國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞231個，互聯網上出現“HTMLMinifier拒絕服務漏洞、Open5GS ngap-handler.c拒絕服務漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

十六部門關于促進數據安全產業發展的指導意見

數據安全產業是為保障數據持續處于有效保護、合法利用、有序流動狀態提供技術、產品和服務的新興業態。>>詳細

反詐手記｜年關將至，千萬別著了不法分子的道！

2022年，光大銀行柜臺共堵截冒名或持假證照辦理業務、電信詐騙、非法集資等風險事件9597件，主動幫助客戶避免經濟損失1900余萬元，年關將至，不法分子活躍，詐騙套路繁多，謹防電信網絡詐騙，小茄子《反詐手記》幫你擦亮雙眼，守護大家的“錢袋子”！>>詳細

年關將近，警惕“積分清零”詐騙

陌生短信勿輕信，不明鏈接勿點擊，官方電話驗真偽，個人信息不泄露，下載國家反詐中心APP防詐騙，守護賬戶資金安全時刻多提防。>>詳細

年關將至，當心這些詐騙套路！

每年年底都是各種網絡詐騙行為高發的時節。在電信網絡詐騙中，詐騙分子通過各種手段對受害者進行心理干預，利用了人們趨利避害、獵奇心理等來實施有針對性的詐騙手段，使受害者上當受騙。這樣的詐騙手段往往誘惑性高、危險性大，大家需要格外留意。>>詳細

提醒|防范盜刷小課堂，安全用卡“雙法寶”

廣東農信已推出同號換卡業務，磁條卡支持同號換成芯片卡，為您保留專屬卡號。原卡業務一次性結轉至新卡，線上綁定關系和資金交易均不受影響，且支持查詢原交易記錄。>>詳細

警惕丨冒充客服、影響征信......防范詐騙新套路

如果有人要求添加私人社交賬號或至各類視頻會議軟件進行屏幕共享等協助操作，一定要果斷拒絕！>>詳細

臨近年關詐騙頻發，請小心！

接近年關，各類騙取貸款資金類案件高發，頻頻出現受害者大量錢財被騙?，F總結近期較典型的冒充監管機構詐騙案例及手法，提醒廣大消費者要高度重視和警惕層出不窮的詐騙方式，務必保護好自己的“錢袋子”。>>詳細

新春佳節防詐騙，平平安安過大年

要特別注意財產安全，千萬要提高警惕。牢記“不聽、不信、不轉賬”，如發現有類似上述違規行為，請及時撥打電話報警處理。>>詳細

【知識】拒絕套路，為您揭穿養老詐騙的小心思！

由于缺乏相關金融知識和風險把控，中老年客戶很容易被不法分子利用而陷入養老詐騙，造成不必要的財物損失。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年1月9日-15日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞231個，其中高危漏洞126個、中危漏洞101個、低危漏洞4個。漏洞平均分值為6.92。上周收錄的漏洞中，涉及0day漏洞184個（占80%），其中互聯網上出現“HTMLMinifier拒絕服務漏洞、Open5GS ngap-handler.c拒絕服務漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警 

Microsoft產品安全漏洞

Microsoft Word是美國微軟（Microsoft）公司的一套Office套件中的文字處理軟件。Raw Image Extension是美國微軟（Microsoft）公司的一個用于操作Raw格式文件的軟件。Microsoft Media Foundation是適用于Windows的下一代多媒體平臺。Microsoft Windows Hyper-V是美國微軟（Microsoft）公司的一款可提供硬件虛擬化的工具。Microsoft Excel是美國微軟（Microsoft）公司的一款Office套件中的電子表格處理軟件。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Windows Error Reporting（WER）是其中的一個錯誤報告組件。PowerShell是美國微軟（Microsoft）公司開發的任務自動化和組態管理框架，由.NET Framework和.NET Core構建的命令列介面殼層相關手稿語言組成。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft PowerShell遠程代碼執行漏洞、Microsoft Word安全繞過漏洞、Microsoft Raw Image Extension遠程代碼執行漏洞（CNVD-2023-02188）、Microsoft Media Foundation信息泄露漏洞、Microsoft Windows Hyper-V遠程代碼執行漏洞（CNVD-2023-02190、CNVD-2023-02191）、Microsoft Excel遠程代碼執行漏洞（CNVD-2023-02194）、Microsoft Windows Error Reporting權限提升漏洞（CNVD-2023-02195）。其中，“Microsoft PowerShell遠程代碼執行漏洞、Microsoft Windows Error Reporting權限提升漏洞（CNVD-2023-02195）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Fortinet產品安全漏洞

Fortinet FortiADC是美國飛塔（Fortinet）公司的一款應用交付控制器。Fortinet FortiPortal是美國飛塔（Fortinet）公司的FortiGate、FortiWiFi和FortiAP產品線的高級、功能豐富的托管安全分析和管理支持工具，可作為虛擬機供MSP使用。Fortinet FortiSOAR是美國飛塔（Fortinet）公司的一種安全編排、自動化和響應（SOAR）解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行客戶端代碼等。

CNVD收錄的相關漏洞包括：Fortinet FortiADC操作系統命令注入漏洞、Fortinet FortiPortal跨站腳本漏洞、Fortinet FortiADC SQL注入漏洞（CNVD-2023-02484）、Fortinet FortiADC輸入驗證錯誤漏洞、Fortinet FortiSOAR權限管理錯誤漏洞、Fortinet FortiSOAR訪問控制錯誤漏洞（CNVD-2023-02490）、Fortinet FortiADC跨站腳本漏洞（CNVD-2023-02489）、Fortinet FortiADC授權問題漏洞。其中，“Fortinet FortiADC操作系統命令注入漏洞、Fortinet FortiADC SQL注入漏洞（CNVD-2023-02484）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Geode是美國阿帕奇（Apache）基金會的一套應用于分布式云架構中提供對數據密集型應用程序實時和一致訪問數據的管理平臺。Apache Zeppelin是美國阿帕奇（Apache）基金會的一款基于Web的開源筆記本應用程序。該程序支持交互式數據分析和協作文檔。Apache Traffic Server（ATS）是美國阿帕奇（Apache）基金會的一套可擴展的HTTP代理和緩存服務器。Apache Kylin是美國阿帕奇（Apache）基金會的一款開源的分布式分析型數據倉庫。該產品主要提供Hadoop/Spark之上的SQL查詢接口及多維分析（OLAP）等功能。Apache Struts是美國阿帕奇（Apache）基金會的一個用于開發Java EE網絡應用程序的開放源代碼網頁應用程序架構。Apache Geode是美國阿帕奇（Apache）基金會的一套應用于分布式云架構中提供對數據密集型應用程序實時和一致訪問數據的管理平臺。Apache Sling Commons Messaging Mail是美國Apache基金會的一款開源消息傳遞郵件服務。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞刪除任意文件，導致服務器崩潰，遠程代碼執行等。

CNVD收錄的相關漏洞包括：Apache Geode遠程代碼執行漏洞（CNVD-2022-83594、CNVD-2022-83596、CNVD-2022-83595）、Apache Zeppelin輸入驗證錯誤漏洞、Apache Traffic Server異常情況處理錯誤漏洞、Apache Kylin命令注入漏洞、Apache Struts遠程代碼執行漏洞（CNVD-2023-02478）、Apache Sling Commons Messaging Mail信任管理問題漏洞。其中，除“Apache Geode遠程代碼執行漏洞（CNVD-2022-83594）、Apache Zeppelin輸入驗證錯誤漏洞、Apache Sling Commons Messaging Mail信任管理問題漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Solid Edge是一個軟件工具組合，用于處理各種產品開發過程：3D設計、仿真、制造和設計管理。Automation License Manager（ALM）集中管理各種西門子軟件產品的許可證密鑰。需要許可證密鑰的軟件產品會自動向ALM報告此要求。當ALM找到此軟件的有效許可證密鑰時，可以根據最終用戶許可協議使用該軟件。Mendix SAML module使用SAML對云應用程序中的用戶進行身份驗證。該模塊可以與任何支持SAML2.0或Shibboleth的身份提供程序通信。JT Open Toolkit是為支持JT的軟件開發人員提供的應用程序編程接口（API）。JT是由西門子數字工業軟件開發的公開發布的數據格式，廣泛用于通信、可視化、數字模型和各種其他目的。Solid Edge是一個軟件工具組合，用于處理各種產品開發過程。SINEC INS（基礎設施網絡服務）是一個基于web的應用程序，將各種網絡服務結合在一個工具中。這簡化了與工業網絡相關的所有網絡服務的安裝和管理。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過誘騙用戶訪問惡意鏈接來提取敏感信息，對指定根文件夾之外的文件執行文件操作，在當前進程的上下文中執行代碼等。

CNVD收錄的相關漏洞包括：Siemens Solid Edge文件解析漏洞、Siemens Automation License Manager路徑遍歷漏洞、Siemens Mendix SAML Module跨站腳本漏洞（CNVD-2023-02702）、Siemens JT Open，JT Utilities and Solid Edge內存損壞漏洞、Siemens SINEC INS路徑遍歷漏洞（CNVD-2023-02708、CNVD-2023-02707）、Siemens SINEC INS命令注入漏洞、Siemens Automation License Manager文件名或路徑的外部控制漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Tenda A15 wrlEn參數堆棧溢出漏洞

Tenda A15是中國騰達（Tenda）公司的一款WiFi擴展器。上周，Tenda A15被披露存在堆棧溢出漏洞。該漏洞是由于/goform/WifiBasicSet進行的不正確邊界檢查造成的。通過使用wrlEn參數發送過長的字符串，遠程攻擊者可利用該漏洞在系統上執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，在系統上執行任意代碼等。此外，Fortinet、Apache、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，刪除任意文件，導致服務器崩潰，執行客戶端代碼等。另外，Tenda A15被披露存在堆棧溢出漏洞，攻擊者可利用該漏洞在系統上執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工業和信息化部、財富光大、北京銀行微銀行、微青銀、華潤銀行、臺州銀行、富滇銀行、廣東農信、江西轄內農商銀行微銀行報道

責任編輯：韓希宇