国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞381个,互联网上出现“Tenda AC18堆栈溢出漏洞、Eolinker goku_lite SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
(资料图片)
一周行业要闻速览
【收藏】警惕养老诈骗,护航幸福生活
老年人不要随意添加陌生人为好友,更不要随意加入任何投资理财、低价购物等相关的社交群。>>详细
关于开展网络安全服务认证工作的实施意见
市场监管总局、中央网信办、工业和信息化部、公安部根据职责,加强认证工作的组织实施和监督管理,鼓励网络运营者等广泛采信网络安全服务认证结果,促进网络安全服务产业健康有序发展。>>详细
人民银行召开2023年反洗钱工作电视会议
持续提升反洗钱监测分析能力,进一步完善反洗钱数据使用和管理;七是持续加强调查研究,提升基础工作实效。>>详细
3句话,让我躲过了穿着“数币”马甲的新骗局
数字人民币是法定货币,与纸钞和硬币等价,没有收藏及炒作价值,任何关于利用数币推广“获利、返现、缴纳保证金”的均为欺诈,如发现上当受骗,及时报警。>>详细
叮咚!您有一封防诈骗来信,请查收
无论对方以怎样的理由通过电话或者网络联系你,当其最终要求你进行转账支付时,请提高警惕!>>详细
【干货】消保知识之漫谈《银行保险机构消费者权益保护管理办法》
《银行保险机构消费者权益保护管理办法》切实贯彻了“以人民为中心”的发展思想,充实了审慎监管与行为监管并重的监管体系,切实保护了金融消费者的合法权益。>>详细
消保小课堂丨倡导理性消费 珍视个人信用
不良记录主要是在借贷、赊购、担保、租赁、保险、使用信用卡等活动中未按照合同履行义务或未承担相关责任所产生的。>>详细
【提示】警惕“反催收”黑产诈骗
“反催收”诈骗组织会根据所谓业务需要收集您的身份信息、电话号码、银行卡号甚至征信报告内容,存在个人信息泄露的隐患。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年3月20日-26日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞381个,其中高危漏洞161个、中危漏洞180个、低危漏洞40个。漏洞平均分值为6.34。上周收录的漏洞中,涉及0day漏洞331个(占87%),其中互联网上出现“Tenda AC18堆栈溢出漏洞、Eolinker goku_lite SQL注入漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,造成拒绝服务。
CNVD收录的相关漏洞包括:Google Android信息泄露漏洞(CNVD-2023-18906)、Google Android拒绝服务漏洞(CNVD-2023-18908、CNVD-2023-18909)、Google Android权限提升漏洞(CNVD-2023-18910、CNVD-2023-18915、CNVD-2023-18912、CNVD-2023-18913、CNVD-2023-18914)。其中,除“Google Android信息泄露漏洞(CNVD-2023-18906)、Google Android拒绝服务漏洞(CNVD-2023-18908、CNVD-2023-18909)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Microsoft产品安全漏洞
Microsoft Windows Bluetooth Service是美国微软(Microsoft)公司的一个蓝牙驱动程序。Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。Microsoft Windows是一款由美国微软公司开发的窗口化操作系统。Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在目标主机上执行代码。
CNVD收录的相关漏洞包括:Microsoft Windows Bluetooth Service代码执行漏洞、Microsoft Exchange Server远程代码执行漏洞(CNVD-2023-18284)、Microsoft Office信息泄露漏洞(CNVD-2023-18285)、Microsoft Windows Malicious Software Removal Tool权限提升漏洞、Microsoft Office远程代码执行漏洞(CNVD-2023-18287、CNVD-2023-18288)、Microsoft Office Visio远程代码执行漏洞(CNVD-2023-18289)、Microsoft Windows Kernel权限提升漏洞(CNVD-2023-18290)。其中,除“Microsoft Office信息泄露漏洞(CNVD-2023-18285)、Microsoft Windows Malicious Software Removal Tool权限提升漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Fortinet产品安全漏洞
Fortinet FortiWeb是美国飞塔(Fortinet)公司的一款Web应用层防火墙,它能够阻断如跨站点脚本、SQL注入、Cookie中毒、schema中毒等攻击的威胁。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过特制的HTTP GET请求获取对文件和数据的未经授权访问,提升权限,执行任意代码或命令等。
CNVD收录的相关漏洞包括:Fortinet FortiWeb操作系统命令注入漏洞(CNVD-2023-18291)、Fortinet FortiWeb格式化字符串错误漏洞、Fortinet FortiWeb缓冲区溢出漏洞(CNVD-2023-18294、CNVD-2023-18297、CNVD-2023-18301、CNVD-2023-18300)、Fortinet FortiWeb路径遍历漏洞(CNVD-2023-18293)、Fortinet FortiWeb资源管理错误漏洞。其中,“Fortinet FortiWeb操作系统命令注入漏洞(CNVD-2023-18291)、Fortinet FortiWeb缓冲区溢出漏洞(CNVD-2023-18294、CNVD-2023-18297、CNVD-2023-18300)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Siemens产品安全漏洞
Siemens Tecnomatix Plant Simulation是德国西门子(Siemens)公司的一个工控设备。利用离散事件仿真的功能进行生产量分析和优化,进而改善制造系统性能。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。
CNVD收录的相关漏洞包括:Siemens Tecnomatix Plant Simulation堆栈缓冲区溢出漏洞(CNVD-2023-18928、CNVD-2023-18933)、Siemens Tecnomatix Plant Simulation越界读取漏洞(CNVD-2023-18929、CNVD-2023-18932、CNVD-2023-18935)、Siemens Tecnomatix Plant Simulation越界写入漏洞(CNVD-2023-18930、CNVD-2023-18931)、Siemens Tecnomatix Plant Simulation内存破坏漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
TRENDnet TEW-755AP缓冲区溢出漏洞
TRENDnet TEW-755AP是美国趋势网络(TRENDnet)公司的一款路由器。上周,TRENDnet TEW-755AP被披露存在缓冲区溢出漏洞。该漏洞源于wifi_captive_portal函数中的user_edit_page参数对输入的数据缺乏大小检查,攻击者可利用该漏洞在系统上执行任意代码。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Google产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,造成拒绝服务。此外,Microsoft、Fortinet、Siemens等多款产品被披露存在多个漏洞,攻击者可利用漏洞通过特制的HTTP GET请求获取对文件和数据的未经授权访问,提升权限,执行任意代码或命令等。另外,TRENDnet TEW-755AP被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞在系统上执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、中国人民银行、国家认监委、中国建设银行、广发银行、杭州银行微讯、蒙商银行、泉州银行、昆仑银行报道