中国人民银行：

开展金融科技应用风险专项摸排工作

近日，人民银行下发《关于开展金融科技应用风险专项摸排工作的通知》（银办发〔2020〕45号）（以下简称“45号文”），要求各地人民银行分支机构及相关监管机构启动金融科技风险专项摸排工作。本次摸排工作主要范围包括移动金融客户端应用软件、应用程序编程接口、信息系统等。涉及人工智能、大数据、区块链、物联网等新技术金融应用风险。

其中包括个人金融信息保护、交易安全、仿冒漏洞、技术使用安全、内控管理等5个方面风险情况，覆盖40个摸排项，共123个摸排要点。参与机构主要为人民银行分支机构，中国支付清算协会、中国互联网金融协会也将参与其中。

此次摸排工作将持续5个月，分为三个阶段。从2020年5月开始，10月结束，在三个阶段有不同的目标任务。首先，由金融机构根据摸排列表进行逐项自评，并提交报告。针对发现的问题要建立清单管控和动态追踪。后续由人民银行等监管机构对自评情况进行核实，并在10月31日前形成书面报告报送总行。

《网络安全等级保护定级指南》等

26项国家标准获批发布

近日，国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第8号），全国信息安全标准化技术委员会归口的GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》等26项国家标准正式发布。具体清单如下：

CNCERT：

2019年我国近4%网站被篡改，2%网站被植入后门

根据CNCERT 2020年4月份的发布的报告分析，2019年监测发现我国境内被篡改网站约18.55万个，其中政府网站515个；被植入后门网站约8.49万个，其中政府网站717个。

据CNNIC统计，截止2019年12月，我国网站数量为497万个。换而言之，过去一年里，国内每100个网站里，就有约4个网站被篡改，约2个网站被植入后门。

根据数据对比发现，2019年被攻击网站总数量增长巨大，政府网站数量增长较少，说明CNCERT可能之前对政府网站的监控覆盖较好，去年极大强化了对国内普通网站被篡改和被植入后门的监控能力。

2019年CNCERT共监测发现我国境内被篡改网站185573个，较2018年的7049个增长较大。其中政府网站515个，较2018年的216个增长138.4%。

美国FBI和CISA披露十大常被利用漏洞

2020年5月13日，网络安全和基础架构安全局（CISA）和联邦调查局（FBI）发布2016年至2019年以来最常被利用的十大安全漏洞。CISA和FBI通过国家网络意识系统发布了AA20-133A警报，让公共和私营部门组织更容易确定企业内部补丁的优先级。

报告提及的十大漏洞包含CVE-2017-11882，CVE-2017-0199，CVE-2017-5638，CVE-2012-0158 ，CVE-2019-0604，CVE-2017-0143，CVE-2018-4878，CVE-2017-8759，CVE-2015-1641和CVE-2018-7600。

根据美国政府的技术分析，攻击者最经常利用Microsoft的对象链接和嵌入（OLE）技术中的漏洞。OLE允许文档包含来自其他应用程序（如电子表格）的嵌入内容。在OLE之后，第二大易受攻击的技术是Apache Struts的Web框架。

在前10个漏洞中，来自伊朗、朝鲜和俄罗斯的国家黑客中最常利用的三个漏洞是CVE-2017-11882、CVE-2017-0199和CVE-2012-0158。其中，这三个漏洞均与Microsoft的OLE技术有关。

来源：https://www.freebuf.com/news/236564.html

安 全 事 件

印度最大在线教育平台1100万用户信息泄露

2020年5月5日，Unacademy是印度最大的在线教育学习平台之一被黑客攻击，该平台拥有1.4万名教师，超过一百万个视频课程，本次共计有近1100万个用户帐户敏感数据是受到影响，数据被转储并在Dark Web上出售，售价2000美元，泄露的数据包括用户ID、名称和用户名、加密密码、电子邮件地址、加入日期与上次登录时间。据悉数据泄露事件发生于2020年1月。

4400万巴基斯坦移动用户详细资料遭到泄露

近日，据外媒ZDNet报道有4400万巴基斯坦移动用户的详细资料遭到泄露。上个月，一名黑客试图以210万美元价值的比特币出售一个包含1.15亿巴基斯坦移动用户记录的数据包。

目前，ZDNet已经获得其中两个数据集的副本。我们今天首先收到了在网上发布的全部4400万条记录，与此同时，我们还收到了包含5500万条用户记录的样本，这些都是1.15亿条数据转储中的一部分。根据数据集中的内容，我们可以得出结论，二者是相同的。

根据我们对泄露文件的分析，我们发现数据中包含个人身份相关信息和电话号码相关信息，具体包括：客户全名、家庭住址（包括城市、地区、街道名称）、国家身份证号码（CNIC）、手机号码、固定电话号码、开通服务日期。这一数据涵盖巴基斯坦家庭用户和当地企业的详细资料。其中涉及的企业详细信息，我们确定与企业官方网站上给出的公开信息和公开电话号码相匹配。此外，ZDNet还与多个巴基斯坦用户核实确认了泄露数据的有效性。

漏 洞 预 警

CVE-2020-1048: Windows PrintDemon 漏洞影响 96 年后的所有 Windows 版本

漏洞描述：

该漏洞存在于 Windows Print Spooler 中，Print Spooler 是打印后台处理服务，管理所有本地和网络打印队列及控制所有打印工作。该服务会发送要打印的数据给 USB/ 并行端口、位于本地网络或互联网上的打印机的 TCP 端口、或本地文件。

PrintDemon 是一个本地权限提升漏洞。也就是说攻击者进入 app 或 Windows 机器中，即使只有普通用户权限，也可以通过 PowerShell 命令等方式轻易获取系统的管理员权限。因为任意想要打印文件的 app 都可以访问该服务，因此所有系统上运行的 app 都可以访问。攻击者就可以创建一个打印到文件的打印任务，比如通过操作系统或其他应用使用本地 DLL 文件。

攻击者可以初始化一个打印操作，然后故意使 Print Spooler 服务奔溃，然后再恢复打印任务，此时打印操作就以 SYSTEM 权限运行了，可以覆写系统中的任意文件。

攻击者可以通过下面的简单 PowerShell 命令来利用 CVE-2020-1048：

Add-PrinterPort -Name c:windowssystem32ualapi.dll

在未安装补丁的系统中，运行上述命令会安装一个永久后门，该后门即使修复后也不会消失。

还在 GitHub 上发布了 PoC 代码，参见：

https://github.com/ionescu007/PrintDemon

风险级别： 高

影响版本：

自1996年以来发布（Windows NT 4的所有Windows系统）

修复建议：

微软已经在 5 月的微软补丁日发布了该漏洞的补丁，由于该漏洞非常容易被利用，研究人员建议用户尽快安装补丁。此外，还可以通过 PowerShell 的 Get-PrinterPorts 或复制HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionPorts 来扫描基于文件的端口，尤其是那些 .DLL 或 .EXE 扩展的文件路径中。

SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）

漏洞描述：

SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。国外某安全团队披露了 SaltStack 存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）。在 CVE-2020-11651 认证绕过漏洞中，攻击者通过构造恶意请求，可以绕过 Salt Master 的验证逻辑，调用相关未授权函数功能，从而可以造成远程命令执行漏洞。在 CVE-2020-11652 目录遍历漏洞中，攻击者通过构造恶意请求，读取服务器上任意文件。

身份验证绕过漏洞（CVE-2020-11651）

ClearFuncs 类在处理授权时，并未限制 _send_pub() 方法，该方法直接可以在发布队列消息，发布的消息会通过 root 身份权限进行执行命令。

ClearFuncs 还公开了 _prep_auth_info() 方法，通过该方法可以获取到”root key”，通过获取到的”root key”可以在主服务上执远程调用命令。

目录遍历漏洞（CVE-2020-11652）

whell 模块中包含用于在特定目录下读取、写入文件命令。函数中输入的信息与目录进行拼接可以绕过目录限制。

在 salt.tokens.localfs 类中的 get_token() 方法（由 ClearFuncs 类可以通过未授权进行调用）无法删除输入的参数，并且作为文件名称使用，在路径中通过拼接”..”进行读取目标目录之外的文件。唯一的限制是文件必须通过 salt.payload.Serial.loads() 进行反序列化。

风险级别： 高

影响版本：

SaltStack < 2019.2.4

SaltStack < 3000.2

修复建议：

升级至安全版本及其以上，升级前建议做好快照备份措施。安全版本下载地址参考：

https://repo.saltstack.com

设置SaltStack为自动更新，及时获取相应补丁。

将Salt Master默认监听端口（默认4505 和 4506）设置为禁止对公网开放，或仅对可信对象开放。

Palo Alto Networks PAN-OS 安全漏洞

漏洞描述：

Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一套为其防火墙设备开发的操作系统。

Palo Alto Networks PAN-OS中的身份验证程序和User-ID组件存在安全漏洞，该漏洞源于在验证用户之前无法验证Kerberos密钥分发中心（KDC）的完整性。攻击者可利用该漏洞以管理员身份登录PAN-OS。

风险级别： 高

影响版本：

PAN-OS 7.1.26之前的7.1.x版本，8.0.21之前的8.0.x版本，8.1.13之前的8.1.x版本，9.0.0.6之前的9.0.x版本。

修复建议：

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://security.paloaltonetworks.com/CVE-2020-2018

iTools 4.0存在DLL劫持漏洞

漏洞描述：

iTools 4.0是一款iPhone管理工具。

iTools 4.0存在DLL劫持漏洞，攻击者可利用该漏洞执行恶意代码。

风险级别： 高

影响版本：

iTools 4.0 - 4.4.4.3

修复建议：

厂商尚未提供漏洞修复方案，请关注厂商主页更新：

http://www.itools.cn/

健康采集上报系统存在SQL注入漏洞

漏洞描述：

健康采集上报系统是一款采用PHP+mysql开发的数据管理系统。

健康采集上报系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

风险级别： 高

影响版本：

山西先启科技有限公司 健康采集上报系统 2.0 build20200327

修复建议：

厂商尚未提供漏洞修复方案，请关注厂商主页更新：

http://www.eptimes.cn/