國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞558個，互聯(lián)網(wǎng)上出現(xiàn)“Air Cargo Management System SQL注入漏洞（CNVD-2022-58095）、Simple Client Management System SQL注入漏洞（CNVD-2022-57772）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞，深入探討信息安全知識。

【資料圖】

一周行業(yè)要聞速覽

隱私保護(hù)、數(shù)據(jù)安全、智能風(fēng)控日益受到關(guān)注，業(yè)內(nèi)專家認(rèn)為：數(shù)字化轉(zhuǎn)型需守好金融安全底線

業(yè)內(nèi)也將數(shù)字技術(shù)的發(fā)展觸角更多地延伸至科技倫理、隱私保護(hù)、數(shù)據(jù)安全、智能風(fēng)控等與金融安全緊密相關(guān)的領(lǐng)域，以有效應(yīng)對金融機(jī)構(gòu)在數(shù)字化轉(zhuǎn)型過程中的安全“痛點(diǎn)”。>>詳細(xì)

【警惕】反詐安全小課堂第三期—非法買賣銀行卡

小豆在此提醒大家，妥善保管好自己的身份證、銀行卡、網(wǎng)銀盾等賬戶存取工具，對于廢棄不用的銀行卡，應(yīng)及時辦理銷戶業(yè)務(wù)，并將卡片磁條毀損，不隨意丟棄。>>詳細(xì)

【警惕】南京銀行防范“電信網(wǎng)絡(luò)詐騙”溫馨提示

南京銀行匯總常見詐騙手法及案例，希望能增強(qiáng)大家對電信網(wǎng)絡(luò)詐騙、跨境賭博的防范意識。>>詳細(xì)

興業(yè)銀行北京分行召開2022年上半年消費(fèi)者權(quán)益保護(hù)工作會議

持續(xù)強(qiáng)化消保理念和能力提升，通過定期消保培訓(xùn)提升全員消保服務(wù)能力，通過常態(tài)化創(chuàng)新金融宣傳提升消費(fèi)者金融素養(yǎng)。>>詳細(xì)

眨眨眼、動動手，“小而美”的手機(jī)銀行如此兼顧體驗與安全

張家港農(nóng)商銀行與中國金融認(rèn)證中心（CFCA）合作，為手機(jī)銀行客戶端引入CFCA“FIDO+數(shù)字證書”移動端認(rèn)證解決方案，方案融合了數(shù)字證書、生物識別、移動端可信安全環(huán)境技術(shù)。>>詳細(xì)

【消保】速看！浦發(fā)銀行教您避坑“非法金融活動”

了解金融基本知識，掌握常見非法金融類型及識別方法以及遭遇非法金融活動的救濟(jì)途徑，提高自身識別非法金融活動的能力。>>詳細(xì)

半數(shù)企業(yè)面臨數(shù)據(jù)泄露風(fēng)險 “網(wǎng)站神盾”SSL證書了解一下！

CFCA 服務(wù)器證書幫助網(wǎng)站實現(xiàn)身份認(rèn)證與反釣魚，在客戶端與服務(wù)端之間建立一條安全的加密通道，對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)在傳輸過程中的完整性和保密性，有效防止數(shù)據(jù)泄露及篡改。>>詳細(xì)

【知識】詐騙電話花樣多，陌生電話不輕信！

任何陌生人來電，但凡提出了添加微信、掃描二維碼、提供驗證碼、匯款的要求，基本能判定是騙局! >>詳細(xì)

安全威脅播報

上周漏洞基本情況

上周（2022年8月15日-21日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞558個，其中高危漏洞163個、中危漏洞298個、低危漏洞97個。漏洞平均分值為5.63。上周收錄的漏洞中，涉及0day漏洞317個（占57%），其中互聯(lián)網(wǎng)上出現(xiàn)“Air Cargo Management System SQL注入漏洞（CNVD-2022-58095）、Simple Client Management System SQL注入漏洞（CNVD-2022-57772）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產(chǎn)品安全漏洞

Microsoft Azure Site Recovery是美國微軟（Microsoft）公司的一種站點(diǎn)恢復(fù)（DRaaS），用于云和混合云架構(gòu)。上周，上述產(chǎn)品被披露存在權(quán)限提升漏洞，攻擊者可利用漏洞在系統(tǒng)上獲得提升的權(quán)限。

CNVD收錄的相關(guān)漏洞包括：Microsoft Azure Site Recovery權(quán)限提升漏洞（CNVD-2022-57194、CNVD-2022-57193、CNVD-2022-57197、CNVD-2022-57196、CNVD-2022-57195、CNVD-2022-57201、CNVD-2022-57200、CNVD-2022-57199）。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

SAP產(chǎn)品安全漏洞

SAP NetWeaver Enterprise Portal是一個SAP NetWeaver的Web前端組件。SAP SuccessFactors是德國思愛普（SAP）公司的一個基于云的Hcm軟件應(yīng)用程序。SAP Business One是德國思愛普（SAP）公司的一套企業(yè)管理軟件。該軟件包括財務(wù)管理、運(yùn)營管理和人力資源管理等功能。SAP BusinessObjects BW Publisher Service是德國SAP公司的一種模型驅(qū)動數(shù)據(jù)倉庫產(chǎn)品。SAP Business Objects是德國SAP公司的一個商業(yè)智能套件。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞獲得敏感信息、查看或修改信息、提升權(quán)限、執(zhí)行拒絕服務(wù)攻擊，使系統(tǒng)暫時無法運(yùn)行等。

CNVD收錄的相關(guān)漏洞包括：SAP NetWeaver Enterprise Portal跨站腳本漏洞（CNVD-2022-56942、CNVD-2022-56941）、SAP SuccessFactors權(quán)限提升漏洞、SAP Business One拒絕服務(wù)漏洞、SAP Business One代碼注入漏洞（CNVD-2022-56957）、SAP BusinessObjects BW Publisher Service權(quán)限提升漏洞、SAP BusinessObjects Business Intelligence Platform SQL注入漏洞、SAP Business One信息泄露漏洞（CNVD-2022-56961）。其中，“SAP SuccessFactors權(quán)限提升漏洞”的綜合評級為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

IBM產(chǎn)品安全漏洞

IBM CICS TX Advanced是美國IBM公司的一個綜合的、單一的事務(wù)運(yùn)行時包?？梢詾楠?dú)立應(yīng)用程序提供云原生部署模型。IBM DataPower Gateway是美國IBM公司的一套專門為移動、云、應(yīng)用編程接口（API）、網(wǎng)絡(luò)、面向服務(wù)架構(gòu)（SOA）、B2B和云工作負(fù)載而設(shè)計的安全和集成平臺。該平臺可利用專用網(wǎng)關(guān)平臺跨渠道保護(hù)、集成和優(yōu)化訪問。IBM Robotic Process Automation是美國IBM公司的一種機(jī)器人流程自動化產(chǎn)品?？蓭椭詡鹘y(tǒng) RPA 的輕松和速度大規(guī)模自動化更多業(yè)務(wù)和 IT 流程。IBM QRadar SIEM是美國IBM公司的一套利用安全智能保護(hù)資產(chǎn)和信息遠(yuǎn)離高級威脅的解決方案。該方案提供對整個IT架構(gòu)范圍進(jìn)行監(jiān)督、生成詳細(xì)的數(shù)據(jù)訪問和用戶活動報告等功能。IBM Engineering Lifecycle Optimization（ELO）是美國IBM公司的工程生命周期管理 (ELM) 產(chǎn)品組合的擴(kuò)展。它們可以更輕松地收集和分析整個開發(fā)環(huán)境中的數(shù)據(jù)，以做出更好的決策。自動化報告以確保整個組織擁有優(yōu)化開發(fā)所需的信息，定義可以幫助您的擴(kuò)展團(tuán)隊采用和遵循最佳實踐的流程，與第三方工具接口以自定義您的開發(fā)環(huán)境。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，造成應(yīng)用拒絕服務(wù)等。

CNVD收錄的相關(guān)漏洞包括：IBM CICS TX跨站請求偽造漏洞、IBM DataPower Gateway服務(wù)器端請求偽造漏洞（CNVD-2022-56971）、IBM DataPower Gateway XML外部實體注入漏洞（CNVD-2022-56970）、IBM Robotic Process Automation信息泄露漏洞（CNVD-2022-56974）、IBM Robotic Process Automation權(quán)限提升漏洞、IBM DataPower Gateway跨站腳本漏洞（CNVD-2022-56972）、IBM QRadar SIEM拒絕服務(wù)漏洞（CNVD-2022-56976）、IBM Engineering Lifecycle Optimization信息泄露漏洞。其中，“IBM CICS TX跨站請求偽造漏洞、IBM DataPower Gateway服務(wù)器端請求偽造漏洞（CNVD-2022-56971）、IBM DataPower Gateway XML外部實體注入漏洞（CNVD-2022-56970）、IBM Robotic Process Automation權(quán)限提升漏洞”的綜合評級為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Jenkins產(chǎn)品安全漏洞

Jenkins和Jenkins Plugin都是Jenkins開源的產(chǎn)品。Jenkins是一個應(yīng)用軟件。一個開源自動化服務(wù)器Jenkins提供了數(shù)百個插件來支持構(gòu)建，部署和自動化任何項目。Jenkins Plugin是一個應(yīng)用軟件。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞向指定的URL發(fā)送HTTP請求、創(chuàng)建和刪除XPath表達(dá)式、獲取敏感信息等。

CNVD收錄的相關(guān)漏洞包括：Jenkins Recipe Plugin XML外部實體注入漏洞、Jenkins Recipe Plugin跨站請求偽造漏洞、Jenkins RocketChat Notifier Plugin信息泄露漏洞、Jenkins Skype notifier Plugin信息泄露漏洞、Jenkins RQM Plugin信息泄露漏洞、Jenkins XPath Configuration Viewer Plugin授權(quán)問題漏洞、Jenkins Plugin requests-plugin授權(quán)問題漏洞、Jenkins XebiaLabs XL Release Plugin授權(quán)問題漏洞（CNVD-2022-58430）。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

TP-LINK TL-R473G遠(yuǎn)程代碼執(zhí)行漏洞

TP-LINK TL-R473G是中國普聯(lián)（TP-LINK）公司的一款千兆企業(yè)VPN路由器。上周，TP-LINK TL-R473G被披露存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用該漏洞通過特制的數(shù)據(jù)包執(zhí)行遠(yuǎn)程代碼。目前，廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。

小結(jié)

上周，Microsoft產(chǎn)品被披露存在權(quán)限提升漏洞，攻擊者可利用漏洞在系統(tǒng)上獲得提升的權(quán)限。此外，SAP、IBM、Jenkins等多款產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞向指定的URL發(fā)送HTTP請求、獲取敏感信息、提升權(quán)限、執(zhí)行拒絕服務(wù)攻擊，使系統(tǒng)暫時無法運(yùn)行等。另外，TP-LINK TL-R473G被披露存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用該漏洞通過特制的數(shù)據(jù)包執(zhí)行遠(yuǎn)程代碼。建議相關(guān)用戶隨時關(guān)注上述廠商主頁，及時獲取修復(fù)補(bǔ)丁或解決方案。

中國電子銀行網(wǎng)綜合CNVD、中國金融新聞網(wǎng)、中國農(nóng)業(yè)銀行微銀行、浦發(fā)銀行、南京銀行、江西轄內(nèi)農(nóng)商銀行微銀行報道

關(guān)鍵詞： 信息安全 權(quán)限提升 拒絕服務(wù)