气(Schneider Electric)公司的一套用于Schneider Electric逻辑控制器产品的编程软件。Schneider Electric Easy UPS Online Monitoring Software是法国施耐德电气(Schneider Electric)公司的一款电源监控软件。Schneider Electric Easergy Builder是法国施耐德电气(Schneider Electric)公司的一套用于Easergy远程终端单元和控制器的配置软件。Schneider Electric SoMachine HVAC是法国施耐德电气(Schneider Electric)公司的一套专用于Schneider Electric逻辑控制器的编程软件。Schneider Electric Conext ComBox是法国施耐德电气(Schneider Electric)公司的一款通信和监控设备。Schneider Electric OPC Factory Server是法国施耐德电气(Schneider Electric)公司的一种软件应用程序。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞对文件系统进行未经授权的读取访问,执行任意代码,导致拒绝服务等。
CNVD收录的相关漏洞包括:Schneider Electric Conext Gateway输入验证错误漏洞、Schneider Electric EcoStruxure Control Expert拒绝服务漏洞、Schneider Electric EcoStruxure Control Expert代码执行漏洞、Schneider Electric Easy UPS Online Monitoring Software访问控制错误漏洞、Schneider Electric Easergy Builder代码问题漏洞、Schneider Electric SoMachine HVAC缓冲区溢出漏洞、Schneider Electric Conext ComBox跨站请求伪造漏洞、Schneider Electric OPC Factory Server XML外部实体注入漏洞。其中,除“Schneider Electric EcoStruxure Control Expert拒绝服务漏洞、Schneider Electric Easergy Builder代码问题漏洞、Schneider Electric OPC Factory Server XML外部实体注入漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
TOTOLINK A3300R命令注入漏洞
TOTOLINK A3300R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。上周,TOTOLINK A3300R被披露存在命令注入漏洞。该漏洞源于请求/cgi-bin/cstecgi.cgi的setddnscfg函数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。此外,Cisco、SAP、Schneider Electric等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,覆盖操作系统文件,执行任意代码,导致拒绝服务等。另外,TOTOLINK A3300R被披露存在命令注入漏洞。攻击者可利用该漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、21世纪经济报道、证券日报、信安标委、中国银联、中国工商银行、交通银行、中信银行微生活、江苏辖区农商银行报道