國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞447個,互聯網上出現“Mediawiki輸入驗證錯誤漏洞(CNVD-2023-79688)、Diafan CMS跨站腳本漏洞”等零日代碼攻擊漏洞,上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞,深入探討信息安全知識。
一周行業要聞速覽
反詐手記 | “雙十一”來襲,小心“蟹”逅陷阱!
收到不明快遞時,不要隨意掃碼,或是添加陌生人好友,重點提醒家中長輩和孩童提高反詐意識,警惕不明快遞類詐騙。>>詳細
大偵探小發羊 | 5G沖浪“暗礁”多?廣發銀行守護銀發族乘風破“浪”,穩穩地!
陌生網址藏“玄機”,不明鏈接不點擊,網絡購物需謹慎,掃碼也常埋陷阱,反詐知識牢記于心,莫讓騙子有可乘之機!>>詳細
關于做好《商用密碼檢測機構管理辦法》和《商用密碼應用安全性評估管理辦法》實施工作的公告
按照《商用密碼檢測機構管理辦法》第三條有關規定,有意愿繼續從事商用密碼應用安全性評估業務的商用密碼應用安全性評估試點機構,應當于2023年11月30日前提交商用密碼檢測機構資質申請。>>詳細
2023金融科技安全與創新大會成功舉辦
大會圍繞金融數據安全、數字基礎設施建設、新一代人工智能技術應用等主題開展研討。>>詳細
【防范詐騙】 “12315”還有假?這是詐騙新套路!
近日,不少群眾反映,遭遇了退款詐騙“新套路”。詐騙分子自稱是“12315”維權平臺的客服,以“維權”“退款”為由誘導目標對象上鉤,最終造成群眾資金損失。>>詳細
反詐專欄 | 聽說刷個單就能白賺幾百?小心是電信詐騙!
不要輕信手機收到的陌生短信,不向陌生人轉賬,不隨意下載陌生軟件以防信息泄露或病毒攻擊,切記貪圖小利吃大虧!>>詳細
安全課堂 | 擦亮雙眼,識破“數字人民幣刷單”新型騙局!
數字人民幣是法定貨幣,與實物人民幣等價。無論何時何地,遇到數字人民幣獲利、返現、參與“數字人民幣交易所”等均為詐騙陷阱。>>詳細
江蘇銀行:聯合各地警方重拳打擊非法代理維權 協助查處多起案件
截至2023年10月,江蘇銀行已經聯合各地警方辦理了18起非法代理維權案,其中刑事立案3起,行政拘留2人,公安訓誡7人,違法行為人分布在廣東、山東、江蘇、浙江等多個地區,涉及多個非法代理維權機構。>>詳細
【知識】反詐七大公式,快轉給家人學習!
隨著科技高速發展,詐騙手段也層出不窮,為切實保障您的財產安全,讓我們共同提高識騙防騙能力,謹防上當受騙,江西·農商銀行帶您了解七大防詐騙公式。>>詳細
安全威脅播報
上周漏洞基本情況
上周(2023年10月23日-29日)信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集、整理信息安全漏洞447個,其中高危漏洞187個、中危漏洞249個、低危漏洞11個。漏洞平均分值為6.42。上周收錄的漏洞中,涉及0day漏洞387個(占87%),其中互聯網上出現“Mediawiki輸入驗證錯誤漏洞(CNVD-2023-79688)、Diafan CMS跨站腳本漏洞”等零日代碼攻擊漏洞。
上周重要漏洞安全告警
IBM產品安全漏洞
IBM App Connect Enterprise是美國國際商業機器(IBM)公司的一個操作系統。IBM App Connect Enterprise將現有業界信任的IBM Integration Bus技術與IBM App Connect Professional以及新的云本機技術進行了組合,提供一個可滿足現代數字企業全面集成需求的平臺。IBM Robotic Process Automation是美國國際商業機器(IBM)公司的一種機器人流程自動化產品。 IBM Integration Bus是美國IBM公司的一款企業服務總線(ESB)產品。該產品為面向服務架構(SOA)環境和非SOA環境提供連通性和通用數據轉換。IBM Sterling Partner Engagement Manager是美國國際商業機器(IBM)公司的一個自動化管理工具。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞從API日志中獲取敏感信息,進行拒絕服務攻擊,執行非法SQL命令獲取數據庫敏感數據。
CNVD收錄的相關漏洞包括:IBM App Connect Enterprise信息泄露漏洞、IBM Robotic Process Automation信息泄露漏洞(CNVD-2023-79713)、IBM App Connect Enterprise and IBM Integration Bus拒絕服務漏洞、IBM Robotic Process Automation授權問題漏洞(CNVD-2023-79715)、IBM Robotic Process Automation安全繞過漏洞、IBM Robotic Process Automation訪問控制錯誤漏洞(CNVD-2023-79718)、IBM Sterling Partner Engagement Manager拒絕服務漏洞、IBM Sterling Partner Engagement Manager SQL注入漏洞。其中,“IBM Robotic Process Automation訪問控制錯誤漏洞(CNVD-2023-79718)”漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Cisco產品安全漏洞
Cisco DNA Center是美國思科(Cisco)公司的一個網絡管理和命令中心服務。Cisco Identity Services Engine(ISE)是美國思科(Cisco)公司的一款環境感知平臺(ISE身份服務引擎)。該平臺通過收集網絡、用戶和設備中的實時信息,制定并實施相應策略來監管網絡。Cisco Catalyst SD-WAN Manager是一款開放、安全的云級架構管理控制臺。Cisco vManage是一個高度可定制的控制面板,可簡化并自動執行Cisco SD-WAN部署、配置、管理與運營。Cisco Catalyst是美國思科(Cisco)公司的一系列交換機。Cisco Emergency Responder是美國思科(Cisco)公司的一款應急響應框架。Cisco Wireless LAN Controller(WLC)是美國思科(Cisco)公司的一款無線局域網控制器產品。該產品在無線局域網中提供安全策略、入侵檢測等功能。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞提交特殊的請求,可讀取和修改數據庫數據,提升權限,讀取、寫入或刪除底層操作系統上的任意文件,并將其權限升級為root等。
CNVD收錄的相關漏洞包括:Cisco DNA Center API存在訪問控制錯誤漏洞、Cisco Identity Services Engine授權問題漏洞(CNVD-2023-79690)、Cisco Catalyst SD-WAN Manager本地文件包含漏洞、Cisco Catalyst SD-WAN Manager未授權訪問漏洞、Cisco Catalyst SD-WAN Manager授權繞過漏洞、Cisco Catalyst SD-WAN Manager HTML注入漏洞、Cisco Emergency Responder信任管理問題漏洞、Cisco Wireless LAN Controller緩沖區溢出漏洞。其中,“Cisco DNA Center API存在訪問控制錯誤漏洞、Cisco Catalyst SD-WAN Manager未授權訪問漏洞、Cisco Catalyst SD-WAN Manager授權繞過漏洞、Cisco Emergency Responder信任管理問題漏洞”漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Microsoft產品安全漏洞
Microsoft Excel是美國微軟(Microsoft)公司的一款Office套件中的電子表格處理軟件。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,在系統上執行任意代碼,導致拒絕服務等。
CNVD收錄的相關漏洞包括:Microsoft Excel信息泄露漏洞(CNVD-2023-80108、CNVD-2023-80153)、Microsoft Excel代碼執行漏洞(CNVD-2023-80109、CNVD-2023-80162、CNVD-2023-80163、CNVD-2023-80164、CNVD-2023-80165)、Microsoft Excel拒絕服務漏洞(CNVD-2023-80166)。其中,除“Microsoft Excel信息泄露漏洞(CNVD-2023-80108、CNVD-2023-80153)、Microsoft Excel拒絕服務漏洞(CNVD-2023-80166)”外其余漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Apache產品安全漏洞
Apache Airflow是美國阿帕奇(Apache)基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache InLong是美國阿帕奇(Apache)基金會的一站式的海量數據集成框架。提供自動化、安全、可靠的數據傳輸能力。Apache Pulsar是美國阿帕奇(Apache)基金會的一個用于云環境種,集消息、存儲、輕量化函數式計算為一體的分布式消息流平臺。該軟件支持多租戶、持久化存儲、多機房跨區域數據復制,具有強一致性、高吞吐以及低延時的高可擴展流數據存儲特性。Apache Jackrabbit是美國阿帕奇(Apache)公司的一個內容存儲庫。Apache Helix是美國阿帕奇(Apache)基金會的一個通用集群管理框架,用于自動管理托管在節點集群上的分區、復制和分布式資源。Apache Tomcat是美國阿帕奇(Apache)基金會的一款輕量級Web應用服務器。該程序實現了對Servlet和JavaServer Page(JSP)的支持。Apache Linkis是美國阿帕奇(Apache)基金會的一個庫。有助于輕松連接各種后端計算/存儲引擎。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞進行授權繞過,使用代理的管理角色向任何話題生成消息,導致任意代碼執行等。
CNVD收錄的相關漏洞包括:Apache Airflow授權問題漏洞(CNVD-2023-80561)、Apache InLong數據偽造問題漏洞、Apache InLong代碼問題漏洞、Apache Pulsar授權問題漏洞、Apache Jackrabbit代碼執行漏洞、Apache Helix反序列化漏洞、Apache Tomcat開放重定向漏洞(CNVD-2023-80565)、Apache Linkis代碼執行漏洞(CNVD-2023-80566)。其中,除“Apache Airflow授權問題漏洞(CNVD-2023-80561)、Apache InLong數據偽造問題漏洞、Apache Tomcat開放重定向漏洞(CNVD-2023-80565)”外其余漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
DedeBIZ代碼執行漏洞
DedeBIZ是中國穆云智能科技(DedeBIZ)公司的一個內容管理系統。上周,DedeBIZ被披露存在代碼執行漏洞。攻擊者可利用該漏洞導致任意代碼執行。目前,廠商尚未發布上述漏洞的修補程序。
小結
上周,IBM產品被披露存在多個漏洞,攻擊者可利用漏洞從API日志中獲取敏感信息,進行拒絕服務攻擊,執行非法SQL命令獲取數據庫敏感數據。此外,Cisco、Microsoft、Apache等多款產品被披露存在多個漏洞,攻擊者可利用漏洞提交特殊的請求,可讀取和修改數據庫數據,提升權限,讀取、寫入或刪除底層操作系統上的任意文件,并將其權限升級為root等。另外,DedeBIZ被披露存在代碼執行漏洞。攻擊者可利用該漏洞導致任意代碼執行。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
中國電子銀行網綜合CNVD、國家密碼管理局、新華網、財富光大、廣發銀行、恒豐銀行總行、北京銀行微銀行、河北銀行、江西轄內農商銀行微銀行報道
責任編輯:韓希宇
免責聲明:
中國電子銀行網發布的專欄、投稿以及征文相關文章,其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方;如涉及未經許可使用作品的問題,請您優先聯系我們(聯系郵箱:cebnet@cfca.com.cn,電話:400-880-9888),我們會第一時間核實,謝謝配合。