国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞246个,互联网上出现“Simmeth System Supplier Manager SQL注入漏洞、Eolinker SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
【反诈】谨防兼职刷单、网购退款、冒充学校收费骗局
(资料图片)
反诈披巧:夸大宣传不轻信、天上不会掉馅饼、给点甜头是套路、兼职刷单不参与。>>详细
【反诈提醒】网络投资莫幻想,骗你掏钱没商量
“96110”是全国反诈专线,如遇96110”来电,说明您可能正在遭遇电信网络诈骗,一定要立即接听,防止被骗。>>详细
金中夏:金融开放与金融安全不是非此即彼的替代关系
中国人民银行国际司司长金中夏4月4日在2023中国金融学会学术年会暨中国金融论坛年会上表示,从我国的实践看,金融开放与金融安全不是一种非此即彼的替代关系。>>详细
2023南方金融科技创新论坛分论坛:聚焦金融安全与数智创新,洞察金融数字化转型新趋势
金融信息基础设施正常运行和安全保障,直接关系到国家安全和人民群众的切身利益。>>详细
安全课堂 | 警惕校园缴费新骗局,牢筑金融诈骗防火墙!
警惕校园缴费新骗局,牢筑金融诈骗防火墙!加强自我防范,提高防骗意识!>>详细
【以案说险】造假解“燃眉之急”,贷款切忌操之过急!
个人贷款资金用途应符合法律法规规定和国家有关政策规定,个人在提出贷款申请时,应当提供正确的资料用于审核,同时要有明确合法的贷款用途,不可隐瞒实情以免造成不必要的损失。>>详细
小鹰说反诈 | “做任务式”诈骗套路深
不法分子瞅准时机,利用人们赚取小钱的心理通过各种手段吸引群众上当受骗,其中最典型的套路就是做任务赚佣金。近期,网点协助客户识别了一起该类诈骗,及时帮助客户资金止损。>>详细
防诈|我拿你当客户,你竟然想骗我的钱?
不要随意在网上发布第三方支付软件收(付)款码。把付款码设置成密码支付,千万不要免密支付!可适度增加一些手势识别、刷脸等安全验证方式。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年3月27日-4月2日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞246个,其中高危漏洞141个、中危漏洞90个、低危漏洞15个。漏洞平均分值为6.83。上周收录的漏洞中,涉及0day漏洞198个(占80%),其中互联网上出现“Simmeth System Supplier Manager SQL注入漏洞、Eolinker SQL注入漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Adobe产品安全漏洞
Adobe Dimension是美国奥多比(Adobe)公司的是一套2D和3D合成设计工具。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码。
CNVD收录的相关漏洞包括:Adobe Dimension输入验证错误漏洞(CNVD-2023-21649、CNVD-2023-21651)、Adobe Dimension越界写入漏洞(CNVD-2023-21650)、Adobe Dimension堆缓冲区溢出漏洞、Adobe Dimension越界读取漏洞(CNVD-2023-21654、CNVD-2023-21658、CNVD-2023-21656、CNVD-2023-21657)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
D-Link产品安全漏洞
D-Link DIR-2150是D-Link公司的一个无线路由器设备。D-Link DWL-2600AP是一款无线接入点设备。D-Link DIR-846是一款无线路由器。D-Link DIR-825是一款路由器。D-Link DIR-823G是一款无线路由器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过特制数据包执行任意命令,在root上下文中执行代码等。
CNVD收录的相关漏洞包括:D-Link DIR-2150缓冲区溢出漏洞、D-Link DIR-2150缓冲区溢出漏洞(CNVD-2023-21662、CNVD-2023-21663)、D-Link DIR-2150操作系统命令注入漏洞(CNVD-2023-21660、CNVD-2023-21661)、D-Link DWL-2600AP命令注入漏洞、D-Link DIR-846命令注入漏洞(CNVD-2023-21666)、D-Link DIR-825缓冲区溢出漏洞(CNVD-2023-21665)、D-Link DIR-823G命令注入漏洞(CNVD-2023-21667)。其中,除“D-Link DWL-2600AP命令注入漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
IBM产品安全漏洞
IBM Security Guardium Key ifecycle Manager是管理通过集中化、精简化和自动化来进行加密密钥管理流程,以帮助保护加密数据和简化加密密钥管理。IBM Security Guardium是一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Aspera是一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM WebSphere Application Server(WAS)是一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台,也是IBMWebSphere软件平台的基础。IBM Financial Transaction Manager是一款金融事务管理器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过使用特制URL导致拒绝服务,执行非法SQL命令窃取数据库敏感数据,执行任意命令等。
CNVD收录的相关漏洞包括:IBM Security Guardium Key Lifecycle Manager未授权访问漏洞、IBM Security Guardium信息泄露漏洞(CNVD-2023-20082)、IBM Security Guardium SQL注入漏洞(CNVD-2023-20081)、IBM Aspera XML外部实体注入漏洞、IBM Aspera Faspex SQL注入漏洞、IBM Aspera访问控制错误漏洞(CNVD-2023-20083)、IBM WebSphere Application Server输入验证错误漏洞(CNVD-2023-20087)、IBM Financial Transaction Manager目录遍历漏洞(CNVD-2023-20086)。其中,除“IBM Security Guardium Key Lifecycle Manager未授权访问漏洞、IBM Security Guardium信息泄露漏洞(CNVD-2023-20082)、IBM Security Guardium SQL注入漏洞(CNVD-2023-20081)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Tenda产品安全漏洞
Tenda Ax3是中国腾达(Tenda)公司的一款Ax1800千兆端口双频Wifi 6无线路由器。Tenda G103是一款企业级Ap路由器。Tenda AC18是一款路由器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的包获取敏感信息,导致远程代码执行或者拒绝服务等。
CNVD收录的相关漏洞包括:Tenda AX3缓冲区溢出漏洞(CNVD-2023-21669)、Tenda G103命令注入漏洞、Tenda AC18缓冲区溢出漏洞(CNVD-2023-21673、CNVD-2023-21672、CNVD-2023-21671、CNVD-2023-21675、CNVD-2023-21674、CNVD-2023-21676)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
LS ELECTRIC XBC-DN32U拒绝服务漏洞
LS ELECTRIC XBC-DN32U是韩国LS ELECTRIC公司的一款PLC可编程逻辑控制器。上周,LS ELECTRIC XBC-DN32U被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外,D-Link、IBM、Tenda等多款产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的包获取敏感信息,导致远程代码执行或者拒绝服务,执行任意命令等。另外,LS ELECTRIC XBC-DN32U被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、21世纪经济报道、中国证券报·中证网、中国工商银行客户服务、中国邮政储蓄银行、北京银行微银行、微青银、贵州银行、广东农信报道