国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞474个,互联网上出现“Etaplighting Etap Safety Manager跨站脚本漏洞、Food Ordering Management System SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
(相关资料图)
农业银行消费者权益保护教育宣传这一年
据统计,农业银行全年累计开展各类集中宣传活动12.76万余次,投入宣传人员近67万人次,参与营业网点2.2万余个,活动触及消费者近8亿人次。>>详细
警惕!谨防医保诈骗短信,切勿点击不明网址链接!
钓鱼链接需警惕,切勿点击要当心,致电官方先核实,谨防信息遭泄露,警觉意识要提高,防诈口诀请记牢。>>详细
反诈丨防范电信网络诈骗《反电信网络诈骗法》知识宣传
组织、策划、实施、参与电信网络诈骗活动或者为电信网络诈骗活动提供帮助,构成犯罪的,依法追究刑事责任。>>详细
【消保黔行】手机APP授权,如何做好个人信息保护
在信息化和数字化快速转型的浪潮下,各种移动终端、互联网应用和社交软件层出不穷,在大大便利了人们生活的同时,也增加了个人隐私和信息受威胁的途径,大家一定要保护好自己的信息,谨防泄露。>>详细
防诈|@所有人,您有一份春节防诈骗指南请收好~
春节都绕不开发红包,收得多了警惕性也有所降低,此时便会不小心踏入不法分子的骗局中。>>详细
除了网银Ukey,你知道数字证书还有哪些用途吗?
无论是线上签署金融贷款合同、房屋租赁合同、还是入职劳动合同等多个领域都有数字证书的身影。>>详细
CFCA开放平台能力输出范本——SD-WAN在金融领域最佳实践
SD-WAN可将企业的总部、分支和多云之间实现互联,并在不同混合链路(MPLS,Internet,5G,LTE等)之间选择最优传输路径,提供优质的上云体验。>>详细
【反诈】警惕!“以房养老”是陷阱,保本收益是骗局
建议消费者尤其是老年人群,在购买投资理财产品前,多咨询正规金融机构的专业人员,多与家人商量,防范不法分子诈骗侵害。>>详细
【防诈】“制服信任”不可取,代客操作是违规!
金融消费者要警惕诈骗侵害,妥善保管账号、密码、支付工具等重要信息,警惕并拒绝他人提出的代为保管重要信息或操作银行账户等违规行为,提升自身反诈意识和能力。>>详细
安全威胁播报
上周漏洞基本情况
上周(2022年12月26日- 2023年1月1日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞474个,其中高危漏洞215个、中危漏洞228个、低危漏洞31个。漏洞平均分值为6.45。上周收录的漏洞中,涉及0day漏洞341个(占72%),其中互联网上出现“Etaplighting Etap Safety Manager跨站脚本漏洞、Food Ordering Management System SQL注入漏洞”等零日代码攻击漏洞。
Siemens产品安全漏洞
Siemens Parasolid是德国西门子(Siemens)公司的一个几何建模内核。Siemens Simcenter STAR-CCM+是德国西门子(Siemens)公司的一个完整的多物理场解决方案,可对真实条件下工作的产品和设计进行仿真。Siemens SICAM PAS/PQS是德国西门子(Siemens)公司的一款带有用于能源自动化和电能质量操作系统的软件。Siemens Solid Edge是德国西门子(Siemens)公司的一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。Siemens LOGO! 8 BM是德国西门子(Siemens)公司的一个用于工业环境用于Windows平台的编程软件。Siemens Industrial Edge Management是德国西门子(Siemens)公司的一个平台,用于在靠近车间的计算平台上托管来自不同供应商的应用程序。Siemens Desigo PX是德国西门子(Siemens)公司的一套楼宇自动化控制系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞以root权限执行任意系统命令,在应用程序崩溃时发送消息并创建拒绝服务条件等。
CNVD收录的相关漏洞包括:Siemens Parasolid越界写入漏洞(CNVD-2022-89757)、Siemens Simcenter STAR-CCM+权限提升漏洞、Siemens SICAM PAS/PQS输入验证错误漏洞、Siemens Solid Edge堆缓冲区溢出漏洞(CNVD-2022-89764)、Siemens LOGO! 8 BM输入验证错误漏洞(CNVD-2022-89766)、Siemens LOGO! 8 BM缓冲区溢出漏洞(CNVD-2022-89767)、Siemens Industrial Edge Management信任管理问题漏洞、多款Siemens产品操作系统命令注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,在系统上执行任意代码,造成拒绝服务。
CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2022-89770、CNVD-2022-89777)、Google Android拒绝服务漏洞(CNVD-2022-89771、CNVD-2022-89772、CNVD-2022-89773)、Google Android代码执行漏洞(CNVD-2022-89774、CNVD-2022-89776)、Google Android信息泄露漏洞(CNVD-2022-89775)。其中,“Google Android权限提升漏洞(CNVD-2022-89770、CNVD-2022-89777)、Google Android代码执行漏洞(CNVD-2022-89774、CNVD-2022-89776)” 的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
IBM产品安全漏洞
IBM Security Verify Governance Identity Manager是IBM一款基于网络设备的集成,主要用以业务为中心的规则、活动和流程。IBM Spectrum Control(前称Tivoli Storage Productivity Center)是美国国际商业机器(IBM)公司的一套存储资源管理软件。该软件可以为多个存储系统提供监控、自动化和分析。IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。IBM Engineering Requirements Quality Assistant是美国IBM公司的一款基于Watson AI用于辅助开发人员提高工程需求质量的软件。该应用可显著降低发现缺陷成本,有利于尽早发现工程流程中的需求错误,加快产品上市。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞向内部网络或本地文件系统发出任意请求,获取敏感信息,在Web UI中嵌入任意JavaScript代码等。
CNVD收录的相关漏洞包括:IBM Security Verify Governance Identity Manager信息泄露漏洞(CNVD-2022-91125)、IBM Spectrum Control弱加密漏洞、IBM Security Guardium信息泄露漏洞(CNVD-2022-91128)、IBM Cognos Analytics服务器端请求伪造漏洞、IBM Cognos Analytics跨站脚本漏洞(CNVD-2022-91132)、IBM Cognos Analytics敏感信息泄露漏洞(CNVD-2022-91131)、IBM Cognos Analytics日志注入漏洞、IBM Engineering Requirements Quality Assistant输入验证错误漏洞。其中,“IBM Spectrum Control弱加密漏洞、IBM Cognos Analytics服务器端请求伪造漏洞、IBM Cognos Analytics日志注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Adobe产品安全漏洞
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。上周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞在浏览器上下文中执行恶意JavaScript。
CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2022-91149、CNVD-2022-91148、CNVD-2022-91147、CNVD-2022-91146、CNVD-2022-91152、CNVD-2022-91151、CNVD-2022-91150、CNVD-2022-91156)。目前,厂商已经发布了上述漏洞的修补程序。
LibreNMS命令注入漏洞(CNVD-2022-91160)
LibreNMS是LibreNMS社区的一套基于PHP和MySQL的开源网络监控系统。该系统具有自定义警报、自动发现网络环境和自动更新等特点。上周,LibreNMS被披露存在命令注入漏洞,该漏洞源于service_ip、hostname和service_param参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Siemens产品被披露存在多个漏洞,攻击者可利用漏洞以root权限执行任意系统命令,在应用程序崩溃时发送消息并创建拒绝服务条件等。此外,Google、IBM、Adobe等多款产品被披露存在多个漏洞,攻击者可利用漏洞向内部网络或本地文件系统发出任意请求,获取敏感信息,提升权限,在系统上执行任意代码,造成拒绝服务等。另外,LibreNMS被披露存在命令注入漏洞。攻击者可利用漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、新华网、中国光大银行、北京银行微银行、江苏银行、贵州银行、锦州银行、广东农信报道