國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞405個，互聯網上出現“FacturaScripts跨站腳本漏洞（CNVD-2022-76230）、Survey Sparrow Enterprise Survey Software跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

(資料圖片)

一周行業要聞速覽

【反詐】視頻換臉、合成語音……“AI技術”詐騙要警惕！

隨著現代科技飛速發展，一些不法分子利用音頻、視頻讀取合成技術，把搜集到的人臉、聲音等信息合成到一起，變成他們謀財的手段，這就是新型“AI技術”詐騙，小編特意給大家搜集整理了3類常見騙局，不可不防!>>詳細

【新市民小課堂】小心！揭秘騙子“洗錢”套路，遠離洗錢陷阱

不隨意出借身份證供他人使用。不輕信、不參與所謂資本運作傳銷項目，不提供資金轉移交易。>>詳細

投資理財類詐騙真相：你貪收益，他圖本金！

銀行存款利率不夠高?有沒有更高收益的產品?有人為追求資金高收益，通過網絡搜索高收益“理財產品”或者通過微信群跟著“投資專家”理財，殊不知落入詐騙圈套，本金一去不復返!>>詳細

以案說險！“雙十一”防騙攻略請查收

妥善保管好自已的身份證件、手機、銀行卡、密碼。不向銀行和支付機構業務流程外的任何渠道提供銀行卡密碼和手機驗證碼。>>詳細

鯉想金融小課堂：冒充電商客服詐騙

對對方發來的網站鏈接和二維碼首先不要輕信，謹慎點開，不要隨意下載APP，不要相信來歷不明的網站里的內容。>>詳細

CFCA云證簽：移動端輕量化CA認證產品 打開APP即掃即簽！

中國金融認證中心（CFCA）陸續推出了云證通、Fido+、手機盾等手機端證書認證產品，通過提供SDK軟件開發工具包（Software Development Kit），由業務方APP進行開發集成，為業務方APP提供證書認證、生物識別等功能。>>詳細

警惕！莫要淪為“跑分”工具人，警銀協作成功打擊販卡團伙

多知道、多了解、多掌握一些電信網絡詐騙防范知識，面對詐騙做到不輕信、不透露、不轉賬。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年11月7日-11月13日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞405個，其中高危漏洞172個、中危漏洞169個、低危漏洞64個。漏洞平均分值為6.09。上周收錄的漏洞中，涉及0day漏洞311個（占77%），其中互聯網上出現“FacturaScripts跨站腳本漏洞（CNVD-2022-76230）、Survey Sparrow Enterprise Survey Software跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

F5產品安全漏洞

F5 F5OS-A是美國F5公司的一種操作系統軟件。F5 BIG-IP是F5公司的一款集成了網絡流量編排、負載均衡、智能DNS，遠程接入策略管理等功能的應用交付平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取對Docker注冊表的只讀訪問權，導致服務降級，從而導致BIG-IP系統上的拒絕服務等。

CNVD收錄的相關漏洞包括：F5 F5OS-A信息泄露漏洞、F5 BIG-IP資源管理錯誤漏洞（CNVD-2022-74967、CNVD-2022-74965）、F5 BIG-IP輸入驗證錯誤漏洞（CNVD-2022-74966）、F5 BIG-IP路徑遍歷漏洞、F5 BIG-IP代碼問題漏洞（CNVD-2022-74968）、F5 BIG-IP iControl SOAP目錄遍歷漏洞、F5 BIG-IP APM資源管理錯誤漏洞（CNVD-2022-74964）。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows SMB Server是美國微軟（Microsoft）公司的一個網絡文件共享協議。它允許計算機上的應用程序讀取和寫入文件以及從計算機網絡中的服務器程序請求服務。Microsoft Windows是美國微軟（Microsoft）公司的一種桌面操作系統。Microsoft Windows Remote Desktop Protocol（RDP）是美國微軟（Microsoft）公司的一款用于連接遠程Windows桌面的應用。Microsoft Windows Network File System是美國微軟（Microsoft）公司的一種文件共享解決方案，可讓您使用 NFS 協議在運行 Windows Server 和 UNIX 操作系統的計算機之間傳輸文件。Microsoft Graphics Components是美國微軟（Microsoft）公司的圖形驅動組件。Microsoft Dynamics是美國微軟（Microsoft）公司的一套適用于跨國企業的ERP業務解決方案。該產品包括財務管理、生產管理和商業智能管理等。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Windows SMB遠程代碼執行漏洞（CNVD-2022-74599、CNVD-2022-74598、CNVD-2022-74596）、Microsoft Windows Server Service遠程代碼執行漏洞、Microsoft Windows Remote Desktop Protocol遠程代碼執行漏洞、Microsoft Windows Network File System遠程代碼執行漏洞（CNVD-2022-74601）、Microsoft Windows Graphics組件遠程代碼執行漏洞（CNVD-2022-74593）、Microsoft Dynamics 365 (on-premises)遠程代碼執行漏洞。其中，“Microsoft Windows Server Service遠程代碼執行漏洞、Microsoft Windows Remote Desktop Protocol遠程代碼執行漏洞、Microsoft Windows Network File System遠程代碼執行漏洞（CNVD-2022-74601）、Microsoft Windows Graphics組件遠程代碼執行漏洞（CNVD-2022-74593）、Microsoft Dynamics 365 (on-premises)遠程代碼執行漏洞”漏洞的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache UIMA是美國阿帕奇（Apache）基金會的一個組件化的軟件架構。用于分析同終端用戶相關聯的大容量非結構化信息。Apache Traffic Server（ATS或TS）是一個高性能的、模塊化的HTTP代理和緩存服務器，與Nginx和Squid類似。Traffic Server最初是Inktomi公司的商業產品，該公司在2003年被Yahoo收購，2009年8月Yahoo向Apache軟件基金會（ASF）貢獻了源代碼，并于2010年4月成為了ASF的頂級項目（Top-LevelProject）。 Apache TrafficServer現在是一個開源項目，開發語言為C++。Apache NiFi是一套數據處理和分發系統。該系統主要用于數據路由、轉換和系統中介邏輯。Apache JSPWiki是美國阿帕奇（Apache）基金會的一款基于Java、Servlet和JSP構建的開源WikiWiki引擎。Apache Isis是美國阿帕奇（Apache）基金會的一個用于在Java中快速開發領域驅動應用程序的框架。Apache Hadoop是美國阿帕奇（Apache）基金會的一套開源的分布式系統基礎架構。該產品能夠對大量數據進行分布式處理，并具有高可靠性、高擴展性、高容錯性等特點。Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，使用精心設計的ZIP條目名稱在指定目標目錄之外創建文件，執行任意命令等。

CNVD收錄的相關漏洞包括：Apache UIMA路徑遍歷漏洞、Apache Traffic Server輸入驗證漏洞（CNVD-2022-76238）、Apache NiFi存在命令執行漏洞、Apache JSPWiki跨站請求偽造漏洞（CNVD-2022-76239）、Apache Isis授權問題漏洞、Apache Isis跨站腳本漏洞、Apache Hadoop代碼問題漏洞、Apache Airflow輸入驗證錯誤漏洞。其中，“Apache UIMA路徑遍歷漏洞、Apache Traffic Server輸入驗證漏洞（CNVD-2022-76238）、Apache NiFi存在命令執行漏洞、Apache JSPWiki跨站請求偽造漏洞（CNVD-2022-76239）、Apache Hadoop代碼問題漏洞”的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Parasolid是一個3D幾何建模工具，它支持多種技術，包括實體建模、直接編輯和自由曲面/表建模。JT2Go是一個3D JT查看工具，允許用戶查看JT、PDF、Solid Edge、PLM XML以及可用的JT、VFZ、CGM和TIF數據。Teamcenter Visualization使企業能夠通過全面的可視化解決方案系列增強其產品生命周期管理 (PLM) 環境。該軟件使企業用戶能夠在單一環境中訪問文檔、2D圖紙和3D模型。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Siemens Parasolid越界寫入漏洞、Siemens Parasolid越界讀取漏洞、Siemens JT2Go and Teamcenter Visualization越界寫入漏洞、Siemens JT2Go and Teamcenter Visualization越界讀取漏洞（CNVD-2022-75551、CNVD-2022-75550）、Siemens JT2Go and Teamcenter Visualization免費后使用漏洞、Siemens JT2Go and Teamcenter Visualization緩沖區溢出漏洞（CNVD-2022-75548、CNVD-2022-75553）。上述漏洞的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

Tenda AC18遠程命令執行漏洞

Tenda AC18是中國騰達（Tenda）公司的一款路由器。上周，Tenda AC18被披露存在遠程命令執行漏洞。攻擊者可利用該漏洞在系統上執行任意命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，F5產品被披露存在多個漏洞，攻擊者可利用漏洞獲取對Docker注冊表的只讀訪問權，導致服務降級，從而導致BIG-IP系統上的拒絕服務等。此外，Microsoft 、Apache、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，使用精心設計的ZIP條目名稱在指定目標目錄之外創建文件，執行任意命令等。另外，Tenda AC18被披露存在遠程命令執行漏洞。攻擊者可利用漏洞在系統上執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國農業銀行、中國郵政儲蓄銀行、中國光大銀行、廣發銀行、廊坊銀行掌上資訊、杭州銀行微訊報道

關鍵詞： 信息安全 修補程序