國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞558個，互聯網上出現“Hospital Management System SQL注入漏洞（CNVD-2022-83601）、Money Transfer Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

《反電信網絡詐騙法》普法“五問”

《中華人民共和國反電信網絡詐騙法》2022年12月1日起正式施行，該法堅持以人民為中心，統籌發展和安全，立足各環節、全鏈條防范治理，為反電信網絡詐騙工作提供有力法律支撐。>>詳細

【知識】小茄子帶您一圖讀懂反電信網絡詐騙法

銀行業金融機構、非銀行支付機構應當對銀行賬戶、支付賬戶及支付結算服務加強監測，建立完善符合電信網絡詐騙活動特征的異常賬戶和可疑交易監測機制。>>詳細

冒充平臺金融客服詐騙，這些套路你一定要了解

近年來，多樣的網購模式方便了大家生活。而“先消費后支付”這種消費方式，不僅實現超前消費，還被不法分子盯住“商機”。最近有不少人就接到某平臺金融客服的詐騙電話。>>詳細

【消?！啃庞每ǖ膸讉€重要日期

情暖新市民，信用卡小貼士來啦!快來了解一下那些關于信用卡的重要日期! >>詳細

農商財課堂 | 防范電信網絡詐騙 拒做“幫兇”，拒做“受害人”！

任何單位、個人應加強電信網絡詐騙防范意識，協助、配合有關部門依法開展反電信網絡詐騙工作。>>詳細

“眼見”和“耳聽”都不一定為真！謹防新型“AI換臉”騙局

隨著AI智能技術飛速發展，詐騙分子也盯上了AI技術，利用騷擾電話、盜取QQ/微信、視頻驗證等方式提取聲音、人臉，再利用AI換臉和偽造的聲音進行詐騙。>>詳細

【反詐】揣到騙子兜里的12萬，是怎么被“掏”回來的？

近年來，工行溫州分行持續深化打擊治理電信網絡詐騙工作，加強源頭治理、風險識別、監測、排查多措并舉，努力為老百姓構筑了一道反詐“防護墻”。>>詳細

【消保小講堂】世界杯期間的賭球詐騙套路

四年一度的世界杯來了。在大家看球的同時也給不法分子帶來了機會。本期就帶您揭秘世界杯期間騙子的套路。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年11月28日-12月4日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞558個，其中高危漏洞166個、中危漏洞282個、低危漏洞110個。漏洞平均分值為5.74。上周收錄的漏洞中，涉及0day漏洞349個（占63%），其中互聯網上出現“Hospital Management System SQL注入漏洞（CNVD-2022-83601）、Money Transfer Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Dell產品安全漏洞

Dell SupportAssist for Business PCs是一款適用于企業電腦的客戶端應用程序。該程序提供自動化、主動和預測性技術進行故障排除等。Dell SupportAssist for Home PCs是一款適用于家庭電腦的客戶端應用程序。該程序提供自動化、主動和預測性技術進行故障排除等。Dell SupportAssist Client是美國戴爾（DELL）公司的一款客戶端應用程序。該程序提供自動化、主動和預測性技術進行故障排除等。Dell PowerStore全閃存數據存儲設備采用以數據為中心、具有高度適應性的智能基礎架構來提供AppsON功能，實現傳統和現代工作負載的轉型。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取對系統的管理員訪問權限，導致信息泄露和任意執行代碼等。

CNVD收錄的相關漏洞包括：Dell SupportAssist for Home PCs and Dell SupportAssist for Business PCs代碼問題漏洞、Dell SupportAssist Client代碼問題漏洞、Dell SupportAssist Client Consumer and Dell SupportAssist Client Commercial代碼問題漏洞、Dell PowerStore開放端口漏洞、Dell PowerStore資源管理錯誤漏洞、Dell PowerStore授權問題漏洞、Dell PowerStore公式注入漏洞、Dell PowerStore操作系統命令注入漏洞。其中，除“Dell SupportAssist Client代碼問題漏洞、Dell PowerStore公式注入漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Rational ClearCase是美國IBM公司的一套軟件配置管理解決方案。該方案可提供版本控制、工作空間管理、并行開發支持和構建審計等功能。IBM AIX是美國國際商業機器（IBM）公司的一款為IBM Power體系架構開發的一種基于開放標準的UNIX操作系統。 IBM CICS TX是美國國際商業機器（IBM）公司的一個綜合的、單一的事務運行時包。IBM DataPower Gateway是美國IBM公司的一套專門為移動、云、應用編程接口（API）、網絡、面向服務架構（SOA）、B2B和云工作負載而設計的安全和集成平臺。該平臺可利用專用網關平臺跨渠道保護、集成和優化訪問。IBM WebSphere Application Server（WAS）是美國國際商業機器（IBM）公司的一款應用服務器產品。該產品是JavaEE和Web服務應用程序的平臺，也是IBMWebSphere軟件平臺的基礎。 IBM QRadar SIEM是美國IBM公司的一套利用安全智能保護資產和信息遠離高級威脅的解決方案。該方案提供對整個IT架構范圍進行監督、生成詳細的數據訪問和用戶活動報告等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取密碼及文檔數據庫的未授權訪問權限，在Web UI中嵌入任意JavaScript代碼，從而改變預期的功能，導致受信任會話中的憑據泄露等。

CNVD收錄的相關漏洞包括： IBM Rational ClearCase GIT connector信任管理問題漏洞、IBM AIX命令注入漏洞、IBM CICS TX加密問題漏洞（CNVD-2022-83579、CNVD-2022-83580）、IBM DataPower Gateway跨站點請求偽造漏洞、IBM WebSphere Application Server跨站腳本漏洞（CNVD-2022-83582）、IBM QRadar SIEM信息泄露漏洞（CNVD-2022-83586）、IBM QRadar SIEM訪問控制錯誤漏洞（CNVD-2022-83584）。其中，“IBM CICS TX加密問題漏洞（CNVD-2022-83579、CNVD-2022-83580）、IBM DataPower Gateway跨站點請求偽造漏洞、IBM QRadar SIEM訪問控制錯誤漏洞（CNVD-2022-83584）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Hama是美國阿帕奇（Apache）公司的一個基于批量同步并行計算技術的分布式計算框架。用于大規?？茖W計算，例如矩陣，圖形和網絡算法。Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache Heron是一款分布式、具有容錯功能的實時流處理引擎。Apache Pulsar是美國阿帕奇（Apache）基金會的一個用于云環境種，集消息、存儲、輕量化函數式計算為一體的分布式消息流平臺。該軟件支持多租戶、持久化存儲、多機房跨區域數據復制，具有強一致性、高吞吐以及低延時的高可擴展流數據存儲特性。Apache JSPWiki是美國阿帕奇（Apache）基金會的一款基于Java、Servlet和JSP構建的開源WikiWiki引擎。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過路徑遍歷導致信息泄露，在任務執行上下文中執行的命令，而無需對DAG文件進行寫入訪問等。

CNVD收錄的相關漏洞包括：Apache Hama路徑遍歷漏洞、Apache Airflow操作系統命令注入漏洞（CNVD-2022-83588、CNVD-2022-83589）、Apache Heron注入漏洞、Apache Pulsar信任管理問題漏洞（CNVD-2022-83591）、Apache JSPWiki跨站腳本漏洞（CNVD-2022-83597、CNVD-2022-83598、CNVD-2022-83599）。其中，“Apache Hama路徑遍歷漏洞、Apache Airflow操作系統命令注入漏洞（CNVD-2022-83589）、Apache Heron注入漏洞、Apache Pulsar信任管理問題漏洞（CNVD-2022-83591）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Azure Site Recovery是美國微軟（Microsoft）公司的一種站點恢復 (DRaaS)，用于云和混合云架構。Microsoft Windows是美國微軟（Microsoft）公司的一套個人設備使用的操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Azure Site Recovery權限提升漏洞（CNVD-2022-84109、CNVD-2022-84111）、Microsoft Azure Site Recovery遠程代碼執行漏洞（CNVD-2022-84112）、Microsoft Windows DNS Server遠程代碼執行漏洞（CNVD-2022-84113、CNVD-2022-84114、CNVD-2022-84115、CNVD-2022-84116、CNVD-2022-84117）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TCL LinkHub Mesh Wi-Fi操作系統命令注入漏洞

TCL LinkHub Mesh Wi-Fi是TCL公司的一款路由器。上周，TCL LinkHub Mesh Wi-Fi被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Dell產品被披露存在多個漏洞，攻擊者可利用漏洞獲取對系統的管理員訪問權限，導致信息泄露和任意執行代碼。此外，IBM、Apache、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取密碼及文檔數據庫的未授權訪問權限，在任務執行上下文中執行的命令，而無需對DAG文件進行寫入訪問等。另外，TCL LinkHub Mesh Wi-Fi被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、中國工商銀行客戶服務、中國光大銀行、浦發銀行、中信銀行、微青銀、桂林銀行金融服務、成都農商銀行報道

責任編輯：韓希宇