國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞394個，互聯網上出現“部分廠商設備SNMP協議社區字符串認證權限繞過漏洞、IntellinetNFC-30ir IP Camera安全繞過漏洞”零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　網絡產品和服務安全審查辦法（試行）

　　第九條 金融、電信、能源、交通等重點行業和領域主管部門，根據國家網絡安全審查工作要求，組織開展本行業、本領域網絡產品和服務安全審查工作。

　　第十條 公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過網絡安全審查。產品和服務是否影響國家安全由關鍵信息基礎設施保護工作部門確定。>>詳細

　　《網絡安全法》6月1日起實施 網絡安全知多少快來get

　　《網絡安全法》規定了網絡安全監督管理機構及其工作人員對公民個人信息、隱私和商業秘密的保密與用途限定制度。執法主體在履行網絡安全保護職責中獲取的信息，不僅要保密，且只能用于維護網絡安全的需要，不得用于其他用途。>>詳細

　　國家網信辦公布《互聯網新聞信息服務管理規定》

　　國家互聯網信息辦公室5月2日公布《互聯網新聞信息服務管理規定》，自2017年6月1日起施行。國家互聯網信息辦公室有關負責人表示，出臺《規定》旨在進一步加強網絡空間法治建設，促進互聯網新聞信息服務健康有序發展。>>詳細

　　卡巴斯基發布一季度APT攻擊趨勢報告

　　安全廠商卡巴斯基發布2017年第一季度APT攻擊趨勢報告。報告主要表達以下觀點：1、Wiper（擦除工具）成為APT攻擊組織的新武器；2、BlueNoroff/Lazarus組織是對銀行最主要威脅；3、開源工具的組合使用增加了檢測與追溯難度。>>詳細

　　賽門鐵克發布本月安全威脅趨勢報告

　　賽門鐵克互聯網安全威脅報告（ISTR）中涵蓋了最新威脅和安全趨勢，通過綜合的互聯網威脅數據來源，提供全球互聯網威脅活動概況和及其分析結果。有趣的亮點包括：每131個電子郵件中就有一個包含惡意鏈接或附件的比率達到五年內最高。>>詳細

　　Verizon發布2017數據泄露報告

　　在數據泄露原因方面，62%的數據泄露與黑客攻擊有關；81%的的數據泄露涉及到撞庫或弱口令。也就是說，知道2016年，人們使用密碼的習慣依然不太好，絕大部分人并沒有養成定期修改密碼的習慣。>>詳細

　　紅色警報：數百萬的英特爾工作站和服務器芯片已裸奔近十年！

　　黑客有可能登錄進入到高危計算機的硬件（該硬件就在操作系統的眼皮底下），利用AMT的功能，悄悄地對機器做手腳，安裝幾乎無法被察覺的惡意軟件，以及搞其他破壞。由于AMT可以直接訪問計算機的網絡硬件，這種破壞有可能出現在網絡上。>>詳細

　　技術觀瀾

　　諜影追蹤：全球首例UEFI_BIOS木馬分析

　　全球首例感染UEFI主板的真實攻擊。諜影木馬支持的BIOS版本非常多，是目前已知的唯一能夠感染UEFI主板的木馬。諜影木馬會感染UEFI兼容模式的BIOS引導模塊，UEFI+GPT模式不受影響。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年04月24日-2017年04月30日）信息安全漏洞威脅整體評價級別為高。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞394個，其中高危漏洞131個、中危漏洞235個、低危漏洞28個。漏洞平均分值為6.05。上周收錄的漏洞中，涉及0day漏洞61個（占15%），其中互聯網上出現“部分廠商設備SNMP協議社區字符串認證權限繞過漏洞、IntellinetNFC-30ir IP Camera安全繞過漏洞”零日代碼攻擊漏洞，同時上周出現了多個應用廣泛的軟硬件產品高危漏洞。此外，上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數751個，與上周（661個）環比增長14%。

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年04月24日-2017年04月30日）信息安全漏洞威脅整體評價級別為高。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞394個，其中高危漏洞131個、中危漏洞235個、低危漏洞28個。漏洞平均分值為6.05。上周收錄的漏洞中，涉及0day漏洞61個（占15%），其中互聯網上出現“部分廠商設備SNMP協議社區字符串認證權限繞過漏洞、IntellinetNFC-30ir IP Camera安全繞過漏洞”零日代碼攻擊漏洞，同時上周出現了多個應用廣泛的軟硬件產品高危漏洞。此外，上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數751個，與上周（661個）環比增長14%。

　　上周重要漏洞安全告警

　　部分廠商設備存在SNMP協議社區字符串認證權限繞過漏洞SNMP是基于TCP/IP協議族的網絡管理標準，是一種在IP網絡中管理網絡節點的標準協議。上周，部分廠商設備被披露存在SNMP協議社區字符串認證權限繞過漏洞，攻擊者可利用漏洞繞過安全限制，獲取權限。

　　CNVD收錄的相關漏洞包括：部分廠商設備存在SNMP協議社區字符串認證權限繞過漏洞。該漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Jenkins存在Java反序列化等多個漏洞

　　Jenkins是一個開源軟件項目，基于Java開發的一種持續集成工具。Jenkins CLI工具允許用戶通過命令行來操作Jenkins。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼、冒充Jenkins用戶或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Jenkins Java反序列化遠程執行代碼漏洞、Jenkins存在多個跨站請求偽造漏洞、Jenkins拒絕服務漏洞、Jenkins用戶登錄信息泄露漏洞。其中，“Jenkins拒絕服務漏洞、Jenkins Java反序列化遠程執行代碼漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　zabbix存在數據庫寫入和代碼執行漏洞

　　Zabbix是一個基于WEB界面的提供分布式系統監視以及網絡監視功能的企業級的開源解決方案，上周，該產品被披露存在數據庫寫入和代碼執行漏洞，攻擊者可利用漏洞執行操作系統指令，取得網站服務器控制權限。

　　CNVD收錄的相關漏洞包括：Zabbix存在遠程代碼執行和數據庫寫入漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Apple產品安全漏洞

　　Apple macOS是美國蘋果（Apple）公司為Mac計算機所開發的一套專用操作系統。Bluetooth是一個藍牙組件。IOFireWireAVC是一個IO視頻傳輸組件。Intel GraphicsDriver是一個顯卡驅動。MCX Client是一個管理客戶端。IOATAFamily是一個ATI芯片驅動組件。Kernel是一個內核組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、執行任意代碼和發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：Apple macOSBluetooth權限提升漏洞（CNVD-2017-05624）、Apple macOS Bluetooth權限提升漏洞、Apple macOSIOFireWireAVC權限提升漏洞、Apple macOS Intel Graphics Driver任意代碼執行漏洞、Apple macOSSierra Bluetooth權限提升漏洞、Apple macOS Sierra MCX Client安全繞過漏洞、Apple macOSSierra IOATAFamily拒絕服務漏洞、Apple macOS Sierra Kernel任意代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　PHPCMS WAP模塊任意文件下載漏洞

　　PHPCMS 是一款網站管理軟件。上周，PHPCMS被披露存在任意文件下載漏洞，攻擊者利用該漏洞無需登錄即可訪問。目前，互聯網上已經出現了針對該漏洞的攻擊代碼，廠商尚未發布漏洞修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　更多高危漏洞如下表所示，詳細信息可根據CNVD編號，在CNVD官網進行查詢。

　　小結

　　上周，部分廠商設備被披露存在SNMP協議社區字符串認證權限繞過漏洞。攻擊者可利用漏洞繞過安全限制，獲取權限此外，Jenkins、zabbix、Apple等多款產品被披露存在多個漏洞，攻擊者利用漏洞可執行任意代碼、繞過安全限制、提升權限或發起拒絕服務攻擊等。另外，PHPCMS被披露存在任意文件下載漏洞，攻擊者利用該漏洞無需登錄即可訪問。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案?！　?/p>　　

　　中國電子銀行網綜合中國網信網、搜狐科技、黑吧安全網、華龍網報道

責任編輯：韓希宇