國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞497個，互聯網上出現“Tenda AC10U formSetPPTPServer函數緩沖區溢出漏洞、Delinea PAM Secret Server信息泄露漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

國家金融監督管理總局擬規范銀行保險機構數據處理活動

《辦法》共九章八十一條。包括總則、數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理及附則。>>詳細

國家互聯網信息辦公室公布《促進和規范數據跨境流動規定》

為了促進數據依法有序自由流動，激發數據要素價值，擴大高水平對外開放，《規定》對數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度作出優化調整。>>詳細

重磅！GB/T 43697-2024《數據安全技術 數據分類分級規則》發布

開展數據分類分級保護工作，首先需要對數據進行分類分級，識別涉及的重要數據和核心數據，然后建立相應的數據安全保護措施。>>詳細

反詐小象防騙寶典--“躺賺”的誘惑

反詐小象提示您：網絡刷單不可信，謹防網絡詐騙！>>詳細

“火眼金睛”識騙局 用心守護“養老錢”

為有效防范金融風險，民生銀行不斷加大防范電信詐騙的工作力度，識別可疑情形，做好提示和勸阻，以暖心服務守護老年客群“養老錢”。>>詳細

反詐專欄 | “坑老”套路深，這份防騙攻略請轉發！

切勿輕易相信所謂的“穩賺不賠”“無風險高收益”宣傳。理財產品如果承諾收益率超過6%就要打問號、超過8%就很危險、10%以上就要準備損失全部本金，“保本高收益”就是金融詐騙。>>詳細

【齊魯銀行手機銀行】防騙安全鈴-傾情守護父母錢包安全

通過設置防騙安全鈴，在父母轉賬超過預警值時，增加子女或親屬確認環節，為親情賬戶設置安全預警。>>詳細

金融為民 消保先行丨防范以“云養殖”等名義實施非法集資

面對高額返利誘惑，切記天上不會掉餡餅，及時認清非法金融活動本質，謹防上當受騙、遭受財產損失。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年3月18日-24日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞497個，其中高危漏洞221個、中危漏洞264個、低危漏洞12個。漏洞平均分值為6.56。上周收錄的漏洞中，涉及0day漏洞405個（占81%），其中互聯網上出現“Tenda AC10U formSetPPTPServer函數緩沖區溢出漏洞、Delinea PAM Secret Server信息泄露漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，升級權限，在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2024-13714、CNVD-2024-13716）、Google Android信息泄露漏洞（CNVD-2024-13744）、Google Android Framework權限提升漏洞（CNVD-2024-13745、CNVD-2024-13746）、Google Chrome代碼執行漏洞（CNVD-2024-13759）、Google Chrome越界寫入漏洞（CNVD-2024-13760）、Google Chrome代碼執行漏洞（CNVD-2024-13761）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Fortinet產品安全漏洞

Fortinet FortiManager是美國飛塔（Fortinet）公司的一套集中化網絡安全管理平臺。該平臺支持集中管理任意數量的Fortinet設備，并能夠將設備分組到不同的管理域（ADOM）進一步簡化多設備安全部署與管理。Fortinet FortiClientEMS是美國飛塔（Fortinet）公司的Fortinet提供的端點管理解決方案的一部分，旨在幫助組織有效地管理其網絡中的終端設備，并提供端點安全性的監控和控制。Fortinet FortiOS是美國飛塔（Fortinet）公司的一套專用于FortiGate網絡安全平臺上的安全操作系統。該系統為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。Fortinet FortiClient是美國飛塔（Fortinet）公司的一套移動終端安全解決方案。該方案與FortiGate防火墻設備連接時可提供IPsec和SSL加密、廣域網優化、終端合規和雙因子認證等功能。Fortinet FortiSIEM是美國飛塔（Fortinet）公司的一套安全信息和事件管理系統。該系統包括資產發現、工作流程自動化和統一管理等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行非法SQL命令竊取數據庫敏感數據，通過特制的HTTP請求可以執行未經授權的代碼或命令，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Fortinet FortiManager訪問控制錯誤漏洞（CNVD-2024-13750）、Fortinet FortiClientEMS SQL注入漏洞、Fortinet FortiOS緩沖區溢出漏洞（CNVD-2024-13748）、Fortinet FortiOS and FortiProxy輸入驗證錯誤漏洞（CNVD-2024-13755）、Fortinet FortiOS and FortiProxy拒絕服務漏洞、Fortinet FortiClient授權問題漏洞、Fortinet FortiOS and FortiProxy緩沖區溢出漏洞、Fortinet FortiSIEM命令執行漏洞（CNVD-2024-13756）。其中，除“Fortinet FortiOS and FortiProxy輸入驗證錯誤漏洞（CNVD-2024-13755）、Fortinet FortiOS and FortiProxy拒絕服務漏洞、Fortinet FortiClient授權問題漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Tomcat是美國阿帕奇（Apache）基金會的一款輕量級Web應用服務器。該程序實現了對Servlet和JavaServer Page（JSP）的支持。Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache Doris是美國阿帕奇（Apache）基金會的一個現代MPP分析數據庫產品。Apache Answer是美國阿帕奇（Apache）基金會的一個社區平臺。Apache Dolphinscheduler是美國阿帕奇（Apache）基金會的一個現代數據編排平臺。Apache DolphinScheduler是美國阿帕奇（Apache）基金會的一個分布式的基于DAG可視化的工作流任務調度系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過訪問限制，獲取敏感信息，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Apache Tomcat輸入驗證錯誤漏洞、Apache Airflow信息泄露漏洞漏洞（CNVD-2024-13567）、Apache Airflow信任管理問題漏洞（CNVD-2024-13571）、Apache Doris信息泄露漏洞（CNVD-2024-13570）、Apache Tomcat拒絕服務漏洞（CNVD-2024-13569）、Apache Answer拒絕服務漏洞、Apache DolphinScheduler安全繞過漏洞、Apache Dolphinscheduler任意文件讀取漏洞。其中，除“Apache Airflow信息泄露漏洞漏洞（CNVD-2024-13567）、Apache Answer拒絕服務漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Siemens Siveillance Control是德國西門子（Siemens）公司的一款集成了視頻監控、門禁、入侵檢測等功能的安全管理平臺，旨在幫助組織實現對建筑物、設施和人員的全面監控和管理。Cerberus PRO EN是一個由防火板、探測和管理站組成的消防系統。它可供西門子合作伙伴使用，并符合歐洲標準EN 54中關于火災探測和報警系統的規定。 Sinteso EN是一個由防火板、檢測和管理站組成的消防系統。它符合火災探測和報警系統的歐洲標準EN 54。 Sinteso Mobile是用于遠程訪問Sinteso/Cerberus PRO EN消防系統的移動應用程序。Siemens SINEMA Remote Connect Server是德國西門子（Siemens）公司的一套遠程網絡管理平臺。該平臺主要用于遠程訪問、維護、控制和診斷底層網絡。SINEMA Remote Connect是一個用于遠程網絡的管理平臺，能夠簡單管理總部、服務技術人員和已安裝機器或工廠之間的隧道連接（VPN）。SENTRON PAC Meter產品是用于精確能源管理和透明信息采集的功率測量設備。Siemens Simcenter Femap是德國西門子（Siemens）公司的一款尖端工程學仿真應用程序。用于創建、編輯和導入/重用復雜產品或系統基于網格的有限元分析模型。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，以root權限在底層操作系統上執行代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Siemens Siveillance Control授權繞過漏洞、Siemens Sinteso EN和Cerberus PRO EN Fire Protection Systems堆棧緩沖區溢出漏洞、Siemens Sinteso EN和Cerberus PRO EN Fire Protection Systems越界讀取漏洞、Siemens Sinteso EN和Cerberus PRO EN Fire Protection Systems緩沖區溢出漏洞、Siemens SINEMA Remote Connect Server訪問控制錯誤漏洞（CNVD-2024-13805）、Siemens SINEMA Remote Connect Client信息泄露漏洞、Siemens SENTRON 7KM PAC3x20 Devices訪問控制不當漏洞、Siemens Simcenter Femap緩沖區溢出漏洞（CNVD-2024-13809）。其中，除“Siemens Siveillance Control授權繞過漏洞、Siemens SINEMA Remote Connect Client信息泄露漏洞、Siemens SENTRON 7KM PAC3x20 Devices訪問控制不當漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TOTOLINK EX1800T命令執行漏洞

TOTOLINK EX1800T是中國吉翁電子（TOTOLINK）公司的一款Wi-Fi范圍擴展器。上周，TOTOLINK EX1800T被披露存在命令執行漏洞，攻擊者可利用該漏洞在系統上執行任意命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，升級權限，在系統上執行任意代碼。此外，Fortinet、Apache、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過訪問限制，獲取敏感信息，以root權限在底層操作系統上執行代碼，導致拒絕服務等。另外，TOTOLINK EX1800T被披露存在命令執行漏洞，攻擊者可利用該漏洞在系統上執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、網信中國、全國網安標委、證券日報、工銀融e行、中國民生銀行、恒豐銀行總行、齊魯銀行、泉州銀行報道

責任編輯：韓希宇