• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    信息安全周报|数字证书如何守护网络支付 企业手机银行交易安全提示

    韩希宇 来源:中国电子银行网 2022-12-23 09:53:17 信息安全周报 漏洞 金融安全
    韩希宇     来源:中国电子银行网     2022-12-23 09:53:17

    核心提示​数字证书采用PKI技术体系,在加解密中使用非对称算法。用户持有一把私钥,用它进行解密和签名;同时持有一把公钥,并由本人公开给一组用户共享,用于加密。

    国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞547个,互联网上出现“TOTOLINK NR1800X setOpModeCfg缓冲区溢出漏洞、ZKTeco ZKBioSecurity SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。

    一周行业要闻速览

    关于警惕不法贷款中介诱导消费者违规转贷的风险提示

    中国银保监会消费者权益保护局发布2022年第8期风险提示,提醒广大消费者,警惕不法中介诱导,认清违规转贷背后隐藏的风险,防范合法权益受到侵害。>>详细

    【防骗】这三种套路都是网贷骗局,别信!

    一些诈骗分子利用公众资金周转的需求,频繁实施虚假网络贷款类欺诈,不多留个心眼,很可能就成为他们的“待宰羔羊”。请了解以下常见虚假网络贷款骗局,谨防诈骗。>>详细

    防骗秘籍 | 账户年检诈骗的老招数又双叒叕来了

    请经营者通过微信或支付宝“电子营业执照”小程序下载和使用电子营业执照,切勿轻信不明来源的信息。>>详细

    【服务】CVV2码和小额免密支付,打开便捷支付的新世界

    CVV2码是指信用卡背面签名栏的后三位数字,是激活信用卡、非直接刷卡消费(如网络支付等)时校验使用的验证要素。>>详细

    【金融知识小贴士】企业网上银行、手机银行交易安全提示!

    客户需妥善保管通过本行申请的数字证书、U-KEY(e路宝)、手机短信验证码、电子银行登录密码、支付密码以及自行设置单位内不同操作员、账户和不同业务的操作权限。>>详细

    比刷脸更安全?看数字证书如何守护网络支付

    在我国,CA的合法性由工信部颁发的《电子认证服务许可证》和国家密码管理局颁发的《电子认证服务使用密码许可证》这两项资质确立。>>详细

    【消保小剧场】最后一单挣大钱

    不要被高额报酬所迷惑,更不能抱侥幸心理相信骗子的退款承诺,以免遭遇连环骗局。>>详细

    【以案说险】年底骗子冲业绩,快来get“骗方”

    又到年终岁尾时,诈骗团伙们要出来“冲业绩”啦!心宝儿提醒您一定要提高警惕,切莫将自己辛辛苦苦挣来的钱给骗子发了“年终奖”。>>详细

    安全威胁播报

    上周漏洞基本情况

    上周(2022年12月12日-18日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞547个,其中高危漏洞261个、中危漏洞253个、低危漏洞33个。漏洞平均分值为6.52。上周收录的漏洞中,涉及0day漏洞259个(占47%),其中互联网上出现“TOTOLINK NR1800X setOpModeCfg缓冲区溢出漏洞、ZKTeco ZKBioSecurity SQL注入漏洞”等零日代码攻击漏洞。

    上周重要漏洞安全告警

    Siemens产品安全漏洞

    Siemens Parasolid是德国西门子(Siemens)公司的一个几何建模内核。SIMATIC Drive Controllers用于生产机器的自动化,结合了SIMATIC S7-1500 CPU和SINAMICS S120驱动控制的功能。SIMATIC ET 200SP Open Controller是SIMATIC S7-1500控制器的基于PC的版本。SIMATIC S7-1200 CPU产品专为工业环境中的离散和连续控制而设计,如全球制造业、食品和饮料以及化工行业。SIMATIC S7-1500 CPU产品专为全球制造、食品和饮料以及化工等工业环境中的离散和连续控制而设计。SIMATIC S7-1500 Software Controller是用于基于PC的自动化解决方案的SIMATIC软件控制器。SIMATIC S7-PLCSIM Advanced模拟S7-1200、S7-1500和其他一些PLC衍生产品。包括模拟PLC的完全网络访问,即使在虚拟化环境中也是如此。SIPLUS extreme产品设计用于在极端条件下可靠运行,基于SIMATIC,LOGO!,SITOP,SINAMICS,SIMOTION,SCALANCE或其他设备。SIPLUS设备使用与其所基于的产品相同的固件。TIM 1531 IRC是SIMATIC S7-1500、S7-400、S7-300与SINAUT ST7、DNP3和IEC 60870-5-101/104的通信模块,具有三个RJ45接口,用于通过基于IP的网络(WAN/LAN)进行通信,以及一个RS 232/RS 485接口,用于经经典WAN网络进行通信。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在设备中拒绝服务,在当前进程的上下文中执行代码。

    CNVD收录的相关漏洞包括:Siemens Parasolid越界写入漏洞(CNVD-2022-87977、CNVD-2022-87979、CNVD-2022-87978、CNVD-2022-87980)、Siemens Industrial产品拒绝服务漏洞(CNVD-2022-87982、CNVD-2022-87984、CNVD-2022-87983、CNVD-2022-87985)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Oracle产品安全漏洞

    Oracle Database Server是美国甲骨文(Oracle)公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。Java VM是其中的一个Java虚拟机组件。Oracle Fusion Middleware(Oracle融合中间件)是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle MySQL Server是一款关系型数据库。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过HTTP访问网络,从而破坏Oracle Enterprise Data Quality,对Oracle Enterprise Data Quality的关键数据和所有可访问数据,导致对Java VM可访问数据的子集进行未经授权的读取访问,通过多种协议访问网络,从而破坏MySQL Server,并导致MySQL Server挂起或频繁重复崩溃(完全DOS)等。

    CNVD收录的相关漏洞包括:Oracle Database Server信息泄露漏洞(CNVD-2022-87654)、Oracle Enterprise Data Quality信息泄露漏洞、Oracle MySQL Server拒绝服务漏洞(CNVD-2022-87656、CNVD-2022-87655、CNVD-2022-87659、CNVD-2022-87658、CNVD-2022-87657、CNVD-2022-87660)。其中,“Oracle Enterprise Data Quality信息泄露漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    IBM产品安全漏洞

    IBM WebSphere MQ是美国国际商业机器(IBM)公司的一套系统。IBM Sterling Secure Proxy是一个用于确保组织非保护区(DMZ)中文件安全传输的应用程序代理。IBM PowerVM Hypervisor是一个应用软件。提供了一个安全且可扩展的虚拟化环境,这些应用程序基于Power Systems平台的高级RAS功能和领先性能而构建。IBM Sterling Partner Engagement Manager是一个自动化管理工具。IBM Security Access Manager Appliance(ISAM Appliance)是一款基于网络设备的安全解决方案。该产品主要用于访问控制和基于Web的威胁防护,提供系统性能监控、日志分析和诊断等功能。IBM Engineering Requirements Quality Assistant是一款基于Watson AI用于辅助开发人员提高工程需求质量的软件。该应用可显著降低发现缺陷成本,有利于尽早发现工程流程中的需求错误,加快产品上市。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞解密高度敏感的信息,绕过安全配置设置并导致拒绝服务,获得提升的权限等。

    CNVD收录的相关漏洞包括:IBM WebSphere MQ拒绝服务漏洞(CNVD-2022-87643)、IBM Sterling Secure Proxy弱加密漏洞、IBM PowerVM Hypervisor配置错误漏洞、IBM Sterling Partner Engagement Manager跨站请求伪造漏洞、IBM Sterling Partner Engagement Manager服务器端请求伪造漏洞、IBM Sterling Partner Engagement Manager LDAP注入漏洞、IBM Security Access Manager Appliance访问控制错误漏洞(CNVD-2022-87650)、IBM Engineering Requirements Quality Assistant跨站脚本漏洞(CNVD-2022-87649)。其中,除“IBM Sterling Partner Engagement Manager服务器端请求伪造漏洞、IBM Security Access Manager Appliance访问控制错误漏洞(CNVD-2022-87650)、IBM Engineering Requirements Quality Assistant跨站脚本漏洞(CNVD-2022-87649)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Adobe产品安全漏洞

    Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。Adobe Acrobat是一套PDF文件编辑和转换工具。Adobe Reader是一套PDF文档阅读软件。Adobe Framemaker是一套用于编写和编辑大型或复杂文档(包括结构化文档)的页面排版软件。Adobe Dimension是一套2D和3D合成设计工具。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行代码或导致应用程序崩溃等。

    CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2022-87164、CNVD-2022-87165)、多款Adobe产品资源管理错误漏洞、Adobe FrameMaker堆缓冲区溢出漏洞(CNVD-2022-87169、CNVD-2022-87168)、Adobe Dimension内存错误引用漏洞、Adobe Dimension代码执行漏洞、Adobe Dimension越界读取漏洞。其中,除“Adobe Experience Manager跨站脚本漏洞(CNVD-2022-87164、CNVD-2022-87165)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    WordPress Read more By Adam跨站请求伪造漏洞

    WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。上周,WordPress Read more By Adam被披露存在跨站请求伪造漏洞。攻击者可利用漏洞伪造恶意请求诱骗受害者点击执行敏感操作。目前,厂商尚未发布上述漏洞的修补程序。

    小结

    上周,Siemens产品被披露存在多个漏洞,攻击者可利用漏洞在设备中拒绝服务,在当前进程的上下文中执行代码。此外,Oracle、IBM、Adobe等多款产品被披露存在多个漏洞,攻击者可利用漏洞导致对Java VM可访问数据的子集进行未经授权的读取访问,解密高度敏感的信息,绕过安全配置设置并导致拒绝服务,获得提升的权限,在系统上执行代码或导致应用程序崩溃等。另外,WordPress Read more By Adam被披露存在跨站请求伪造漏洞。攻击者可利用漏洞伪造恶意请求诱骗受害者点击执行敏感操作。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

    中国电子银行网综合CNVD、中国银保监会、中国工商银行客户服务、交通银行、中国光大银行、江西银行、贵州银行、桂林银行金融服务报道

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定