國(guó)家信息安全漏洞共享平臺(tái)上周共收集����、整理信息安全漏洞534個(gè)��,互聯(lián)網(wǎng)上出現(xiàn)“Hoosk CMS任意文件上傳漏洞����、Resort Reservation System跨站腳本漏洞”等零日代碼攻擊漏洞,上周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中��。中國(guó)電子銀行網(wǎng)為您梳理過(guò)去一周的信息安全行業(yè)要聞并告警重要漏洞�����,深入探討信息安全知識(shí)���。
一周行業(yè)要聞速覽
(資料圖片僅供參考)
金融AIGC調(diào)研:機(jī)構(gòu)對(duì)GPT需求迫切��,“AI換臉”敲響安全警鐘
我們迫切需要重構(gòu)人工智能信任����,在技術(shù)上、制度上有效對(duì)抗AI虛假���,建立防范AI操縱的防火墻��,維護(hù)數(shù)字經(jīng)濟(jì)時(shí)代的國(guó)家安全與金融業(yè)安全���。>>詳細(xì)
AI時(shí)代,眼見(jiàn)一定為實(shí)嗎���?
AI詐騙層出不窮���,但再高明的騙局,總會(huì)有破局之法��。>>詳細(xì)
緊急提醒|網(wǎng)聊10分鐘被騙430萬(wàn)�,警惕AI新騙局!
明明已經(jīng)和借錢(qián)的朋友視頻過(guò)��,怎么還是被騙了錢(qián)?注意! !現(xiàn)在人臉也能被盜用���,新型AI電信詐騙正在悄悄蔓延! >>詳細(xì)
【防詐騙】欺詐套路再升級(jí)����,新型刷單騙局要提防
請(qǐng)?zhí)岣呔?��,不要輕信任何涉及以上刷單套路的虛假信息���,不輕信網(wǎng)絡(luò)中陌生人說(shuō)辭,避免遭受資金損失�。>>詳細(xì)
“AI換臉”調(diào)查:“丟臉”同時(shí)暗藏“丟錢(qián)”風(fēng)險(xiǎn) 券商提示警惕高仿真詐騙手段
受訪專家普遍認(rèn)為,“AI換臉”技術(shù)的濫用給金融機(jī)構(gòu)敲響了警鐘�,其復(fù)雜性、隱蔽性���、突發(fā)性對(duì)機(jī)構(gòu)的科技識(shí)別及運(yùn)用提出了更高的要求���。>>詳細(xì)
老年消費(fèi)者注意 這三類詐騙陷阱或許就在您身邊
一方面不信“偏門(mén)”,辦理各類金融業(yè)務(wù)一定要通過(guò)正規(guī)機(jī)構(gòu)和渠道��;不貪“小利”����,謹(jǐn)記“天上不會(huì)掉餡餅”的道理。另一方面多了解金融常識(shí),從正規(guī)渠道了解金融產(chǎn)品和辦理流程����,提高防范風(fēng)險(xiǎn)能力。>>詳細(xì)
關(guān)于發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》的通知
本《實(shí)踐指南》給出了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的評(píng)估思路���、工作流程和評(píng)估內(nèi)容�����。>>詳細(xì)
謹(jǐn)防電信網(wǎng)絡(luò)詐騙���,小心踩入“圈套”!
不明APP不下載���,不明鏈接不點(diǎn)擊�。如遇可疑情況����,要多和家人、朋友溝通商議并及時(shí)報(bào)警�,以免遭到不法侵害。>>詳細(xì)
安全威脅播報(bào)
上周漏洞基本情況
上周(2023年5月22日-28日)信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中�����。國(guó)家信息安全漏洞共享平臺(tái)(以下簡(jiǎn)稱CNVD)上周共收集、整理信息安全漏洞534個(gè)���,其中高危漏洞228個(gè)�����、中危漏洞284個(gè)、低危漏洞22個(gè)�����。漏洞平均分值為6.36�����。上周收錄的漏洞中��,涉及0day漏洞417個(gè)(占78%)�,其中互聯(lián)網(wǎng)上出現(xiàn)“Hoosk CMS任意文件上傳漏洞、Resort Reservation System跨站腳本漏洞”等零日代碼攻擊漏洞��。
上周重要漏洞安全告警
Adobe產(chǎn)品安全漏洞
Adobe Substance 3D Painter是美國(guó)奧多比(Adobe)公司的一個(gè)3D紋理處理應(yīng)用程序�。Adobe Dimension是美國(guó)奧多比(Adobe)公司的一套2D和3D合成設(shè)計(jì)工具��。上周�����,上述產(chǎn)品被披露存在越界讀取漏洞�����,攻擊者可利用漏洞執(zhí)行任意代碼�。
CNVD收錄的相關(guān)漏洞包括:Adobe Substance 3D Painter越界讀取漏洞(CNVD-2023-40147����、CNVD-2023-40146、CNVD-2023-40149����、CNVD-2023-40152、CNVD-2023-41408)�����、Adobe Dimension越界讀取漏洞(CNVD-2023-41413���、CNVD-2023-41416�����、CNVD-2023-41414)��。上述漏洞的綜合評(píng)級(jí)為“高?!薄D壳?����,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序�����。
Cisco產(chǎn)品安全漏洞
Cisco Identity Services Engine(ISE)是美國(guó)思科(Cisco)公司的一款環(huán)境感知平臺(tái)(ISE身份服務(wù)引擎)����。該平臺(tái)通過(guò)收集網(wǎng)絡(luò)��、用戶和設(shè)備中的實(shí)時(shí)信息���,制定并實(shí)施相應(yīng)策略來(lái)監(jiān)管網(wǎng)絡(luò)��。Cisco Small Business是美國(guó)思科(Cisco)公司的一個(gè)交換機(jī)����。Cisco DNA Center是美國(guó)思科(Cisco)公司的一個(gè)網(wǎng)絡(luò)管理和命令中心服務(wù)。上周����,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞從受影響設(shè)備的文件系統(tǒng)下載任意文件��,對(duì)底層操作系統(tǒng)執(zhí)行命令注入攻擊��,并將權(quán)限提升到root等�����。
CNVD收錄的相關(guān)漏洞包括:Cisco Identity Services Engine命令注入漏洞(CNVD-2023-40185��、CNVD-2023-40187)����、Cisco Identity Services Engine路徑遍歷漏洞(CNVD-2023-40184、CNVD-2023-40186)�����、Cisco Identity Services Engine授權(quán)繞過(guò)漏洞(CNVD-2023-40191)��、Cisco Identity Services Engine任意文件下載漏洞、Cisco Small Business拒絕服務(wù)漏洞(CNVD-2023-40906)�、Cisco DNA Center命令執(zhí)行漏洞。其中����,“Cisco Identity Services Engine命令注入漏洞(CNVD-2023-40187)、Cisco Small Business拒絕服務(wù)漏洞(CNVD-2023-40906)”的綜合評(píng)級(jí)為“高?��!?�。目前�,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序���。
SAP產(chǎn)品安全漏洞
SAP Application Interface Framework(SAP AIF)是德國(guó)思愛(ài)普(SAP)公司的一個(gè)應(yīng)用程序接口框架。SAP BusinessObjects Platform是德國(guó)思愛(ài)普(SAP)公司的一個(gè)用于數(shù)據(jù)報(bào)告���、可視化和共享的集中式套件��。SAP Web Dispatcher是德國(guó)思愛(ài)普(SAP)公司的Load Balancing的核心組件�����,支持負(fù)載均衡��,提供反向代理的功能�����,使得外網(wǎng)用戶可以訪問(wèn)到內(nèi)部應(yīng)用��。SAP NetWeaver AS是德國(guó)思愛(ài)普(SAP)公司的一款SAP網(wǎng)絡(luò)應(yīng)用服務(wù)器��。它不僅能提供網(wǎng)絡(luò)服務(wù)��,且還是SAP軟件的基本平臺(tái)����。上周,上述產(chǎn)品被披露存在多個(gè)漏洞���,攻擊者可利用漏洞獲取敏感信息��,覆蓋操作系統(tǒng)文件���,導(dǎo)致系統(tǒng)不可用等。
CNVD收錄的相關(guān)漏洞包括:SAP Application Interface Framework信息泄露漏洞�、SAP BusinessObjects Platform信息泄露漏洞、SAP Web Dispatcher訪問(wèn)控制錯(cuò)誤漏洞、SAP NetWeaver AS資源管理錯(cuò)誤漏洞�、SAP NetWeaver AS訪問(wèn)控制錯(cuò)誤漏洞(CNVD-2023-40162)、SAP NetWeaver AS跨站腳本漏洞(CNVD-2023-40169)��、SAP NetWeaver AS路徑遍歷漏洞�、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞(CNVD-2023-40166)。其中��,“SAP NetWeaver AS路徑遍歷漏洞�、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞(CNVD-2023-40166)”的綜合評(píng)級(jí)為 “高危”���。目前�����,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序�����。
Schneider Electric產(chǎn)品安全漏洞
Schneider Electric Conext Gateway是法國(guó)施耐德電氣(Schneider Electric)公司的一系列網(wǎng)關(guān)設(shè)備。Schneider Electric EcoStruxure Control Expert是法國(guó)施耐德電氣(Schneider Electric)公司的一套用于Schneider Electric邏輯控制器產(chǎn)品的編程軟件��。Schneider Electric Easy UPS Online Monitoring Software是法國(guó)施耐德電氣(Schneider Electric)公司的一款電源監(jiān)控軟件�����。Schneider Electric Easergy Builder是法國(guó)施耐德電氣(Schneider Electric)公司的一套用于Easergy遠(yuǎn)程終端單元和控制器的配置軟件。Schneider Electric SoMachine HVAC是法國(guó)施耐德電氣(Schneider Electric)公司的一套專用于Schneider Electric邏輯控制器的編程軟件�����。Schneider Electric Conext ComBox是法國(guó)施耐德電氣(Schneider Electric)公司的一款通信和監(jiān)控設(shè)備�����。Schneider Electric OPC Factory Server是法國(guó)施耐德電氣(Schneider Electric)公司的一種軟件應(yīng)用程序���。上周����,上述產(chǎn)品被披露存在多個(gè)漏洞�,攻擊者可利用漏洞對(duì)文件系統(tǒng)進(jìn)行未經(jīng)授權(quán)的讀取訪問(wèn),執(zhí)行任意代碼�����,導(dǎo)致拒絕服務(wù)等�。
CNVD收錄的相關(guān)漏洞包括:Schneider Electric Conext Gateway輸入驗(yàn)證錯(cuò)誤漏洞、Schneider Electric EcoStruxure Control Expert拒絕服務(wù)漏洞�、Schneider Electric EcoStruxure Control Expert代碼執(zhí)行漏洞、Schneider Electric Easy UPS Online Monitoring Software訪問(wèn)控制錯(cuò)誤漏洞、Schneider Electric Easergy Builder代碼問(wèn)題漏洞��、Schneider Electric SoMachine HVAC緩沖區(qū)溢出漏洞���、Schneider Electric Conext ComBox跨站請(qǐng)求偽造漏洞����、Schneider Electric OPC Factory Server XML外部實(shí)體注入漏洞���。其中�����,除“Schneider Electric EcoStruxure Control Expert拒絕服務(wù)漏洞��、Schneider Electric Easergy Builder代碼問(wèn)題漏洞�、Schneider Electric OPC Factory Server XML外部實(shí)體注入漏洞”外��,其余漏洞的綜合評(píng)級(jí)為“高?�!?���。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序���。
TOTOLINK A3300R命令注入漏洞
TOTOLINK A3300R是中國(guó)吉翁電子(TOTOLINK)公司的一款無(wú)線路由器�����。上周����,TOTOLINK A3300R被披露存在命令注入漏洞����。該漏洞源于請(qǐng)求/cgi-bin/cstecgi.cgi的setddnscfg函數(shù)未能正確過(guò)濾構(gòu)造命令特殊字符、命令等���。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行�。目前�����,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序����。
小結(jié)
上周�,Adobe產(chǎn)品被披露存在多個(gè)漏洞�,攻擊者可利用漏洞執(zhí)行任意代碼。此外���,Cisco�����、SAP��、Schneider Electric等多款產(chǎn)品被披露存在多個(gè)漏洞�����,攻擊者可利用漏洞獲取敏感信息�,覆蓋操作系統(tǒng)文件����,執(zhí)行任意代碼,導(dǎo)致拒絕服務(wù)等����。另外,TOTOLINK A3300R被披露存在命令注入漏洞��。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁(yè)�,及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。
中國(guó)電子銀行網(wǎng)綜合CNVD��、21世紀(jì)經(jīng)濟(jì)報(bào)道�、證券日?qǐng)?bào)�、信安標(biāo)委、中國(guó)銀聯(lián)���、中國(guó)工商銀行���、交通銀行、中信銀行微生活��、江蘇轄區(qū)農(nóng)商銀行報(bào)道
關(guān)鍵詞:
營(yíng)業(yè)執(zhí)照公示信息