國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞482個,互聯網上出現“TomExam跨站腳本漏洞、Alluxio跨站腳本漏洞”等零日代碼攻擊漏洞,上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞,深入探討信息安全知識。
一周行業要聞速覽
以案說險 | “天上不會掉餡餅,高額返利是套路”謹防騙局,從我做起
近年以來,非法集資騙術層出不窮,多以各類投資名義,或辦理各類會員卡高額返利等方式,騙取人們信任,尤其針對中老年投資人,通過收取保證金、約定到期返還保證金,并提供免費入住養老基地等服務名目或給予養老補貼等方式進行非法集資。>>詳細
“養老錢”不翼而飛?這些套路要提防
老年群體對養老保障和穩定收益的需求無可厚非,但面對飛來的“橫財”和“好處”,特別是陌生人許諾的高額利益,應提高警惕。>>詳細
【以案說險】辦理貸款要謹慎 正規渠道有必要
無論在哪個金融平臺上進行貸款申請,所有正規渠道都不會在放貸前收取費用。一旦遇上任何名頭提前收取費用的行為,要及時停止操作。>>詳細
【以案說險】你我同心,反詐“童”行!揭秘兒童電話手表新騙局
如今兒童電話手表已成為萬千父母的好伙伴,幾乎家家必備,不僅能時刻了解孩子的位置,還有電話、視頻等多樣功能,也著實“解放”了家長們,但也給壞人有了可乘之機。>>詳細
反電詐法一周年|詐騙集團日趨壟斷,“技術中立”難掩犯罪事實
攻防升級之下,電信網絡詐騙治理邁入更深階段。何以預防?>>詳細
【消保黔行】提示!個人金融信息安全守護攻略請查收
遭遇信息外泄的個人有權立即要求網絡服務提供者刪除有關信息或者采取其他必要措施予以制止。>>詳細
【理財小講堂】三招教你識別虛假理財投資洗錢詐騙
超八成受害者是從各種社交平臺和騙子互加好友,從而被“賺錢經驗”、“理財講師”、“內幕消息”吸引到各大虛假投資平臺。>>詳細
眼見未必為實!謹防"AI換臉"新型詐騙
當前,AI技術的廣泛應用為社會公眾提供了個性化、智能化的信息服務,也給網絡詐騙帶來可乘之機。>>詳細
安全威脅播報
上周漏洞基本情況
上周(2023年11月27日-12月3日)信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集、整理信息安全漏洞482個,其中高危漏洞174個、中危漏洞288個、低危漏洞20個。漏洞平均分值為6.15。上周收錄的漏洞中,涉及0day漏洞412個(占85%),其中互聯網上出現“TomExam跨站腳本漏洞、Alluxio跨站腳本漏洞”等零日代碼攻擊漏洞。
上周重要漏洞安全告警
Adobe產品安全漏洞
Adobe After Effects是美國奧多比(Adobe)公司的一套視覺效果和動態圖形制作軟件。該軟件主要用于2D和3D合成、動畫制作和視覺特效制作等。Adobe ColdFusion是美國奧多比(Adobe)公司的一套快速應用程序開發平臺。該平臺包括集成開發環境和腳本語言。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。
CNVD收錄的相關漏洞包括:Adobe After Effects越界讀取漏洞(CNVD-2023-91788、CNVD-2023-91794、CNVD-2023-91793、CNVD-2023-91791)、Adobe After Effects越界寫入漏洞(CNVD-2023-91787、CNVD-2023-91790)、Adobe ColdFusion代碼執行漏洞(CNVD-2023-94489、CNVD-2023-94490)。上述漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Microsoft產品安全漏洞
Microsoft Skype for Business Server是美國微軟(Microsoft)公司的一套安全統一的通信平臺,它提供即時消息(IM)、音頻和視頻通話、聯機會議、聯機狀態信息和共享功能。Microsoft QUIC是美國微軟(Microsoft)公司的一個網絡傳輸協議。Microsoft Outlook是美國微軟(Microsoft)公司的一套電子郵件應用程序。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞以更高的權限獲取敏感信息,在系統上執行任意代碼等。
CNVD收錄的相關漏洞包括:Microsoft Skype for Business遠程代碼執行漏洞(CNVD-2023-92199、CNVD-2023-92200、CNVD-2023-92203)、Microsoft Skype for Business權限提升漏洞(CNVD-2023-92201)、Microsoft QUIC拒絕服務漏洞(CNVD-2023-92204、CNVD-2023-92205)、Microsoft Outlook欺騙漏洞、Microsoft Outlook遠程代碼執行漏洞(CNVD-2023-92208)。其中,除“Microsoft Skype for Business權限提升漏洞(CNVD-2023-92201)”外,其余的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Cisco產品安全漏洞
Cisco AppDynamics PHP Agent是美國思科(Cisco)公司的一個代理程序,用于監控PHP應用程序的性能。Cisco Identity Services Engine(ISE)是美國思科(Cisco)公司的一款環境感知平臺(ISE身份服務引擎)。該平臺通過收集網絡、用戶和設備中的實時信息,制定并實施相應策略來監管網絡。Cisco Unified Contact Center Express(Unified CCX)是美國思科(Cisco)公司的一款統一通信解決方案中的客戶關系管理組件。該組件支持自助語音服務、呼叫分配和客戶訪問控制等功能。Cisco Intersight是美國思科(Cisco)公司的一個應用平臺。提供了智能管理級別,使IT組織能夠以比前幾代工具更先進的方式分析、簡化和自動化其環境。Cisco SD-WAN vManage是美國思科(Cisco)公司的一個高度可定制的儀表板??珊喕妥詣踊疌isco SD-WAN的部署、配置、管理和操作。Cisco Webex Meetings是美國思科(Cisco)公司的一套視頻會議解決方案。Cisco Duo是美國思科(Cisco)公司的一個完全托管的解決方案。提供對您的應用程序和數據的安全訪問。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞替換文件并訪問敏感的服務器端信息,使用root權限執行任意命令等。
CNVD收錄的相關漏洞包括:Cisco AppDynamics PHP Agent權限提升漏洞、Cisco Identity Services Engine任意文件寫入漏洞、Cisco Unified Contact Center Express輸入驗證錯誤漏洞(CNVD-2023-93334)、Cisco Intersight Private Virtual Appliance命令注入漏洞、Cisco SD-WAN vManage存在訪問控制錯誤漏洞、Cisco Webex Meetings任意文件上傳漏洞、Cisco Identity Services Engine命令注入漏洞(CNVD-2023-93336)、Cisco Duo身份驗證錯誤漏洞。其中,“Cisco Identity Services Engine任意文件寫入漏洞、Cisco Intersight Private Virtual Appliance命令注入漏洞、Cisco Duo身份驗證錯誤漏洞”漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Apache產品安全漏洞
Apache Airflow是美國阿帕奇(Apache)基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache Traffic Server(ATS)是美國阿帕奇(Apache)基金會的一套可擴展的HTTP代理和緩存服務器。Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。Apache OFBiz是美國阿帕奇(Apache)基金會的一套企業資源計劃(ERP)系統。該系統提供了一整套基于Java的Web應用程序組件和工具。Apache Jena是美國阿帕奇(Apache)基金會的一個Java語義網框架。用于構建語義Web和鏈接數據應用程序。Apache InLong是美國阿帕奇(Apache)基金會的一站式的海量數據集成框架。提供自動化、安全、可靠的數據傳輸能力。Apache ActiveMQ是美國阿帕奇(Apache)基金會的一套開源的消息中間件,它支持Java消息服務、集群、Spring Framework等。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞導致身份驗證繞過,通過SPARQL查詢執行任意javascript導致拒絕服務等。
CNVD收錄的相關漏洞包括:Apache Airflow授權問題漏洞(CNVD-2023-93318)、Apache Traffic Server輸入驗證錯誤漏洞(CNVD-2023-93321)、Apache HTTP Server緩沖區溢出漏洞(CNVD-2023-93320)、Apache OFBiz訪問控制錯誤漏洞、Apache Jena跨站腳本漏洞、Apache InLong反序列化漏洞(CNVD-2023-93323)、Apache Traffic Server信息泄露漏洞(CNVD-2023-93322)、Apache ActiveMQ反序列化漏洞。除“Apache Airflow授權問題漏洞(CNVD-2023-93318)、Apache OFBiz訪問控制錯誤漏洞、Apache Jena跨站腳本漏洞”外其余漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
baserCMS代碼注入漏洞
baserCMS是baserCMS團隊的一套企業級內容管理系統(CMS)。上周,baserCMS被披露存在代碼注入漏洞。攻擊者可利用該漏洞通過mail form注入代碼。目前,廠商尚未發布上述漏洞的修補程序。
小結
上周,Adobe產品被披露存在多個漏洞,攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。此外,Microsoft、Cisco、Apache等多款產品被披露存在多個漏洞,攻擊者可利用漏洞以更高的權限獲取敏感信息,在系統上執行任意代碼,導致身份驗證繞過,通過SPARQL查詢執行任意javascript導致拒絕服務等。另外,baserCMS被披露存在代碼注入漏洞。攻擊者可利用漏洞通過mail form注入代碼。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
中國電子銀行網綜合CNVD、21世紀經濟報道、交通銀行、遇見浦發、河北銀行、貴州銀行、桂林銀行金融服務、常熟農商銀行報道
責任編輯:韓希宇
免責聲明:
中國電子銀行網發布的專欄、投稿以及征文相關文章,其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方;如涉及未經許可使用作品的問題,請您優先聯系我們(聯系郵箱:cebnet@cfca.com.cn,電話:400-880-9888),我們會第一時間核實,謝謝配合。