國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞534個，互聯(lián)網(wǎng)上出現(xiàn)“Hoosk CMS任意文件上傳漏洞、Resort Reservation System跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞，深入探討信息安全知識。

一周行業(yè)要聞速覽

(資料圖片僅供參考)

金融AIGC調(diào)研：機(jī)構(gòu)對GPT需求迫切，“AI換臉”敲響安全警鐘

我們迫切需要重構(gòu)人工智能信任，在技術(shù)上、制度上有效對抗AI虛假，建立防范AI操縱的防火墻，維護(hù)數(shù)字經(jīng)濟(jì)時代的國家安全與金融業(yè)安全。>>詳細(xì)

AI時代，眼見一定為實嗎？

AI詐騙層出不窮，但再高明的騙局，總會有破局之法。>>詳細(xì)

緊急提醒｜網(wǎng)聊10分鐘被騙430萬，警惕AI新騙局！

明明已經(jīng)和借錢的朋友視頻過，怎么還是被騙了錢?注意! !現(xiàn)在人臉也能被盜用，新型AI電信詐騙正在悄悄蔓延! >>詳細(xì)

【防詐騙】欺詐套路再升級，新型刷單騙局要提防

請?zhí)岣呔?，不要輕信任何涉及以上刷單套路的虛假信息，不輕信網(wǎng)絡(luò)中陌生人說辭，避免遭受資金損失。>>詳細(xì)

“AI換臉”調(diào)查：“丟臉”同時暗藏“丟錢”風(fēng)險 券商提示警惕高仿真詐騙手段

受訪專家普遍認(rèn)為，“AI換臉”技術(shù)的濫用給金融機(jī)構(gòu)敲響了警鐘，其復(fù)雜性、隱蔽性、突發(fā)性對機(jī)構(gòu)的科技識別及運(yùn)用提出了更高的要求。>>詳細(xì)

老年消費(fèi)者注意 這三類詐騙陷阱或許就在您身邊

一方面不信“偏門”，辦理各類金融業(yè)務(wù)一定要通過正規(guī)機(jī)構(gòu)和渠道；不貪“小利”，謹(jǐn)記“天上不會掉餡餅”的道理。另一方面多了解金融常識，從正規(guī)渠道了解金融產(chǎn)品和辦理流程，提高防范風(fēng)險能力。>>詳細(xì)

關(guān)于發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引》的通知

本《實踐指南》給出了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估的評估思路、工作流程和評估內(nèi)容。>>詳細(xì)

謹(jǐn)防電信網(wǎng)絡(luò)詐騙，小心踩入“圈套”！

不明APP不下載，不明鏈接不點擊。如遇可疑情況，要多和家人、朋友溝通商議并及時報警，以免遭到不法侵害。>>詳細(xì)

安全威脅播報

上周漏洞基本情況

上周（2023年5月22日-28日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞534個，其中高危漏洞228個、中危漏洞284個、低危漏洞22個。漏洞平均分值為6.36。上周收錄的漏洞中，涉及0day漏洞417個（占78%），其中互聯(lián)網(wǎng)上出現(xiàn)“Hoosk CMS任意文件上傳漏洞、Resort Reservation System跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產(chǎn)品安全漏洞

Adobe Substance 3D Painter是美國奧多比（Adobe）公司的一個3D紋理處理應(yīng)用程序。Adobe Dimension是美國奧多比（Adobe）公司的一套2D和3D合成設(shè)計工具。上周，上述產(chǎn)品被披露存在越界讀取漏洞，攻擊者可利用漏洞執(zhí)行任意代碼。

CNVD收錄的相關(guān)漏洞包括：Adobe Substance 3D Painter越界讀取漏洞（CNVD-2023-40147、CNVD-2023-40146、CNVD-2023-40149、CNVD-2023-40152、CNVD-2023-41408）、Adobe Dimension越界讀取漏洞（CNVD-2023-41413、CNVD-2023-41416、CNVD-2023-41414）。上述漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Cisco產(chǎn)品安全漏洞

Cisco Identity Services Engine（ISE）是美國思科（Cisco）公司的一款環(huán)境感知平臺（ISE身份服務(wù)引擎）。該平臺通過收集網(wǎng)絡(luò)、用戶和設(shè)備中的實時信息，制定并實施相應(yīng)策略來監(jiān)管網(wǎng)絡(luò)。Cisco Small Business是美國思科（Cisco）公司的一個交換機(jī)。Cisco DNA Center是美國思科（Cisco）公司的一個網(wǎng)絡(luò)管理和命令中心服務(wù)。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞從受影響設(shè)備的文件系統(tǒng)下載任意文件，對底層操作系統(tǒng)執(zhí)行命令注入攻擊，并將權(quán)限提升到root等。

CNVD收錄的相關(guān)漏洞包括：Cisco Identity Services Engine命令注入漏洞（CNVD-2023-40185、CNVD-2023-40187）、Cisco Identity Services Engine路徑遍歷漏洞（CNVD-2023-40184、CNVD-2023-40186）、Cisco Identity Services Engine授權(quán)繞過漏洞（CNVD-2023-40191）、Cisco Identity Services Engine任意文件下載漏洞、Cisco Small Business拒絕服務(wù)漏洞（CNVD-2023-40906）、Cisco DNA Center命令執(zhí)行漏洞。其中，“Cisco Identity Services Engine命令注入漏洞（CNVD-2023-40187）、Cisco Small Business拒絕服務(wù)漏洞（CNVD-2023-40906）”的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

SAP產(chǎn)品安全漏洞

SAP Application Interface Framework（SAP AIF）是德國思愛普（SAP）公司的一個應(yīng)用程序接口框架。SAP BusinessObjects Platform是德國思愛普（SAP）公司的一個用于數(shù)據(jù)報告、可視化和共享的集中式套件。SAP Web Dispatcher是德國思愛普（SAP）公司的Load Balancing的核心組件，支持負(fù)載均衡，提供反向代理的功能，使得外網(wǎng)用戶可以訪問到內(nèi)部應(yīng)用。SAP NetWeaver AS是德國思愛普（SAP）公司的一款SAP網(wǎng)絡(luò)應(yīng)用服務(wù)器。它不僅能提供網(wǎng)絡(luò)服務(wù)，且還是SAP軟件的基本平臺。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，覆蓋操作系統(tǒng)文件，導(dǎo)致系統(tǒng)不可用等。

CNVD收錄的相關(guān)漏洞包括：SAP Application Interface Framework信息泄露漏洞、SAP BusinessObjects Platform信息泄露漏洞、SAP Web Dispatcher訪問控制錯誤漏洞、SAP NetWeaver AS資源管理錯誤漏洞、SAP NetWeaver AS訪問控制錯誤漏洞（CNVD-2023-40162）、SAP NetWeaver AS跨站腳本漏洞（CNVD-2023-40169）、SAP NetWeaver AS路徑遍歷漏洞、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞（CNVD-2023-40166）。其中，“SAP NetWeaver AS路徑遍歷漏洞、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞（CNVD-2023-40166）”的綜合評級為 “高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Schneider Electric產(chǎn)品安全漏洞

Schneider Electric Conext Gateway是法國施耐德電氣（Schneider Electric）公司的一系列網(wǎng)關(guān)設(shè)備。Schneider Electric EcoStruxure Control Expert是法國施耐德電氣（Schneider Electric）公司的一套用于Schneider Electric邏輯控制器產(chǎn)品的編程軟件。Schneider Electric Easy UPS Online Monitoring Software是法國施耐德電氣（Schneider Electric）公司的一款電源監(jiān)控軟件。Schneider Electric Easergy Builder是法國施耐德電氣（Schneider Electric）公司的一套用于Easergy遠(yuǎn)程終端單元和控制器的配置軟件。Schneider Electric SoMachine HVAC是法國施耐德電氣（Schneider Electric）公司的一套專用于Schneider Electric邏輯控制器的編程軟件。Schneider Electric Conext ComBox是法國施耐德電氣（Schneider Electric）公司的一款通信和監(jiān)控設(shè)備。Schneider Electric OPC Factory Server是法國施耐德電氣（Schneider Electric）公司的一種軟件應(yīng)用程序。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞對文件系統(tǒng)進(jìn)行未經(jīng)授權(quán)的讀取訪問，執(zhí)行任意代碼，導(dǎo)致拒絕服務(wù)等。

CNVD收錄的相關(guān)漏洞包括：Schneider Electric Conext Gateway輸入驗證錯誤漏洞、Schneider Electric EcoStruxure Control Expert拒絕服務(wù)漏洞、Schneider Electric EcoStruxure Control Expert代碼執(zhí)行漏洞、Schneider Electric Easy UPS Online Monitoring Software訪問控制錯誤漏洞、Schneider Electric Easergy Builder代碼問題漏洞、Schneider Electric SoMachine HVAC緩沖區(qū)溢出漏洞、Schneider Electric Conext ComBox跨站請求偽造漏洞、Schneider Electric OPC Factory Server XML外部實體注入漏洞。其中，除“Schneider Electric EcoStruxure Control Expert拒絕服務(wù)漏洞、Schneider Electric Easergy Builder代碼問題漏洞、Schneider Electric OPC Factory Server XML外部實體注入漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

TOTOLINK A3300R命令注入漏洞

TOTOLINK A3300R是中國吉翁電子（TOTOLINK）公司的一款無線路由器。上周，TOTOLINK A3300R被披露存在命令注入漏洞。該漏洞源于請求/cgi-bin/cstecgi.cgi的setddnscfg函數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。目前，廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。

小結(jié)

上周，Adobe產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞執(zhí)行任意代碼。此外，Cisco、SAP、Schneider Electric等多款產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，覆蓋操作系統(tǒng)文件，執(zhí)行任意代碼，導(dǎo)致拒絕服務(wù)等。另外，TOTOLINK A3300R被披露存在命令注入漏洞。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。建議相關(guān)用戶隨時關(guān)注上述廠商主頁，及時獲取修復(fù)補(bǔ)丁或解決方案。

中國電子銀行網(wǎng)綜合CNVD、21世紀(jì)經(jīng)濟(jì)報道、證券日報、信安標(biāo)委、中國銀聯(lián)、中國工商銀行、交通銀行、中信銀行微生活、江蘇轄區(qū)農(nóng)商銀行報道

關(guān)鍵詞：