国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞394个，互联网上出现“部分厂商设备SNMP协议社区字符串认证权限绕过漏洞、IntellinetNFC-30ir IP Camera安全绕过漏洞”零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　网络产品和服务安全审查办法（试行）

　　第九条 金融、电信、能源、交通等重点行业和领域主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务安全审查工作。

　　第十条 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过网络安全审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。>>详细

　　《网络安全法》6月1日起实施 网络安全知多少快来get

　　《网络安全法》规定了网络安全监督管理机构及其工作人员对公民个人信息、隐私和商业秘密的保密与用途限定制度。执法主体在履行网络安全保护职责中获取的信息，不仅要保密，且只能用于维护网络安全的需要，不得用于其他用途。>>详细

　　国家网信办公布《互联网新闻信息服务管理规定》

　　国家互联网信息办公室5月2日公布《互联网新闻信息服务管理规定》，自2017年6月1日起施行。国家互联网信息办公室有关负责人表示，出台《规定》旨在进一步加强网络空间法治建设，促进互联网新闻信息服务健康有序发展。>>详细

　　卡巴斯基发布一季度APT攻击趋势报告

　　安全厂商卡巴斯基发布2017年第一季度APT攻击趋势报告。报告主要表达以下观点：1、Wiper（擦除工具）成为APT攻击组织的新武器；2、BlueNoroff/Lazarus组织是对银行最主要威胁；3、开源工具的组合使用增加了检测与追溯难度。>>详细

　　赛门铁克发布本月安全威胁趋势报告

　　赛门铁克互联网安全威胁报告（ISTR）中涵盖了最新威胁和安全趋势，通过综合的互联网威胁数据来源，提供全球互联网威胁活动概况和及其分析结果。有趣的亮点包括：每131个电子邮件中就有一个包含恶意链接或附件的比率达到五年内最高。>>详细

　　Verizon发布2017数据泄露报告

　　在数据泄露原因方面，62%的数据泄露与黑客攻击有关；81%的的数据泄露涉及到撞库或弱口令。也就是说，知道2016年，人们使用密码的习惯依然不太好，绝大部分人并没有养成定期修改密码的习惯。>>详细

　　红色警报：数百万的英特尔工作站和服务器芯片已裸奔近十年！

　　黑客有可能登录进入到高危计算机的硬件（该硬件就在操作系统的眼皮底下），利用AMT的功能，悄悄地对机器做手脚，安装几乎无法被察觉的恶意软件，以及搞其他破坏。由于AMT可以直接访问计算机的网络硬件，这种破坏有可能出现在网络上。>>详细

　　技术观澜

　　谍影追踪：全球首例UEFI_BIOS木马分析

　　全球首例感染UEFI主板的真实攻击。谍影木马支持的BIOS版本非常多，是目前已知的唯一能够感染UEFI主板的木马。谍影木马会感染UEFI兼容模式的BIOS引导模块，UEFI+GPT模式不受影响。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2017年04月24日-2017年04月30日）信息安全漏洞威胁整体评价级别为高。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞394个，其中高危漏洞131个、中危漏洞235个、低危漏洞28个。漏洞平均分值为6.05。上周收录的漏洞中，涉及0day漏洞61个（占15%），其中互联网上出现“部分厂商设备SNMP协议社区字符串认证权限绕过漏洞、IntellinetNFC-30ir IP Camera安全绕过漏洞”零日代码攻击漏洞，同时上周出现了多个应用广泛的软硬件产品高危漏洞。此外，上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数751个，与上周（661个）环比增长14%。

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2017年04月24日-2017年04月30日）信息安全漏洞威胁整体评价级别为高。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞394个，其中高危漏洞131个、中危漏洞235个、低危漏洞28个。漏洞平均分值为6.05。上周收录的漏洞中，涉及0day漏洞61个（占15%），其中互联网上出现“部分厂商设备SNMP协议社区字符串认证权限绕过漏洞、IntellinetNFC-30ir IP Camera安全绕过漏洞”零日代码攻击漏洞，同时上周出现了多个应用广泛的软硬件产品高危漏洞。此外，上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数751个，与上周（661个）环比增长14%。

　　上周重要漏洞安全告警

　　部分厂商设备存在SNMP协议社区字符串认证权限绕过漏洞SNMP是基于TCP/IP协议族的网络管理标准，是一种在IP网络中管理网络节点的标准协议。上周，部分厂商设备被披露存在SNMP协议社区字符串认证权限绕过漏洞，攻击者可利用漏洞绕过安全限制，获取权限。

　　CNVD收录的相关漏洞包括：部分厂商设备存在SNMP协议社区字符串认证权限绕过漏洞。该漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Jenkins存在Java反序列化等多个漏洞

　　Jenkins是一个开源软件项目，基于Java开发的一种持续集成工具。Jenkins CLI工具允许用户通过命令行来操作Jenkins。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码、冒充Jenkins用户或发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：Jenkins Java反序列化远程执行代码漏洞、Jenkins存在多个跨站请求伪造漏洞、Jenkins拒绝服务漏洞、Jenkins用户登录信息泄露漏洞。其中，“Jenkins拒绝服务漏洞、Jenkins Java反序列化远程执行代码漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　zabbix存在数据库写入和代码执行漏洞

　　Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案，上周，该产品被披露存在数据库写入和代码执行漏洞，攻击者可利用漏洞执行操作系统指令，取得网站服务器控制权限。

　　CNVD收录的相关漏洞包括：Zabbix存在远程代码执行和数据库写入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Apple产品安全漏洞

　　Apple macOS是美国苹果（Apple）公司为Mac计算机所开发的一套专用操作系统。Bluetooth是一个蓝牙组件。IOFireWireAVC是一个IO视频传输组件。Intel GraphicsDriver是一个显卡驱动。MCX Client是一个管理客户端。IOATAFamily是一个ATI芯片驱动组件。Kernel是一个内核组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制、执行任意代码和发起拒绝服务攻击等。

　　CNVD收录的相关漏洞包括：Apple macOSBluetooth权限提升漏洞（CNVD-2017-05624）、Apple macOS Bluetooth权限提升漏洞、Apple macOSIOFireWireAVC权限提升漏洞、Apple macOS Intel Graphics Driver任意代码执行漏洞、Apple macOSSierra Bluetooth权限提升漏洞、Apple macOS Sierra MCX Client安全绕过漏洞、Apple macOSSierra IOATAFamily拒绝服务漏洞、Apple macOS Sierra Kernel任意代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　PHPCMS WAP模块任意文件下载漏洞

　　PHPCMS 是一款网站管理软件。上周，PHPCMS被披露存在任意文件下载漏洞，攻击者利用该漏洞无需登录即可访问。目前，互联网上已经出现了针对该漏洞的攻击代码，厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

　　更多高危漏洞如下表所示，详细信息可根据CNVD编号，在CNVD官网进行查询。

　　小结

　　上周，部分厂商设备被披露存在SNMP协议社区字符串认证权限绕过漏洞。攻击者可利用漏洞绕过安全限制，获取权限此外，Jenkins、zabbix、Apple等多款产品被披露存在多个漏洞，攻击者利用漏洞可执行任意代码、绕过安全限制、提升权限或发起拒绝服务攻击等。另外，PHPCMS被披露存在任意文件下载漏洞，攻击者利用该漏洞无需登录即可访问。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。　　

　　中国电子银行网综合中国网信网、搜狐科技、黑吧安全网、华龙网报道

责任编辑：韩希宇