各二级单位：

根据上级单位预警通报，近期勒索软件的攻击和钓鱼攻击数量持续增加，请各二级单位加强对信息系统网络安全防护，具体如下：

1、及时更新系统，系统更新通常包含了安全补丁，可以修复已知的漏洞，提高系统的安全性。请定期检查各单位使用的软件和设备是否有更新，尽快安装最新版本，或者联系厂商获取补丁信息。

2、限制访问权限，减少系统的攻击面，防止恶意用户利用系统的漏洞或功能，获取系统的控制权或敏感信息。限制访问权限，只允许可信用户访问和使用系统功能，不要给予不必要的权限，关闭不需要的功能。不在信息系统目录下存放备份、测试等可能泄露信息系统内容的文件。

3、加强系统服务器配置，对默认错误信息进行修改，避免因客户端提交的非法请求导致服务器返回敏感信息；

4、提高安全意识和防范能力，近期钓鱼、勒索、社工等威胁较多。请各位提高安全意识和防范能力，不要轻信来历不明的邮件、链接、文件等，不要输入敏感信息，不要打开未经验证的附件或链接，定期扫描和清理系统中的恶意程序。

请各二级单位高度重视，自检自查，力行整改，不留安全隐患。

咨询服务电话：87114020

信息网络工程研究中心（信息化办公室）

2024年1月9日

附件：近期需重点关注的高危漏洞和预警

如有使用以下系统，请采取限制端口访问、加强异常行为监测等措施，严格系统权限管理，同时密切关注设备厂商相关漏洞补丁，及时升级更新。

1、禅道系统存在命令注入漏洞

受影响的版本包括开源版16.5、16.5 beta1、企业版6.5、6.5 beta1以及旗舰版3.0、3.0 beta1。该公司已提供官方修复方案(https://www.zentao.net)。

2、谷歌浏览器存在文件读取漏洞

 该漏洞已在116.0.5845.96/97版本修复，请及时更新谷歌浏览器。

3、开源云存储软件ownCloud存在身份验证绕过漏洞

攻击者可通过访问特定链接直接获取系统环境的配置详情，导致ownCloud 管理员密码、邮件服务器凭据和许可证密钥等敏感数据泄露、直接访问、修改或删除任意文件。

4、EazyCVR智能边缘网关存在未授权访问漏洞

攻击者可通过访问特定链接的方式获取系统用户账号以及密码哈希等信息，直接登录系统并查看视频监控内容。