國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞194個，互聯網上出現“HotelDruid跨站腳本漏洞、LibRaw'copy_bayer'函數空指針逆向引用漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　三個4G/5G漏洞曝光：可攔截電話和追蹤用戶位置

　　多名學者組成的團隊近日宣布成功在4G/5G網絡中發現三個新的安全漏洞，可用于攔截電話以及跟蹤手機用戶的位置。>>詳細

　　前方高能！謹防“裸奔”網絡星球

　　近期，蘋果iOS 12.2 開發者版本中默認全局啟用TLS 1.3，谷歌宣布自Chrome 81版本起全面移除TLS 1.0及TLS 1.1，這一系列舉動再次證明主流應用及操作系統廠商對落后協議的淘汰！>>詳細

　　網絡環境下侵犯個人信息問題研究

　　網絡環境下侵犯個人信息的受害人數量往往龐大、遍布全國甚至全球，關系復雜。個人利用網絡進行娛樂、購物、交友、工作時在意網速的快、利用網絡辦事的效率高，往往忽視了對銀行卡號、身份證號碼、家庭住址、指紋等個人信息的保護。>>詳細

　　人臉識別系統聯網打擊號販子 限制其乘坐高鐵、貸款

　　北京市目前已經有30多家醫療結構配備了人臉識別系統，重點醫院將能夠共享被公安機關處罰的2100多名號販子頭像、身份證信息等，利用人臉識別系統對這些票販分子行為進行監控，一旦發現可疑行為就可以直接進行控制。>>詳細

　　結果導向型：增強金融信息保護的邏輯

　　強調信息流轉忽視信息安全，強調信息安全而放棄信息流轉，均不公允，而應當兼顧兩個價值之間的平衡。>>詳細

　　日本央行數字貨幣研究報告：數據安全越來越重要

　　日本央行指出，其與世界幾大央行一樣，都尚未有發行數字貨幣以取代紙幣的計劃，但針對此類數字貨幣的研究有助于了解其對支付效率、銀行的資金中介、流動性危機以及貨幣傳輸機制等方面的影響。>>詳細

　　銀行卡網絡盜刷誰擔責？

　　隨著科技的高速發展，銀行業也搭上了“互聯網＋”的順風車，以尋求更大的市場空間。但在行業高速發展的背景下也產生了很多問題，如銀行卡虛假辦理、銀行卡盜刷等現象頻出，嚴重擾亂了金融系統的良性發展。>>詳細

　　金融APP誰來保證財產安全和隱私?

　　面對頻頻出現的爭議，金融機構應提高警惕，更好地對金融類APP進行完善，加強安全及隱私保護。>>詳細

　　阿里云出現企業源代碼泄露涉及萬科、咪咕，回應稱：默認代碼訪問權限為私有，用戶可手動修改

　　阿里云平臺出現企業源代碼泄露，由于阿里云代碼托管平臺的項目權限設置存在歧義，導致開發者操作失誤，造成至少40家以上企業的200多個項目代碼泄露。>>詳細

　　技術觀瀾

　　基于ONVIF協議的物聯網設備參與DDoS反射攻擊

　　反射類型的DDoS攻擊并不會直接攻擊受害者IP，而是以受害者的IP構造UDP數據包，對反射源發送偽造的數據包，反射源向受害者IP響應的流量遠超過攻擊者偽造UDP流量的數據，DDoS黑客組織依靠此方式對受害者實施DDoS攻擊。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2019年02月18日-2019年02月24日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞194個，其中高危漏洞48個、中危漏洞127個、低危漏洞19個。漏洞平均分值為5.60。上周收錄的漏洞中，涉及0day漏洞37個（占19%），其中互聯網上出現“HotelDruid跨站腳本漏洞、LibRaw'copy_bayer'函數空指針逆向引用漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Cisco產品安全漏洞

　　Cisco TelePresence Management Suite是一款視頻服務器管理程序。Cisco Firepower Management Center是一款設備管理應用。Cisco TelePresence Video Communication Server是一款視頻服務器。Cisco Web Security Appliance是一款WEB安全訪問設備。Cisco SPA112 Series是一款SPA112系列IP電話。SPA525 Series是一款SPA525系列IP電話。SPA5X5 Series是一款SPA5X5系列IP電話。Cisco Firepower Threat Defense（FTD）是一套提供下一代防火墻服務的統一軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提交特殊的請求，繞過DROP策略，進行未授權訪問，造成拒絕服務等。

　　CNVD收錄的相關漏洞包括：Cisco TelePresenceManagement Suite SOAP未授權訪問漏洞、Cisco Firepower ManagementCenter跨站腳本漏洞（CNVD-2019-04919）、Cisco TelePresence Video Communication Server (VCS)跨站請求偽造漏洞、Cisco TelePresence Management Suite跨站腳本漏洞（CNVD-2019-04920）、Cisco Web SecurityAppliance安全繞過漏洞、Cisco SPA112、SPA525和SPA5X5 Series證書驗證漏洞、Cisco Network Convergence System 1000 Series IOS XR Software信息泄露漏洞、Cisco Firepower Threat Defense輸入驗證漏洞。其中，“Cisco Network Convergence System 1000 Series IOS XR Software信息泄露漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統；Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。iTunes for Windows是一款基于Windows平臺的媒體播放器應用程序。WebKit是其中的一個Web瀏覽器引擎組件。tvOS是一套智能電視操作系統；OS X El Capitan是一套專為Mac計算機所開發的專用操作系統。watchOS是一套智能手表操作系統；macOS High Sierra是為Mac計算機所開發的一套專用操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼（內存破壞），造成ASSERT失敗。

　　CNVD收錄的相關漏洞包括：多款Apple產品WebKit斷言失敗漏洞（CNVD-2019-04706、CNVD-2019-04707）、Apple iOS、tvOS和OS X El Capitan CFNetworkProxies信息泄露漏洞、多款Apple產品CoreGraphics越界讀取漏洞、多款Apple產品Kernel遠程代碼執行漏洞、多款Apple產品Kernel信息泄露漏洞、多款Apple產品WebKit內存破壞漏洞（CNVD-2019-04711）、Apple iOS、tvOS和macOS libxpc任意代碼執行漏洞。其中，“多款Apple產品Kernel遠程代碼執行漏洞、多款Apple產品WebKit內存破壞漏洞（CNVD-2019-04711）、Apple iOS、tvOS和macOS libxpc任意代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Schneider Electric產品安全漏洞

　　Schneider Electric Pelco Sarix Professional 1st generation cameras是一款IP攝像機設備。Schneider Electric EvlinkCharging Station是一套商用電動汽車充電解決方案。Schneider Electric Wiserfor KNX、homeLYnk和spaceLYnk都是法國施耐德電氣（Schneider Electric）公司的用于不同邏輯控制器的自動化編程軟件。Schneider Electric SoMachine Basic是一款用于在控制平臺上對元器件進行編程、調試的軟件。Schneider Electric InduSoft Web Studio和InTouch Edge HMI（前稱InTouch Machine Edition）都是法國施耐德電氣（Schneider Electric）公司的嵌入式HMI軟件包。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞查看明文形式的密碼，獲取未授權訪問權限，提升權限，執行任意代碼或造成拒絕服務。

　　CNVD收錄的相關漏洞包括：Schneider Electric PelcoSarix Professional 1st generation cameras緩沖區溢出漏洞、Schneider Electric Pelco Sarix Professional 1st generation cameras權限提升漏洞、Schneider Electric Evlink Charging Station權限提升漏洞、Schneider Electric Wiser for KNX、homeLYnk和spaceLYnk未經授權訪問漏洞、Schneider ElectricSoMachine Basic XML外部實體注入漏洞、Schneider Electric ModiconM221遠程安全繞過漏洞、Schneider ElectricInduSoft Web Studio和InTouch Edge HMI代碼執行漏洞、Schneider Electric Pelco Sarix Professional 1st generation cameras身份驗證密碼泄露漏洞。其中，“Schneider Electric Pelco Sarix Professional 1stgeneration cameras緩沖區溢出漏洞、Schneider Electric EvlinkCharging Station權限提升漏洞、Schneider Electric ModiconM221遠程安全繞過漏洞、Schneider ElectricInduSoft Web Studio和InTouch Edge HMI代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　SAP產品安全漏洞

　　SAP HANA是一套高性能的實時數據分析平臺。Extended Application Services是一個應用程序服務器、Web服務器和SAP HANA System內Web應用的開發環境。SAP Cloud Connector是一款用于連接SAP云平臺的連接器。SAP BusinessObjectsBusiness Intelligence Platform是一套商務智能軟件和企業績效解決方案套件。SAP Cloud Connector是一款用于連接SAP云平臺的連接器。SAP Landscape Management是一套業務流程解決方案。SAP ABAP Application Server是一款Web應用程序服務器。Gateway是其中的一個連接SAP軟件與設備、環境和平臺的框架。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行未授權的操作，上傳任意文件，執行任意代碼。

　　CNVD收錄的相關漏洞包括：SAP HANA ExtendedApplication Service信息泄露漏洞、SAP Cloud Connector代碼注入漏洞、SAP BusinessObjects Business Intelligence Platform任意文件上傳漏洞、SAP Cloud Connector授權問題漏洞、SAP Landscape Management信息泄露漏洞（CNVD-2019-04859）、SAP ABAP ApplicationServer Gateway信息泄露漏洞、SAP Adaptive ServerEnterprise信息泄露漏洞（CNVD-2019-05032、CNVD-2019-05056）。其中，“SAP Cloud Connector代碼注入漏洞、SAP BusinessObjects Business Intelligence Platform任意文件上傳漏洞、SAP Cloud Connector授權問題漏洞”的綜合評級為“高?！?。目前，廠商尚未發布上述漏洞的修補程序。

　　Thinkphp 'Request.php'文件代碼執行漏洞

　　ThinkPHP是由上海頂想信息科技有限公司開發維護的MVC結構的開源PHP框架。上周，Thinkphp 'Request.php'文件被披露存在代碼執行漏洞。攻擊者利用該漏洞對目標網站進行遠程命令執行攻擊。

　　小結

　　上周，Cisco被披露存在多個漏洞，攻擊者可利用漏洞提交特殊的請求，繞過DROP策略，進行未授權訪問，造成拒絕服務等。此外，Apple、Schneider Electric、SAP等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行未授權的操作，提升權限，上傳任意文件，執行任意代碼或造成拒絕服務等。另外，Thinkphp 'Request.php'文件被披露存在代碼執行漏洞。攻擊者利用該漏洞對目標網站進行遠程命令執行攻擊。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、上海證券報、上海金融報、金融投資報、中國法院網、cnBeta、嘶吼RoarTalk、FreebuF.COM、巴比特資訊、投中網報道

責任編輯：韓希宇