國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞474個，互聯(lián)網(wǎng)上出現(xiàn)“Etaplighting Etap Safety Manager跨站腳本漏洞、Food Ordering Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞，深入探討信息安全知識。

一周行業(yè)要聞速覽

(相關(guān)資料圖)

農(nóng)業(yè)銀行消費者權(quán)益保護教育宣傳這一年

據(jù)統(tǒng)計，農(nóng)業(yè)銀行全年累計開展各類集中宣傳活動12.76萬余次，投入宣傳人員近67萬人次，參與營業(yè)網(wǎng)點2.2萬余個，活動觸及消費者近8億人次。>>詳細

警惕！謹防醫(yī)保詐騙短信，切勿點擊不明網(wǎng)址鏈接！

釣魚鏈接需警惕，切勿點擊要當(dāng)心，致電官方先核實，謹防信息遭泄露，警覺意識要提高，防詐口訣請記牢。>>詳細

反詐丨防范電信網(wǎng)絡(luò)詐騙《反電信網(wǎng)絡(luò)詐騙法》知識宣傳

組織、策劃、實施、參與電信網(wǎng)絡(luò)詐騙活動或者為電信網(wǎng)絡(luò)詐騙活動提供幫助，構(gòu)成犯罪的，依法追究刑事責(zé)任。>>詳細

【消保黔行】手機APP授權(quán)，如何做好個人信息保護

在信息化和數(shù)字化快速轉(zhuǎn)型的浪潮下，各種移動終端、互聯(lián)網(wǎng)應(yīng)用和社交軟件層出不窮，在大大便利了人們生活的同時，也增加了個人隱私和信息受威脅的途徑，大家一定要保護好自己的信息，謹防泄露。>>詳細

防詐|@所有人，您有一份春節(jié)防詐騙指南請收好~

春節(jié)都繞不開發(fā)紅包，收得多了警惕性也有所降低，此時便會不小心踏入不法分子的騙局中。>>詳細

除了網(wǎng)銀Ukey，你知道數(shù)字證書還有哪些用途嗎？

無論是線上簽署金融貸款合同、房屋租賃合同、還是入職勞動合同等多個領(lǐng)域都有數(shù)字證書的身影。>>詳細

CFCA開放平臺能力輸出范本——SD-WAN在金融領(lǐng)域最佳實踐

SD-WAN可將企業(yè)的總部、分支和多云之間實現(xiàn)互聯(lián)，并在不同混合鏈路（MPLS，Internet，5G，LTE等）之間選擇最優(yōu)傳輸路徑，提供優(yōu)質(zhì)的上云體驗。>>詳細

【反詐】警惕！“以房養(yǎng)老”是陷阱，保本收益是騙局

建議消費者尤其是老年人群，在購買投資理財產(chǎn)品前，多咨詢正規(guī)金融機構(gòu)的專業(yè)人員，多與家人商量，防范不法分子詐騙侵害。>>詳細

【防詐】“制服信任”不可取，代客操作是違規(guī)！

金融消費者要警惕詐騙侵害，妥善保管賬號、密碼、支付工具等重要信息，警惕并拒絕他人提出的代為保管重要信息或操作銀行賬戶等違規(guī)行為，提升自身反詐意識和能力。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年12月26日- 2023年1月1日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞474個，其中高危漏洞215個、中危漏洞228個、低危漏洞31個。漏洞平均分值為6.45。上周收錄的漏洞中，涉及0day漏洞341個（占72%），其中互聯(lián)網(wǎng)上出現(xiàn)“Etaplighting Etap Safety Manager跨站腳本漏洞、Food Ordering Management System SQL注入漏洞”等零日代碼攻擊漏洞。

Siemens產(chǎn)品安全漏洞

Siemens Parasolid是德國西門子（Siemens）公司的一個幾何建模內(nèi)核。Siemens Simcenter STAR-CCM+是德國西門子（Siemens）公司的一個完整的多物理場解決方案，可對真實條件下工作的產(chǎn)品和設(shè)計進行仿真。Siemens SICAM PAS/PQS是德國西門子（Siemens）公司的一款帶有用于能源自動化和電能質(zhì)量操作系統(tǒng)的軟件。Siemens Solid Edge是德國西門子（Siemens）公司的一款三維CAD軟件。該軟件可用于零件設(shè)計、裝配設(shè)計、鈑金設(shè)計、焊接設(shè)計等行業(yè)。Siemens LOGO! 8 BM是德國西門子（Siemens）公司的一個用于工業(yè)環(huán)境用于Windows平臺的編程軟件。Siemens Industrial Edge Management是德國西門子（Siemens）公司的一個平臺，用于在靠近車間的計算平臺上托管來自不同供應(yīng)商的應(yīng)用程序。Siemens Desigo PX是德國西門子（Siemens）公司的一套樓宇自動化控制系統(tǒng)。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞以root權(quán)限執(zhí)行任意系統(tǒng)命令，在應(yīng)用程序崩潰時發(fā)送消息并創(chuàng)建拒絕服務(wù)條件等。

CNVD收錄的相關(guān)漏洞包括：Siemens Parasolid越界寫入漏洞（CNVD-2022-89757）、Siemens Simcenter STAR-CCM+權(quán)限提升漏洞、Siemens SICAM PAS/PQS輸入驗證錯誤漏洞、Siemens Solid Edge堆緩沖區(qū)溢出漏洞（CNVD-2022-89764）、Siemens LOGO! 8 BM輸入驗證錯誤漏洞（CNVD-2022-89766）、Siemens LOGO! 8 BM緩沖區(qū)溢出漏洞（CNVD-2022-89767）、Siemens Industrial Edge Management信任管理問題漏洞、多款Siemens產(chǎn)品操作系統(tǒng)命令注入漏洞。上述漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

Google產(chǎn)品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權(quán)限，在系統(tǒng)上執(zhí)行任意代碼，造成拒絕服務(wù)。

CNVD收錄的相關(guān)漏洞包括：Google Android權(quán)限提升漏洞（CNVD-2022-89770、CNVD-2022-89777）、Google Android拒絕服務(wù)漏洞（CNVD-2022-89771、CNVD-2022-89772、CNVD-2022-89773）、Google Android代碼執(zhí)行漏洞（CNVD-2022-89774、CNVD-2022-89776）、Google Android信息泄露漏洞（CNVD-2022-89775）。其中，“Google Android權(quán)限提升漏洞（CNVD-2022-89770、CNVD-2022-89777）、Google Android代碼執(zhí)行漏洞（CNVD-2022-89774、CNVD-2022-89776）” 的綜合評級為“高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

IBM產(chǎn)品安全漏洞

IBM Security Verify Governance Identity Manager是IBM一款基于網(wǎng)絡(luò)設(shè)備的集成，主要用以業(yè)務(wù)為中心的規(guī)則、活動和流程。IBM Spectrum Control（前稱Tivoli Storage Productivity Center）是美國國際商業(yè)機器（IBM）公司的一套存儲資源管理軟件。該軟件可以為多個存儲系統(tǒng)提供監(jiān)控、自動化和分析。IBM Security Guardium是美國國際商業(yè)機器（IBM）公司的一套提供數(shù)據(jù)保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構(gòu)建等功能。IBM Cognos Analytics是美國IBM公司的一套商業(yè)智能軟件。該軟件包括報表、儀表板和記分卡等，并可通過分析關(guān)鍵因素與關(guān)鍵人等內(nèi)容，協(xié)助企業(yè)調(diào)整決策。IBM Engineering Requirements Quality Assistant是美國IBM公司的一款基于Watson AI用于輔助開發(fā)人員提高工程需求質(zhì)量的軟件。該應(yīng)用可顯著降低發(fā)現(xiàn)缺陷成本，有利于盡早發(fā)現(xiàn)工程流程中的需求錯誤，加快產(chǎn)品上市。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞向內(nèi)部網(wǎng)絡(luò)或本地文件系統(tǒng)發(fā)出任意請求，獲取敏感信息，在Web UI中嵌入任意JavaScript代碼等。

CNVD收錄的相關(guān)漏洞包括：IBM Security Verify Governance Identity Manager信息泄露漏洞（CNVD-2022-91125）、IBM Spectrum Control弱加密漏洞、IBM Security Guardium信息泄露漏洞（CNVD-2022-91128）、IBM Cognos Analytics服務(wù)器端請求偽造漏洞、IBM Cognos Analytics跨站腳本漏洞（CNVD-2022-91132）、IBM Cognos Analytics敏感信息泄露漏洞（CNVD-2022-91131）、IBM Cognos Analytics日志注入漏洞、IBM Engineering Requirements Quality Assistant輸入驗證錯誤漏洞。其中，“IBM Spectrum Control弱加密漏洞、IBM Cognos Analytics服務(wù)器端請求偽造漏洞、IBM Cognos Analytics日志注入漏洞”的綜合評級為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

Adobe產(chǎn)品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構(gòu)建網(wǎng)站、移動應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動內(nèi)容管理、營銷銷售活動管理和多站點管理等。上周，上述產(chǎn)品被披露存在跨站腳本漏洞，攻擊者可利用漏洞在瀏覽器上下文中執(zhí)行惡意JavaScript。

CNVD收錄的相關(guān)漏洞包括：Adobe Experience Manager跨站腳本漏洞（CNVD-2022-91149、CNVD-2022-91148、CNVD-2022-91147、CNVD-2022-91146、CNVD-2022-91152、CNVD-2022-91151、CNVD-2022-91150、CNVD-2022-91156）。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

LibreNMS命令注入漏洞（CNVD-2022-91160）

LibreNMS是LibreNMS社區(qū)的一套基于PHP和MySQL的開源網(wǎng)絡(luò)監(jiān)控系統(tǒng)。該系統(tǒng)具有自定義警報、自動發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境和自動更新等特點。上周，LibreNMS被披露存在命令注入漏洞，該漏洞源于service_ip、hostname和service_param參數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。目前，廠商尚未發(fā)布上述漏洞的修補程序。

小結(jié)

上周，Siemens產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞以root權(quán)限執(zhí)行任意系統(tǒng)命令，在應(yīng)用程序崩潰時發(fā)送消息并創(chuàng)建拒絕服務(wù)條件等。此外，Google、IBM、Adobe等多款產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞向內(nèi)部網(wǎng)絡(luò)或本地文件系統(tǒng)發(fā)出任意請求，獲取敏感信息，提升權(quán)限，在系統(tǒng)上執(zhí)行任意代碼，造成拒絕服務(wù)等。另外，LibreNMS被披露存在命令注入漏洞。攻擊者可利用漏洞導(dǎo)致任意命令執(zhí)行。建議相關(guān)用戶隨時關(guān)注上述廠商主頁，及時獲取修復(fù)補丁或解決方案。

中國電子銀行網(wǎng)綜合CNVD、新華網(wǎng)、中國光大銀行、北京銀行微銀行、江蘇銀行、貴州銀行、錦州銀行、廣東農(nóng)信報道

關(guān)鍵詞： 信息安全 德國西門子 拒絕服務(wù)