国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞405个,互联网上出现“FacturaScripts跨站脚本漏洞(CNVD-2022-76230)、Survey Sparrow Enterprise Survey Software跨站脚本漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。


(资料图片)

一周行业要闻速览

【反诈】视频换脸、合成语音……“AI技术”诈骗要警惕!

随着现代科技飞速发展,一些不法分子利用音频、视频读取合成技术,把搜集到的人脸、声音等信息合成到一起,变成他们谋财的手段,这就是新型“AI技术”诈骗,小编特意给大家搜集整理了3类常见骗局,不可不防!>>详细

【新市民小课堂】小心!揭秘骗子“洗钱”套路,远离洗钱陷阱

不随意出借身份证供他人使用。不轻信、不参与所谓资本运作传销项目,不提供资金转移交易。>>详细

投资理财类诈骗真相:你贪收益,他图本金!

银行存款利率不够高?有没有更高收益的产品?有人为追求资金高收益,通过网络搜索高收益“理财产品”或者通过微信群跟着“投资专家”理财,殊不知落入诈骗圈套,本金一去不复返!>>详细

以案说险!“双十一”防骗攻略请查收

妥善保管好自已的身份证件、手机、银行卡、密码。不向银行和支付机构业务流程外的任何渠道提供银行卡密码和手机验证码。>>详细

鲤想金融小课堂:冒充电商客服诈骗

对对方发来的网站链接和二维码首先不要轻信,谨慎点开,不要随意下载APP,不要相信来历不明的网站里的内容。>>详细

CFCA云证签:移动端轻量化CA认证产品 打开APP即扫即签!

中国金融认证中心(CFCA)陆续推出了云证通、Fido+、手机盾等手机端证书认证产品,通过提供SDK软件开发工具包(Software Development Kit),由业务方APP进行开发集成,为业务方APP提供证书认证、生物识别等功能。>>详细

警惕!莫要沦为“跑分”工具人,警银协作成功打击贩卡团伙

多知道、多了解、多掌握一些电信网络诈骗防范知识,面对诈骗做到不轻信、不透露、不转账。>>详细

安全威胁播报

上周漏洞基本情况

上周(2022年11月7日-11月13日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞405个,其中高危漏洞172个、中危漏洞169个、低危漏洞64个。漏洞平均分值为6.09。上周收录的漏洞中,涉及0day漏洞311个(占77%),其中互联网上出现“FacturaScripts跨站脚本漏洞(CNVD-2022-76230)、Survey Sparrow Enterprise Survey Software跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

F5产品安全漏洞

F5 F5OS-A是美国F5公司的一种操作系统软件。F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS,远程接入策略管理等功能的应用交付平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取对Docker注册表的只读访问权,导致服务降级,从而导致BIG-IP系统上的拒绝服务等。

CNVD收录的相关漏洞包括:F5 F5OS-A信息泄露漏洞、F5 BIG-IP资源管理错误漏洞(CNVD-2022-74967、CNVD-2022-74965)、F5 BIG-IP输入验证错误漏洞(CNVD-2022-74966)、F5 BIG-IP路径遍历漏洞、F5 BIG-IP代码问题漏洞(CNVD-2022-74968)、F5 BIG-IP iControl SOAP目录遍历漏洞、F5 BIG-IP APM资源管理错误漏洞(CNVD-2022-74964)。目前,厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows SMB Server是美国微软(Microsoft)公司的一个网络文件共享协议。它允许计算机上的应用程序读取和写入文件以及从计算机网络中的服务器程序请求服务。Microsoft Windows是美国微软(Microsoft)公司的一种桌面操作系统。Microsoft Windows Remote Desktop Protocol(RDP)是美国微软(Microsoft)公司的一款用于连接远程Windows桌面的应用。Microsoft Windows Network File System是美国微软(Microsoft)公司的一种文件共享解决方案,可让您使用 NFS 协议在运行 Windows Server 和 UNIX 操作系统的计算机之间传输文件。Microsoft Graphics Components是美国微软(Microsoft)公司的图形驱动组件。Microsoft Dynamics是美国微软(Microsoft)公司的一套适用于跨国企业的ERP业务解决方案。该产品包括财务管理、生产管理和商业智能管理等。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:Microsoft Windows SMB远程代码执行漏洞(CNVD-2022-74599、CNVD-2022-74598、CNVD-2022-74596)、Microsoft Windows Server Service远程代码执行漏洞、Microsoft Windows Remote Desktop Protocol远程代码执行漏洞、Microsoft Windows Network File System远程代码执行漏洞(CNVD-2022-74601)、Microsoft Windows Graphics组件远程代码执行漏洞(CNVD-2022-74593)、Microsoft Dynamics 365 (on-premises)远程代码执行漏洞。其中,“Microsoft Windows Server Service远程代码执行漏洞、Microsoft Windows Remote Desktop Protocol远程代码执行漏洞、Microsoft Windows Network File System远程代码执行漏洞(CNVD-2022-74601)、Microsoft Windows Graphics组件远程代码执行漏洞(CNVD-2022-74593)、Microsoft Dynamics 365 (on-premises)远程代码执行漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache UIMA是美国阿帕奇(Apache)基金会的一个组件化的软件架构。用于分析同终端用户相关联的大容量非结构化信息。Apache Traffic Server(ATS或TS)是一个高性能的、模块化的HTTP代理和缓存服务器,与Nginx和Squid类似。Traffic Server最初是Inktomi公司的商业产品,该公司在2003年被Yahoo收购,2009年8月Yahoo向Apache软件基金会(ASF)贡献了源代码,并于2010年4月成为了ASF的顶级项目(Top-LevelProject)。 Apache TrafficServer现在是一个开源项目,开发语言为C++。Apache NiFi是一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。Apache JSPWiki是美国阿帕奇(Apache)基金会的一款基于Java、Servlet和JSP构建的开源WikiWiki引擎。Apache Isis是美国阿帕奇(Apache)基金会的一个用于在Java中快速开发领域驱动应用程序的框架。Apache Hadoop是美国阿帕奇(Apache)基金会的一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,使用精心设计的ZIP条目名称在指定目标目录之外创建文件,执行任意命令等。

CNVD收录的相关漏洞包括:Apache UIMA路径遍历漏洞、Apache Traffic Server输入验证漏洞(CNVD-2022-76238)、Apache NiFi存在命令执行漏洞、Apache JSPWiki跨站请求伪造漏洞(CNVD-2022-76239)、Apache Isis授权问题漏洞、Apache Isis跨站脚本漏洞、Apache Hadoop代码问题漏洞、Apache Airflow输入验证错误漏洞。其中,“Apache UIMA路径遍历漏洞、Apache Traffic Server输入验证漏洞(CNVD-2022-76238)、Apache NiFi存在命令执行漏洞、Apache JSPWiki跨站请求伪造漏洞(CNVD-2022-76239)、Apache Hadoop代码问题漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Parasolid是一个3D几何建模工具,它支持多种技术,包括实体建模、直接编辑和自由曲面/表建模。JT2Go是一个3D JT查看工具,允许用户查看JT、PDF、Solid Edge、PLM XML以及可用的JT、VFZ、CGM和TIF数据。Teamcenter Visualization使企业能够通过全面的可视化解决方案系列增强其产品生命周期管理 (PLM) 环境。该软件使企业用户能够在单一环境中访问文档、2D图纸和3D模型。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。

CNVD收录的相关漏洞包括:Siemens Parasolid越界写入漏洞、Siemens Parasolid越界读取漏洞、Siemens JT2Go and Teamcenter Visualization越界写入漏洞、Siemens JT2Go and Teamcenter Visualization越界读取漏洞(CNVD-2022-75551、CNVD-2022-75550)、Siemens JT2Go and Teamcenter Visualization免费后使用漏洞、Siemens JT2Go and Teamcenter Visualization缓冲区溢出漏洞(CNVD-2022-75548、CNVD-2022-75553)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

Tenda AC18远程命令执行漏洞

Tenda AC18是中国腾达(Tenda)公司的一款路由器。上周,Tenda AC18被披露存在远程命令执行漏洞。攻击者可利用该漏洞在系统上执行任意命令。目前,厂商尚未发布上述漏洞的修补程序。

小结

上周,F5产品被披露存在多个漏洞,攻击者可利用漏洞获取对Docker注册表的只读访问权,导致服务降级,从而导致BIG-IP系统上的拒绝服务等。此外,Microsoft 、Apache、Siemens等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,使用精心设计的ZIP条目名称在指定目标目录之外创建文件,执行任意命令等。另外,Tenda AC18被披露存在远程命令执行漏洞。攻击者可利用漏洞在系统上执行任意命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国农业银行、中国邮政储蓄银行、中国光大银行、广发银行、廊坊银行掌上资讯、杭州银行微讯报道

推荐内容