國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞658個，互聯網上出現“WordPress Survey And Poll SQL注入漏洞、Sourcecodester Alumni Management System跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

農業銀行重拳出擊電信網絡詐騙 破解“硬骨頭”實事難題

農業銀行總行設立打擊治理電信網絡詐騙工作領導小組全面統籌指導。各分行成立打擊電信網絡詐騙推進小組，將電信網絡詐騙治理工作作為“一把手工程”推進。>>詳細

有溫度的消保 | 保護個人信息安全，這些事你可以說不！

了解《個人信息保護法》，讓我們在萬物互聯的時代，給自己的信息”上個鎖"。>>詳細

【知識科普】甘肅銀行積極組織開展反電詐集中攻堅月活動

根據蘭州市人民政府金融工作辦公室組織開展的“反電詐集中攻堅月”活動要求，甘肅銀行高度重視，迅速行動，制定工作方案，明確工作內容，落實工作措施，增強人民群眾防詐拒賭的意識和能力。>>詳細

建行依托科技打擊電信網絡詐騙交易

電信網絡詐騙是運用信息技術、心理技術實施的新型刑事犯罪，背后是龐大的黑灰產業，詐騙手法翻新快，隱秘性強，贓款轉移極其迅速，據統計詐騙手法多達300余種。>>詳細

國家互聯網應急中心：征集軟硬件產品或服務受阿帕奇漏洞影響情況

攻擊者能夠利用該漏洞直接在被攻擊設備上執行代碼，進而控制設備來進行竊取數據，投遞勒索病毒、挖礦木馬等，屬于威脅程度最高的一類漏洞。>>詳細

【消費者權益保護】保護個人信息 遠離電信詐騙

我們經常疑惑個人信息是如何泄露的，答案，很可能就藏在不起眼的快遞盒里。>>詳細

【以案說險】貴州銀行消保課堂——不要讓養老金有去無回

高收益意味著高風險，要堅持守住底線。要問問家人朋友怎么看，不要被賭博心態和僥幸心理蒙蔽雙眼。投資理財，選擇銀行、證券公司等正規途徑！切勿相信所謂的"炒股專家”、“投資導師”。>>詳細

大數據技術向保險欺詐頑疾“亮劍”

保險欺詐行為倒逼保險公司在核保端加強風險識別能力，利用大數據、人工智能等創新科技，提升數據分析、風險挖掘水平，從源頭杜絕惡意騙保行為的發生。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年12月6日-12日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞658個，其中高危漏洞176個、中危漏洞430個、低危漏洞52個。漏洞平均分值為5.73。上周收錄的漏洞中，涉及0day漏洞387個（占59%），其中互聯網上出現“WordPress Survey And Poll SQL注入漏洞、Sourcecodester Alumni Management System跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Reader（也被稱為Acrobat Reader）是Adobe公司開發的一款PDF文件閱讀軟件。Adobe Acrobat是由Adobe公司開發的一款PDF編輯軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取任意文件系統，執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Acrobat/Reader釋放后重用漏洞（CNVD-2021-94911、CNVD-2021-94912、CNVD-2021-94913、CNVD-2021-94914）、Adobe Acrobat/Reader棧緩沖區溢出漏洞（CNVD-2021-94917、CNVD-2021-94916）、Adobe Acrobat/Reader越界寫入漏洞（CNVD-2021-94918）、Adobe Acrobat/Reader越界讀取漏洞（CNVD-2021-94939）。目前，廠商已經發布了上述漏洞的修補程序。

D-Link產品安全漏洞

D-Link DIR-809是中國友訊（D-Link）公司的一款雙頻路由器。D-Link DIR-605L是D-link公司推出的第一款云路由器，傳輸速度為300Mpbs。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取用戶名和密碼，導致拒絕服務或執行任意代碼等。

CNVD收錄的相關漏洞包括：D-Link DIR-809 formStaticDHCP緩沖區溢出漏洞、D-Link DIR-809 formSetPortTr緩沖區溢出漏洞（CNVD-2021-94717）、D-Link DIR-809 formVirtualApp緩沖區溢出漏洞、D-Link DIR-809 formVirtualServ緩沖區溢出漏洞（CNVD-2021-94719）、D-Link DIR-809 formSetPortTr緩沖區溢出漏洞、D-Link DIR-809 formWlanSetup緩沖區溢出漏洞、D-Link DIR-809 formAdvFirewall緩沖區溢出漏洞、D-Link DIR-605L信息泄露漏洞。其中，除“D-Link DIR-605L信息泄露漏洞”外，其余漏洞綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Dell產品安全漏洞

Dell EMC iDRAC9是美國戴爾（DELL）公司的一套包含硬件和軟件的系統管理解決方案。該方案為Dell PowerEdge系統提供遠程管理、崩潰系統恢復和電源控制等功能。Dell EMC PowerFlex是美國戴爾（DELL）公司的一個應用軟件。提供極高的靈活性和可擴展性，以及企業級性能和彈性，同時簡化基礎設施的管理和操作。Dell OpenManage Enterprise是美國戴爾（DELL）公司的一款用于IT基礎架構管理的易于使用的一對多系統管理控制臺。 該軟件支持一個控制臺中經濟高效地為 Dell EMC PowerEdge 服務器提供全面的生命周期管理。Dell PowerEdge Server BIOS是美國戴爾（DELL）公司的一款系統更新驅動程序。Dell Emc Streaming Data Platform是美國戴爾（Dell）公司的一個用于實時攝取、存儲和分析連續流數據的平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞欺騙受害者用戶點擊惡意制作的鏈接，將用戶重定向到任意的鏈接地址，執行非法SQL命令，導致客戶端代碼執行等。

CNVD收錄的相關漏洞包括：Dell EMC iDRAC9跨站腳本漏洞（CNVD-2021-94891、CNVD-2021-94895、CNVD-2021-94894）、Dell EMC iDRAC9輸入驗證錯誤漏洞（CNVD-2021-94890）、Dell powerflex presentation server數據偽造問題漏洞、Dell OpenManage Enterprise操作系統命令注入漏洞、Dell PowerEdge緩沖區溢出漏洞、Dell EMC Streaming Data Platform SQL注入漏洞。其中，“Dell PowerEdge緩沖區溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ZOHO產品安全漏洞

ZOHO ManageEngine SupportCenter Plus是ZOHO公司的一種基于Web的客戶支持軟件。ZOHO ManageEngine M365 Manager Plus是ZOHO公司的一個廣泛 Microsoft 365工具。ZOHO ManageEngine ADManager Plus是美國Zoho公司的一個 Active Directory (AD) 管理和報告解決方案。ZOHO ManageEngine Log360是美國卓豪（ZOHO）公司的一個集成的日志管理和Active Directory審計和警報解決方案。ZOHO ManageEngine Network Configuration Manager是美國ZOHO公司的一種多供應商網絡變更、配置和合規性管理 (Nccm) 解決方案。ZOHO ManageEngine ServiceDesk Plus（SDP）是美國卓豪（ZOHO）公司的一套基于ITIL架構的IT服務管理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過SSO接管帳戶，獲取敏感數據，遠程執行代碼等。

CNVD收錄的相關漏洞包括：ZOHO ManageEngine SupportCenter Plus跨站腳本漏洞（CNVD-2021-94825、CNVD-2021-94824）、ZOHO ManageEngine M365 Manager Plus文件上傳漏洞、ZOHO ManageEngine ADManager Plus授權問題漏洞、ZOHO ManageEngine Log360訪問控制錯誤漏洞、ZOHO ManageEngine Network Configuration Manager命令注入漏洞、ZOHO ManageEngine SupportCenter Plus服務器端請求偽造漏洞、ZOHO ManageEngine ServiceDesk Plus遠程代碼執行漏洞。其中，“ZOHO ManageEngine M365 Manager Plus文件上傳漏洞、ZOHO ManageEngine ADManager Plus授權問題漏洞、ZOHO ManageEngine Log360訪問控制錯誤漏洞、ZOHO ManageEngine Network Configuration Manager命令注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Philips Healthcare Tasy Electronic Medical Record (EMR) SQL注入漏洞

Philips Healthcare Tasy Electronic Medical Record (EMR)是一個全面的醫療信息學解決方案，涉及醫療環境的所有領域，將醫療保健連續體中臨床和非臨床領域的點連接起來。上周，Philips Healthcare Tasy Electronic Medical Record (EMR)被披露存在SQL注入漏洞。攻擊者可通過CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST或CD_USUARIO_CONVENIO參數利用該漏洞進行SQL注入攻擊。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞讀取任意文件系統，執行任意代碼等。此外，D-Link、Dell、ZOHO等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過SSO接管帳戶，獲取敏感數據，執行非法SQL命令，遠程執行代碼等。另外，Philips Healthcare Tasy Electronic Medical Record (EMR) 被披露存在SQL注入漏洞。攻擊者可通過CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST或CD_USUARIO_CONVENIO參數利用該漏洞進行SQL注入攻擊。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國證券報·中證網、金融時報、中國農業銀行、中信銀行、渤海銀行、貴州銀行、甘肅銀行報道

責任編輯：韓希宇