網路現況公告
查詢訊息時間:~


日期

來源

內   容

2019-11-21 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Openfind MAIL2000 Webmail Pre-Auth Cross-Sit

發佈編號:TACERT-ANA-2019112109110909
發佈時間:2019-11-21 09:21:10
事故類型:ANA-漏洞預警
發現時間:2019-11-20 06:10:14
影響等級:低
主旨說明:【漏洞預警】Openfind MAIL2000 Webmail Pre-Auth Cross-Site
Scripting and Open Redirect
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201911-
0002、TWCERTCC-ANA-201911-0003、TWCERTCC-ANA-201911-0004

TWCERTCC-ANA-201911-0002(CVE-2019-15071):
在MAIL2000 v 6.0 與 v7.0 之cgi-bin頁面下存在cross-site scripting
(XSS)漏洞,在未授權的情況下可透過ACTION 參數執行惡意程式碼。

TWCERTCC-ANA-201911-0003(CVE-2019-15072):
在MAIL2000 v 6.0 與 v7.0 之cgi-bin 登入頁面下存在cross-site scripting
(XSS)漏洞,在未授權的情況下可透過任何參數執行惡意程式碼。

TWCERTCC-ANA-201911-0004(CVE-2019-15073):
在MAIL2000 v 6.0 與 v7.0 存在Open Redirect之漏洞,在任何瀏覽器上開啟
MAIL2000皆可在未授權的情況下轉址至惡意網站。

影響平台:MAIL2000 v 6.0 與 v7.0
建議措施:更新至最新版本
參考資料:
1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15071
2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15072
3. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15073

2019-11-06 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2019-13720與CVE-20

發佈編號:TACERT-ANA-2019110609114242
發佈時間:2019-11-06 09:13:44
事故類型:ANA-漏洞預警
發現時間:2019-11-04 01:29:37
影響等級:低
主旨說明:【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2019-13720與CVE-2019-13721),允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201911-0171
卡巴斯基資安團隊與其他組織研究人員發現,Google Chrome瀏覽器存在使用釋放後記憶體(use-after-free)漏洞,進而影響音頻組件(CVE-2019-13720)與PDFium元件(CVE-2019-13721),攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結,導致遠端執行任意程式碼。

影響平台: Google Chrome 78.0.3904.70(含)以前版本

建議措施:
請更新Google Chrome瀏覽器至78.0.3904.87以後版本,更新方式如下:
1.開啟瀏覽器,於網址列輸入chrome://settings/help,瀏覽器將執行版本檢查與自動更新
2.點擊「重新啟動」完成更新

參考資料:
1. https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
2. https://thehackernews.com/2019/11/chrome-zero-day-update.html

2019-11-06 教育機構ANA通報平台 公告主旨 : 【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路

發佈編號:TACERT-ANA-2019110602115959
發佈時間:2019-11-06 14:59:02
事故類型:ANA-攻擊預警
發現時間:2019-11-04 01:35:22
影響等級:低
主旨說明:【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201911-
0001
本中心接獲國際情資,駭客利用Lemon_Duck PowerShell嘗試利用EternalBlue
SMB漏洞,暴力攻擊MS-SQL服務或Pass-the-hash攻擊系統,迴避資安防禦機制,入
侵終端系統執行惡意勒索並散播惡意程式。
受感染系統會以下列方式散播:

1. EternalBlue:SMB漏洞利用。
2. USB和網路磁碟:腳本會將惡意Windows *.lnk shortcut files與DLL files
寫入感染系統中的USB或連線的網路磁碟機中,並透過Windows *.lnk漏洞(CVE-
2017-8464)散播惡意程式。
3. Startup file:腳本將惡意檔案寫入Windows系統上的啟動位置(如開始中的啟動
裡),並在統重啟後執行。
4. MS-SQL Server暴力破解: 使用腳本置中的密碼表嘗試暴力破解SQL Server的
SA帳戶。
5. Pass the Hash攻擊: 利用腳本中的hash table執行Pass the Hash攻擊。
6. 使用WMI在遠端系統上執行惡意指令。
7. RDP暴力破解。

攻擊來源資訊:

- Potential C2:
27.102.107[.]41
- Potential Brute Force:
113.140.80[.]197 - Port Scanning/Brute force (CN)
120.253.228[.]35 - Port Scanning/Brute force port 3389 (CN)
112.133.236[.]187 - Brute Force port 445 (India)
58.62.125[.]245 - Brute Force port 445/Port Scanning (CN)
- Potential Scanning:
58.221.24[.]178 - Port Scanning (CN)
221.4.152[.]250 - Port Scanning port 1433 (CN)
182.140.217[.]226 - Port scanning (CN)
1.202.15[.]246 - Port scanning port 3389 (CN)

Additionally the following are potential host indicators:
- Scheduled task named Rtsa
- Listening port of 65529
- Service with a randomly generated name
- Mutexes within PowerShell called LocalIf and LocalMn

影響平台:所有Windows系統

建議措施:
1. 安裝Windows SMB 安全更新。
2. 關閉網路芳鄰(SMBv1)。
3. 使用高強度密碼。
4. 安裝Windows CVE-2017-8464 漏洞相關安全更新。
5. 建議封鎖攻擊來源IP。

2019-11-01 教育機構ANA通報平台 公告主旨 : 【攻擊預警】北韓駭客組織HIDDEN COBRA所利用的惡意程式HOPLIGHT,請各單位注意防範

發佈編號:TACERT-ANA-2019110102110909
發佈時間:2019-11-01 14:02:10
事故類型:ANA-攻擊預警
發現時間:2019-11-01 05:42:10
影響等級:低
主旨說明:【攻擊預警】北韓駭客組織HIDDEN COBRA所利用的惡意程式HOPLIGHT,請各單位注意防範
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201911-0030。
美國國土安全部、聯邦調查局及美國國防部近期發布惡意程式分析報告AR19-304,更新北韓駭客組織HIDDEN COBRA利用之惡意程式HOPLIGHT變種資訊,該惡意程式會透過與中繼站建立加密連線,隱匿惡意活動。
若資訊設備遭受感染會有以下風險:
1.個人或單位資料遭竊取。
2.個人工作或單位運作被影響而中斷停擺。
3.資訊設備資源被利用於對外攻擊。
4.單位財務損失。
建議除使用防毒軟體檢查資訊設備是否受惡意程式感染,也可透過檢查連線紀錄與惡意程式資訊確認感染與否。

影響平台:微軟作業系統

建議措施:
1.部署黑名單於防護設備進行偵測,監控是否有資訊設備已遭入侵,本次新增HIDDEN COBRA IP黑名單如下:
117.239.241.2
119.18.230.253
14.140.116.172
195.158.234.60
210.137.6.37
218.255.24.226
221.138.17.152

2.各單位可依參考資料連結,取得詳細惡意程式特徵如雜湊值與偵測規則,用以偵測系統是否存在相關惡意程式,若確認資訊設備已遭入侵,建議立即進行必要處理措施:
(1)針對受害電腦進行資安事件應變處理。
(2)重新安裝作業系統,並更新作業系統及相關應用軟體。
(3)更換系統使用者密碼。

3.日常資訊設備資安防護建議:
(1)持續更新作業系統及辦公室文書處理軟體等安全性修補程式。若所使用的作業系統已不再提供更新程式,建議升級至較新版本作業系統。
(2)系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
(3)安裝及啟用防毒軟體防護,並持續更新病毒碼及掃毒引擎。
(4)安裝及啟用防火牆防護,並設定防火牆規則僅開放所需之通訊埠。
(5)不要開啟可疑的郵件與檔案,在開啟下載資料之前先進行資安防護掃描檢查。

參考資料:
1. https://www.us-cert.gov/ncas/analysis-reports/ar19-304a
2. https://www.us-cert.gov/ncas/analysis-reports/AR19-100A

2019-10-30 教育機構ANA通報平台 公告主旨 : 【攻擊預警】惡意音源檔案攻擊,請各單位注意防範

發佈編號:TACERT-ANA-2019103010101919
發佈時間:2019-10-30 10:48:20
事故類型:INT-系統被入侵
發現時間:2019-10-25 16:52:24
影響等級:低
主旨說明:【攻擊預警】惡意音源檔案攻擊,請各單位注意防範
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201910-0002
本中心接獲國際情資,駭客利用WAV 音源檔案夾帶了惡意程式,迴避資安防禦機制,入侵終端系統執行惡意攻擊。
IOC資訊:
https://cert.tanet.edu.tw/pdf/malicious_iocs.zip

影響平台:所有能撥放wav音檔系統

建議措施:根據IOC資訊,檢測終端系統檔案

參考資料:
1. https://www.virustotal.com/gui/file/595a54f0bbf297041ce259461ae8a12f37fb29e5180705eafb3668b4a491cecc/detection
2. https://www.virustotal.com/gui/file/db043392816146bbe6e9f3fe669459fea52a82a77a033c86fd5bc2f4569839c9/detection
3. https://www.virustotal.com/gui/file/a2923d838f2d301a7c4b46ac598a3f9c08358b763b1973b4b4c9a7c6ed8b6395/detection
4. https://www.virustotal.com/gui/file/843cd23b0d32cb3a36b545b07787ac9da516d20db6504f9cdffa806d725d57f0/detection
5. https://www.virustotal.com/gui/file/ed58fdb450d463b0fe3bbc6b9591203f6d51bf7a8dc00f9a03978cecd57822e1/detection
6. https://www.virustotal.com/gui/file/da581a5507923f5b990fe5935a00931d8cd80215bf588abec425114025377bb1/detection

2019-10-23 教育機構ANA通報平台 公告主旨 : 【攻擊預警】惡意 IP 對企業 Office 365 帳號進行暴力破解攻擊,請各單位注意防範

發佈編號:TACERT-ANA-2019102302101717
發佈時間:2019-10-23 14:39:20
事故類型:ANA-攻擊預警
發現時間:2019-10-23 05:55:16
影響等級:低
主旨說明:【攻擊預警】惡意 IP 對企業 Office 365 帳號進行暴力破解攻擊,請各單位注意防範
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201910-0001

本中心接獲國際情資,企業 Office 365 帳號遭到暴力破解攻擊,駭客能夠利用破解的帳號,來監控企業流量、產生其他帳號或是潛入組織內部網路。
目前已知會對企業 Office 365 帳號進行攻擊的 IP 如下所列:

攻擊IP列表:

112.179.242.181
113.204.147.26
118.163.143.170
120.209.20.16
175.230.213.33
201.184.241.243
218.107.49.71
218.206.132.194
218.28.50.51
218.64.165.194
220.164.2.61
220.164.2.87
221.3.236.94
222.218.17.189
222.223.56.116
42.243.154.6
58.213.46.110
59.48.82.14
60.13.154.174
61.136.104.131
61.160.95.126
61.163.231.150
61.163.36.24
61.182.82.34
91.233.156.93
94.156.119.230

影響平台:Office 365
建議措施:
1. 阻擋攻擊IP列表內的IP
2. 使用多重認證
3. 開啟網路日誌並保留相關資訊至少 90 天
4. 啟用登入錯誤鎖定機制
5. 使用高強度密碼

2019-10-18 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Adobe Acrobat與Reader應用程式存在多個安全漏洞,允許攻擊者遠端執行任意

發佈編號:TACERT-ANA-2019101801100101
發佈時間:2019-10-18 13:04:02
事故類型:ANA-漏洞預警
發現時間:2019-10-18 03:37:27
影響等級:中
主旨說明:【漏洞預警】Adobe Acrobat與Reader應用程式存在多個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201910-0285
Adobe釋出的安全性公告中提出Adobe Acrobat與Reader存在越界寫入(Out-of-Bounds Write)、使用釋放後記憶體(Use After Free)、堆積溢位(Heap Overflow)、緩衝區溢位(Buffer Overrun)、競爭條件(Race Condition)、類型混亂(Type Confusion)及不可靠的指標反參考(Untrusted Pointer Dereference)等漏洞,攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結或檔案,進而導致可執行任意程式碼。

影響平台:
以下所有程式的Windows與MacOS版本:

1.Continuous track versions:
‧Acrobat DC Continuous track versions 2019.012.20040(含)以前版本
‧Acrobat Reader DC Continuous track versions 2019.012.20040(含)以前的版本
2.Classic 2017 versions:
‧Acrobat 2017 Classic 2017 versions 2017.011.30148(含)以前版本
‧Acrobat Reader 2017 Classic 2017 versions 2017.011.30148(含)以前版本
3.Classic 2015 versions:
‧Acrobat DC Classic 2015 versions 2015.006.30503(含)以前版本
‧Acrobat Reader DC Classic 2015 versions 2015.006.30503(含)以前版本

建議措施:
1.請確認電腦目前使用的版本。若為上述影響版本,請儘速更新至以下版本,檢查方式:啟動Acrobat或Reader程式,點選「說明」→「關於」,確認版本後可點選「說明」→「檢查更新」安裝更新程式。
2.亦可至下列網址進行更新:

(1)Continuous track version更新至2019.021.20047以後版本:
Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6751
Macintosh User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6757
(2)Classic 2017 versions更新至2017.011.30150以後版本:

Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6761
Macintosh User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6765
(3)Classic 2015 versions更新至2015.006.30504以後版本:
Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6769
Macintosh User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6773

參考資料:
1. https://helpx.adobe.com/security/products/acrobat/apsb19-49.htmlBR>
2. https://thehackernews.com/2019/10/adobe-software-patches.htmlBR>
3. https://www.ithome.com.tw/news/133637BR>

2019-10-03 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Exim存在安全漏洞(CVE-2019-16928),允許攻擊者遠端執行任意程式碼,請儘

發佈編號:TACERT-ANA-2019100301104545
發佈時間:2019-10-03 13:50:46
事故類型:ANA-漏洞預警
發現時間:2019-10-03 05:35:04
影響等級:低
主旨說明:【漏洞預警】Exim存在安全漏洞(CVE-2019-16928),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201910-0076
Exim是劍橋大學開發的郵件傳送代理程式(Mail Transfer Agent,MTA),主要安裝在Linux系統以作為郵件伺服器。
研究人員發現,Exim伺服器的string.c檔案中的string_vformat函數存在緩衝區溢位漏洞(CVE-2019-16928),導致攻擊者可利用此漏洞,透過發送惡意EHLO請求,進而導致阻斷服務(DoS)或遠端執行任意程式碼。

影響平台:Exim 4.92至4.92.2版本

建議措施:
1.請執行「exim -bV」指令確認目前使用的版本。
2.如使用受影響之Exim版本,請至官方網站(https://downloads.exim.org/exim4/)下載並更新至Exim 4.92.3以後版本。

參考資料:
1. https://www.exim.org/static/doc/security/CVE-2019-16928.txt
2. https://thehackernews.com/2019/09/exim-email-security-vulnerability.html?fbclid=IwAR07POn62H9LC3B3wBJQa-QO15mcreANfa4gt90EVFOy6CtPAtLyrgdpyUI
3. https://nvd.nist.gov/vuln/detail/CVE-2019-16928

2019-10-02 教育機構ANA通報平台 公告主旨 : 【攻擊預警】學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各單位提高警覺。

發佈編號:TACERT-ANA-2019100201104141
發佈時間:2019-10-02 13:04:41
事故類型:ANA-攻擊預警
發現時間:2019-10-02 10:00:00
影響等級:中
主旨說明:【攻擊預警】學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各單位提高警覺。
內容說明:
學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各單位提高警覺。
信件內容以舊有資安相關訊息為主,信件內容開頭以英文撰寫訊息,且附有超連結以供下載檔案。
煩請各單位依社交工程防範作為提高警覺且不輕易點選或開啟不明來源信件之附檔或超連結,以維資訊安全。
如收到相關類似信件,切勿點選信件中超連結,並將信件提供給TACERT(service@cert.tanet.edu.tw),以利相關資訊收集及分析。

電子郵件內容範例1:

Hello,
We need this reviewed, categorized and filed as soon as possible. Take a look and let me know how soon can you finish it.
ATTACHMENT DOCUMENT(超連結,內含惡意程式)
Thank you
電子郵件內容範例2:
Hello,
I believe we completely missed our target on this one, I need you to double check by how much. I attached the file for review below.
ATTACHMENT DOCUMENT(超連結,內含惡意程式)
Thank you

影響平台:電子郵件
建議措施:
1. 確認寄件者資訊及信件內容是否正確
2. 不輕易點選或開啟不明來源信件之附檔或超連結
3. 依社交工程防範作為提高警覺

2019-09-20 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Microsoft Windows遠端桌面服務存在安全漏洞(CVE-2019-1181、

發佈編號:TACERT-ANA-2019092008094646
發佈時間:2019-09-20 08:40:48
事故類型:ANA-漏洞預警
發現時間:2019-09-19 09:57:15
影響等級:低
主旨說明:【漏洞預警】Microsoft Windows遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201909-0110
Microsoft Windows遠端桌面服務(Remote Desktop Services),亦即在Windows Server 2008及更早版本中所稱之終端服務(Terminal Services),該服務允許使用者透過網路連線來遠端操作電腦或虛擬機。
研究人員發現遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),可讓未經身分驗證的遠端攻擊者,透過對目標系統的遠端桌面服務發送特製請求,在不需使用者進行任何操作互動之情況下,達到遠端執行任意程式碼之危害。

影響平台:
Windows 7
Windows 8.1
Windows 10
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019

建議措施:
Microsoft官方已針對此弱點釋出修補程式,並包含於8月份例行性累積更新中,各機關可聯絡設備維護廠商或參考各CVE對應的安全性公告,進行Windows更新

參考資料:
1. https://thehackernews.com/2019/08/windows-rdp-wormable-flaws.html
2. https://www.ithome.com.tw/news/132413
3. https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/312890cc-3673-e911-a991-000d3a33a34d
4. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
5. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226
6. https://www.nccst.nat.gov.tw/VulnerabilityNewsDetail?lang=zh&seq=1441

2019-09-11 教育機構ANA通報平台 公告主旨 : 【攻擊預警】北韓駭客組織HIDDEN COBRA利用惡意程式BADCALL運用知名網站憑證進行fak

發佈編號:TACERT-ANA-2019091111091616
發佈時間:2019-09-11 11:07:17
事故類型:ANA-攻擊預警
發現時間:2019-09-11 01:19:38
影響等級:低
主旨說明:【攻擊預警】北韓駭客組織HIDDEN COBRA利用惡意程式BADCALL運用知名網站憑證進行fake TLS連線,以及利用惡意程式ELECTRICFISH建立隱密通道進行通訊,請各單位注意防範
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201909-0019。
美國國土安全部、聯邦調查局及美國國防部近期更新北韓駭客組織HIDDEN COBRA所利用的BADCALL與ELECTRICFISH惡意程式相關資訊。
BADCALL工具會利用知名網站憑證,如Apple, Facebook, Google, Microsoft等,以進行fake TLS連線並將所取得資料回傳至駭客所控制的主機。
ELECTRICFISH工具可用於在受害電腦與駭客電腦之間建立隱密通道(Tunnel),規避資安設備之偵測;該工具亦可指定外部代理伺服器(Proxy Server)作為中間跳板,
以隱藏駭客真實網路位址(IP Address)。
若資訊設備遭受感染會有以下風險:

1.個人或單位資料遭竊取。
2.個人工作或單位運作被影響而中斷停擺。
3.資訊設備資源被利用於對外攻擊。
4.單位財務損失。
建議除使用防毒軟體檢查資訊設備是否受惡意程式感染,也可透過檢查連線紀錄與惡意程式資訊確認感染與否。

影響平台:微軟作業系統、Android系統

建議措施:
1. 檢查資安防護設備紀錄,確認是否有不正常的8000、60000埠連線。
2. 檢查個人電腦上的防火牆是否被不正常停用或是防火牆設定被修改成允許外部連線到該電腦的443埠。
3. 檢查系統是否存在下列檔案(BADCALL惡意程式):

(1) 本次報告更新:22082079AB45CCC256E73B3A7FD54791
–MD5: 22082079ab45ccc256e73b3a7fd54791
–SHA1: 029bb15a2ba0bea98934aa2b181e4e76c83282ce

(2) 本次報告更新:z
–MD5: 2733a9069f0b0a57bf9831fe582e35d9
–SHA1: f06f9d015c2f445ee0f13da5708f93c381f4442d

(3) 本次報告更新:hc.zip
–MD5: eb7da5f1e86679405aa255aa4761977d
–SHA1: 880cb39fee291aa93eb43d92f7af6b500f6d57dc

(4) C01DC42F65ACAF1C917C0CC29BA63ADC
–MD5: c01dc42f65acaf1c917c0cc29ba63adc
–SHA1: d288766fa268bc2534f85fd06a5d52264e646c47

(5) C6F78AD187C365D117CACBEE140F6230
–MD5: c6f78ad187c365d117cacbee140f6230
–SHA1: 5116f281c61639b48fd58caaed60018bafdefe7a

(6) Android惡意程式,D93B6A5C04D392FC8ED30375BE17BEB4
–MD5: d93b6a5c04d392fc8ed30375be17beb4
–SHA1: f862c2899c41a4d1120a7739cdaff561d2490360

4. 檢查系統是否存在下列檔案(ELECTRICFISH惡意程式):
(1) 本次報告更新:0BA6BB2AD05D86207B5303657E3F6874
–MD5: 0ba6bb2ad05d86207b5303657e3f6874
–SHA1: ad44567c8709df4889d381a0a64cc4b49e5004c3

(2) 8d9123cd2648020292b5c35edc9ae22e
–MD5: 8d9123cd2648020292b5c35edc9ae22e
–SHA1: 0939363ff55d914e92635e5f693099fb28047602


5. 若確認資訊設備已遭入侵,建議處理措施:
(1) 針對受害電腦進行資安事件應變處理。
(2) 重新安裝作業系統,並更新作業系統及相關應用軟體。
(3) 更換系統使用者密碼。

6. 日常資訊設備資安防護建議:
(1) 持續更新作業系統及辦公室文書處理軟體等安全性修補程式。若所使用的作業系統已不再提供更新程式,建議升級至較新版本作業系統。
(2) 系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
(3) 安裝及啟用防毒軟體防護,並持續更新病毒碼及掃毒引擎。
(4) 安裝及啟用防火牆防護,並設定防火牆規則僅開放所需之通訊埠。
(5) 不要開啟可疑的郵件與檔案,在開啟下載資料之前先進行資安防護掃描檢查。

參考資料:
BADCALL報告
1. https://www.us-cert.gov/ncas/analysis-reports/ar19-252a
2. https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-G.PDF
ELECTRICFISH報告
1. https://www.us-cert.gov/ncas/analysis-reports/ar19-252b
2. https://www.us-cert.gov/ncas/analysis-reports/AR19-129A

2019-09-11 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Exim存在安全漏洞(CVE-2019-15846),允許攻擊者遠端執行任意程式碼,請儘

發佈編號:TACERT-ANA-2019091111093232
發佈時間:2019-09-11 11:29:33
事故類型:ANA-漏洞預警
發現時間:2019-09-11 01:25:18
影響等級:中
主旨說明:【漏洞預警】Exim存在安全漏洞(CVE-2019-15846),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201909-0051
Exim是劍橋大學開發的郵件傳送代理程式(Mail Transfer Agent,MTA),主要安裝在Linux郵件伺服器上。
研究人員發現,當Exim伺服器接受TLS連線時(預設為啟用),在最初的TLS交握過程中,存在字元(反斜線)處理不當的安全漏洞(CVE-2019-15846),導致攻擊者可利用此漏洞,透過發送惡意請求,進而遠端以root權限執行任意程式碼。

影響平台:Exim 4.92.1(含)以前版本
建議措施:
1. 請執行「exim -bV」指令確認目前使用的版本。
2. 如使用受影響之Exim版本,請至官方網站(https://downloads.exim.org/exim4/)下載並更新至Exim 4.92.2以後版本。

參考資料:
1. https://www.exim.org/static/doc/security/CVE-2019-15846.txt
2. https://nvd.nist.gov/vuln/detail/CVE-2019-15846
3. https://thehackernews.com/2019/09/exim-email-server-vulnerability.html
4. https://www.ithome.com.tw/news/132935

2019-08-29 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Pulse Connect Secure產品存在安全漏洞(CVE-2019-11510、

發佈編號:TACERT-ANA-2019082901085555
發佈時間:2019-08-29 13:13:58
事故類型:ANA-漏洞預警
發現時間:2019-08-28 10:39:43
影響等級:中
主旨說明:【漏洞預警】Pulse Connect Secure產品存在安全漏洞(CVE-2019-11510、CVE-2019-11539),允許未經授權使用者取得帳號與密碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NCCST-ANA-G2019-0130

資安公司BadPackets近期觀測發現駭客針對Pulse Secure公司之Pulse Connect Secure產品漏洞(CVE-2019-11510、CVE-2019-11539)進行大規模攻擊探測。
攻擊者無需身分驗證即可遠端執行命令注入(Remote Command Injection),存取設備上之任意檔案如VPN帳號密碼檔案,進而利用所取得的認證資訊登入組織內部網路,進行橫向擴散。
目前全球總計超過1萬4千個設備可能存在相關漏洞,其中台灣有217個受影響的設備。建議有使用受影響產品的用戶,升級至Pulse Secure官方所發布的修補版本。

影響平台:
Pulse Connect Secure 9.0R1 - 9.0R3.3
Pulse Connect Secure 8.3R1 - 8.3R7
Pulse Connect Secure 8.2R1 - 8.2R12
Pulse Connect Secure 8.1R1 - 8.1R15
Pulse Policy Secure 9.0R1 - 9.0R3.3
Pulse Policy Secure 5.4R1 - 5.4R7
Pulse Policy Secure 5.3R1 - 5.3R12
Pulse Policy Secure 5.2R1 - 5.2R12
Pulse Policy Secure 5.1R1 - 5.1R15

建議措施:
Pulse Secure已針對前述漏洞釋出修復版本,請聯絡設備維護廠商進行版本確認與更新,官方公告連結如下:
1.https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101
2.https://kb.pulsesecure.net/articles/Pulse_Technical_Bulletin/TSB44239

參考資料:
1.https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/
2.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510
3.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11539

2019-06-21 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Firefox瀏覽器存在安全漏洞(CVE-2019-11707),允許攻擊者遠端執行任意

【漏洞預警】Firefox瀏覽器存在安全漏洞(CVE-2019-11707),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
教育機構ANA通報平台

發佈編號:TACERT-ANA-2019062101063636
發佈時間:2019-06-21 13:31:38
事故類型:ANA-漏洞預警
發現時間:2019-06-19 00:00:00
影響等級:高
主旨說明:【漏洞預警】Firefox瀏覽器存在安全漏洞(CVE-2019-11707),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201906-0140

Google Project Zero研究人員發現Firefox瀏覽器使用Array.pop函數處理JavaScript物件時,可能引發類型混淆(Type confusion)的安全漏洞(CVE-2019-11707),攻擊者可透過誘騙受害者點擊惡意連結,進而造成遠端執行任意程式碼。

影響平台:
Firefox 67.0.3以前版本
Firefox ESR 60.7.1以前版本

建議措施:
1.請確認瀏覽器版本,點擊瀏覽器選單按鈕,點選「說明」-->「關於Firefox」,可查看當前使用的Mozilla Firefox瀏覽器是否為受影響之版本。
2.更新方式如下:
(1)開啟瀏覽器,點擊選單按鈕,點選「說明」-->「關於Firefox」,瀏覽器將執行版本檢查與更新。
(2)點擊「重新啟動以更新Firefox」完成更新。
3.保持良好使用習慣,請勿點擊來路不明的網址連結。

參考資料:
1. https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
2. https://thehackernews.com/2019/06/mozilla-firefox-patch-update.html
3. https://www.tenable.com/blog/cve-2019-11707-critical-type-confusion-zero-day-in-mozilla-firefox-exploited-in-the-wild
4. https://www.jpcert.or.jp/at/2019/at190027.html

2019-06-21 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Oracle WebLogic伺服器存在安全漏洞(CVE-2019-2725與CVE-2

發佈編號:TACERT-ANA-2019062101061313
發佈時間:2019-06-21 13:20:14
事故類型:ANA-漏洞預警
發現時間:2019-06-20 00:00:00
影響等級:高
主旨說明:【漏洞預警】Oracle WebLogic伺服器存在安全漏洞(CVE-2019-2725與CVE-2019-2729),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201906-0177

Oracle WebLogic伺服器是由Oracle公司開發的Java EE應用程式伺服器。
研究人員發現Oracle WebLogic伺服器存在兩個反序列化安全漏洞(CVE-2019-2725與CVE-2019-2729),導致未經授權的遠端攻擊者可透過發送惡意請求,利用漏洞進而執行任意程式碼。

影響平台:
CVE-2019-2725:Oracle WebLogic伺服器10.3.6.0.0與12.1.3.0.0版本
CVE-2019-2729:Oracle WebLogic伺服器10.3.6.0.0、12.1.3.0.0及12.2.1.3.0版本

建議措施:
目前Oracle官方已針對弱點釋出修復版本,請各機關聯絡設備維護廠商進行版本確認與更新,官方公告連結如下:

1.https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
2.https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

參考資料:
1. https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html&
2. https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
3. https://blogs.oracle.com/security/security-alert-cve-2019-2729-released
4. https://threatpost.com/oracle-warns-of-new-actively-exploited-weblogic-flaw/145829/
5. https://www.cisecurity.org/advisory/a-vulnerability-in-oracle-weblogic-could-allow-for-remote-code-execution_2019-068/
6. https://medium.com/@knownsec404team/knownsec-404-team-alert-again-cve-2019-2725-patch-bypassed-32a6a7b7ca15?postPublishedType=repub

2019-06-18 行政院國家資通安全會報技術服務中心 公告主旨 : 【漏洞預警】Exim存在安全漏洞(CVE-2019-10149),允許攻擊者遠端執行任意指令,請儘速

發布編號:NCCST-ANA-2019-0072
發布時間:Mon Jun 17 16:01:12 CST 2019
事件類型:漏洞預警
發現時間:Thu Jun 06 00:00:00 CST 2019
警訊名稱:Exim存在安全漏洞(CVE-2019-10149),允許攻擊者遠端執行任意指令,請儘速確認並進行更新
內容說明:

Exim是劍橋大學開發的郵件傳送代理程式(Mail Transfer Agent,MTA),主要安裝在Linux郵件伺服器上。
研究人員發現Exim程式中,/src/deliver.c之deliver_message函數存在收件人地址驗證不足的安全漏洞(CVE-2019-10149),導致攻擊者可利用此漏洞,透過發送惡意請求,進而遠端執行任意指令。

影響平台:Exim 4.87至4.91版本

影響等級:高

建議措施:
1.請執行「exim -bV」指令確認目前使用的版本。
2.如使用受影響之Exim版本,請至官方網站(https://downloads.exim.org/exim4/)下載並更新至Exim 4.92以後版本。

參考資料:

1. https://www.exim.org/static/doc/security/CVE-2019-10149.txt
2. https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txt
3. https://nvd.nist.gov/vuln/detail/CVE-2019-10149
4. https://ithome.com.tw/news/131270

2019-06-17 教育機構ANA通報平台 公告主旨 : 【漏洞預警】PHP eval 函式可能遭利用成為後門攻擊手法,允許攻擊者遠端執行任意程式碼,請儘速確

發佈編號:TACERT-ANA-2019061710063535
發佈時間:2019-06-17 10:15:37
事故類型:ANA-漏洞預警
發現時間:2019-06-13 00:00:00
影響等級:中
主旨說明:【漏洞預警】PHP eval 函式可能遭利用成為後門攻擊手法,允許攻擊者遠端執行任意程式碼,請儘速確認並調整設定
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201906-0001
本中心接獲資安事件通報,經分析後發現 PHP 後門程式特徵,且有可能於檔案首行加上 GIF98a 偽裝成 gif 格式,藉此繞過檔案上傳功能的掃瞄機制。 該後門程式將使攻擊者執行任何系統指令,供各單位參考。

影響平台:PHP eval 函式
建議措施:可檢查網頁伺服器相關檔案中是否含有 eval 之相似字串。

2019-06-10 教育機構ANA通報平台 公告主旨 : 【漏洞預警】校園英聽教材互動廣播系統存在資料庫注入攻擊漏洞 ,請盡速確認並進行修補作業

【漏洞預警】校園英聽教材互動廣播系統存在資料庫注入攻擊漏洞 ,請盡速確認並進行修補作業
教育機構ANA通報平台

發佈編號:TACERT-ANA-2019061009060000
發佈時間:2019-06-10 09:32:01
事故類型:ANA-漏洞預警
發現時間:2019-06-10 09:32:01
影響等級:中

主旨說明:【漏洞預警】校園英聽教材互動廣播系統 存在 資料庫注入攻擊 漏洞 ,請盡速確認並進行修補作業
內容說明:

接獲 HITCON Zero Day 漏洞通報平台 通知。
校園英聽教材互動廣播系統 存在 資料庫注入攻擊(SQL Injection)漏洞,可經由該漏洞免密碼直接登入系統,同時藉此漏洞來修改admin密碼,藉此達成取得最高權限之目的,煩請各單位盡速確認是否使用該系統並進行修補作業。

影響平台:校園英聽教材互動廣播系統

建議措施:

1. 確認貴單位是否使用此軟體,連絡廠商協助進行更新修補作業
2. 修補該程式漏洞,對輸入欄位進行惡意字元過濾作業

2019-06-10 教育機構ANA通報平台 公告主旨 : 【漏洞預警】eClass平台存在任意檔案下載漏洞,請盡速確認並進行修補作業

發佈編號:TACERT-ANA-2019061009063737
發佈時間:2019-06-10 09:39:38
事故類型:ANA-漏洞預警
發現時間:2019-06-10 09:39:38
影響等級:中

主旨說明:【漏洞預警】eClass平台 存在 任意檔案下載 漏洞,請盡速確認並進行修補作業

內容說明:

接獲 HITCON Zero Day 漏洞通報平台 通知。
eClass平台 存在 任意檔案下載(Arbitrary File Download) 漏洞,可經由該漏洞取得後端系統中的任意資料(包含主機之敏感檔案),煩請各單位盡速確認是否使用此系統並進行修補作業。
漏洞注入點範例:https://xx.xx.xx.xx.xx/home/download_attachment.php?target=../etc/passwd

影響平台:eClass平台

建議措施:

1. 確認貴單位是否使用此軟體,連絡廠商協助進行更新修補作業
2. 修補該程式漏洞,對輸入欄位進行惡意字元過濾作業
3. 在未修正此漏洞前,建議暫時先行移除此程式
4. 此漏洞起因於未能強制限定使用者下載目錄的位置,導致惡意使用能利用指向系統其它的目錄下載重要的檔案。建議修正程式,過濾target參數中的跨目錄字元(例如:..)並強制僅能在下載目錄中下載檔案

2019-06-03 教育機構ANA通報平台 公告主旨 : 【漏洞預警】校園數位學習平台 WMP 智慧大師含有 Command Injection 漏洞

發佈編號:TACERT-ANA-2019060309060808
發佈時間:2019-06-03 09:59:09
事故類型:ANA-漏洞預警
發現時間:2019-05-30 00:00:00
影響等級:低

主旨說明:【漏洞預警】校園數位學習平台 WMP 智慧大師含有 Command Injection 漏洞
內容說明:

轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201905-0007
本次通報的漏洞屬於Command Injection的高風險漏洞,如果管理者未在網站的輸入表單中過濾敏感字元,攻擊者則有可能透過這些進入點將指令傳送至伺服器端執行。以本次通報的漏洞而言,該漏洞可以上傳webshell,並取得主機管理者帳密、資料庫帳秘等機敏資訊,也可以執行未經授權的任意系統指令。

影響平台:WMP 智慧大師

建議措施:
1. 確認貴單位是否使用此軟體,連絡廠商協助進行更新修補作業
2. 修補該程式漏洞,對輸入欄位進行惡意字元過濾作業

2019-05-27 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Synology-SA-19:25 Virtual Machine Manager存在安

發佈編號:TACERT-ANA-2019052709053737
發佈時間:2019-05-27 09:18:39
事故類型:ANA-漏洞預警
發現時間:2019-05-24 17:18:18
影響等級:低
主旨說明:【漏洞預警】Synology-SA-19:25 Virtual Machine Manager存在安全漏洞,請儘速確認並進行更新。
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201905-0006

Synology Virtual Machine Manager是協助使用者集中管理多台 Synology NAS的軟體套件。 研究人員發現Synology-SA-19:25 Virtual Machine Manager存在安全漏洞,遠端攻擊者可利用此漏洞,繞過 Virtual Machine Manager 之安全限制。

影響平台:
Virtual Machine Manager 2.4
Virtual Machine Manager 2.3

建議措施:
使用 Virtual Machine Manager 套件的單位盡快更新到最新版本
Virtual Machine Manager 2.4 升級到 2.4.1-9259 或更新版本
Virtual Machine Manager 2.3 升級到 2.3.5-9030 或更新版本

參考資料:https://www.synology.com/zh-tw/security/advisory/Synology_SA_19_25

2019-05-15 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Cisco ESC軟體存在安全漏洞(CVE-2019- 1867),允許遠端攻擊者繞過認

發佈編號:TACERT-ANA-2019051502053131
發佈時間:2019-05-15 14:20:32
事故類型:ANA-漏洞預警
發現時間:2019-05-09 00:00:00
影響等級:高
主旨說明:【漏洞預警】【更新因應對策】Cisco ESC軟體存在安全漏洞(CVE-2019-
1867),允許遠端攻擊者繞過認證機制取得管理者權限,請儘速確認並進行修正。
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201905-0157

Cisco Elastic Services Controller (ESC)是一款提升網路功能虛擬化(NFV)
環境
彈性的軟體。
研究團隊發現Cisco ESC軟體的REST API存在安全漏洞(CVE-2019-1867),攻擊者

利用此漏洞,透過發送惡意請求,進而獲取管理者權限。

影響平台:
Cisco Elastic Services Controller 4.1至4.4 (含)版本,且啟用REST API

建議措施:
目前Cisco官方已針對此弱點釋出修復版本,請各機關聯絡設備維護廠商或參考以下
建議進行更新:

1.於ESC指令介面輸入「esc_version」指令,確認當前使用的ESC軟體版本。
2.REST API預設為停用,於ESC指令介面輸入「sudo netstat -tlnup | grep
8443|8080」指令,可確認REST API是否啟用。
3.如使用受影響之ESC軟體版本,且啟用REST API時,請瀏覽Cisco官方更新網頁
(https://software.cisco.com/download/home),將ESC軟體更新至4.5(含)以
上版本。
參考資料:
1.https://tools.cisco.com/security/center/content/CiscoSecurityAdv
isory/cisco-sa-20190507-esc-authbypass

2019-05-15 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Toshiba 和 Brother 印表機Web Services列印存在安全漏洞,攻擊

發佈編號:TACERT-ANA-2019051502053838
發佈時間:2019-05-15 14:38:39
事故類型:ANA-漏洞預警
發現時間:2019-05-08 00:00:00
影響等級:低
主旨說明:【漏洞預警】Toshiba 和 Brother 印表機Web Services列印存在安全漏洞,攻擊者可利用進行反射放大DDos攻擊。
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201905-0001

影響平台:Toshiba 和 Brother 印表機
建議措施:
建議停用Web Services列印功能

參考資料:https://cert.tanet.edu.tw/pdf/TWCERTCC-ANA-201905-0001.txt

2019-05-13 教育機構ANA通報平台 公告主旨 : 【攻擊預警】北韓駭客組織HIDDEN COBRA利用惡意程式ELECTRICFISH建立隱密通道進行

發佈編號:TACERT-ANA-2019051308052424
發佈時間:2019-05-13 08:45:25
事故類型:INT-系統被入侵
發現時間:2019-05-10 00:00:00
影響等級:中

主旨說明:【攻擊預警】北韓駭客組織HIDDEN COBRA利用惡意程式ELECTRICFISH建
立隱密通道進行通訊,請各單位注意防範
內容說明:

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201905-0108。

美國國土安全部與聯邦調查局近期公布北韓駭客組織HIDDEN COBRA所利用的惡意程
式:ELECTRICFISH,該工具可用於在受害電腦與駭客電腦之間建立隱密通道
(Tunnel),規避資安設備之偵測;該工具亦可指定外部代理伺服器(Proxy Server)
作為中間跳板,以隱藏駭客真實網路位址(IP Address)。

若資訊設備遭受感染會有以下風險:
1.個人或單位資料遭竊取。
2.個人工作或單位運作被影響而中斷停擺。
3.資訊設備資源被利用於對外攻擊。
4.單位財務損失。

建議除使用防毒軟體檢查資訊設備是否受惡意程式感染,也可透過惡意程式資訊確認
感染與否。

影響平台:微軟作業系統
建議措施:

1.檢查系統是否存在下列檔案:

(1)
a1260fd3e9221d1bc5b9ece6e7a5a98669c79e124453f2ac58625085759ed3bb
-MD5: 8d9123cd2648020292b5c35edc9ae22e
-SHA-1: 0939363ff55d914e92635e5f693099fb28047602

(2) hs.exe
-MD5: df934e2d23507a7f413580eae11bb7dc
-SHA-1: 5ce51e3882c40961caf2317a3209831ed77c9c40

2.若確認資訊設備已遭入侵,建議處理措施:
(1).針對受害電腦進行資安事件應變處理。
(2).重新安裝作業系統,並更新作業系統及相關應用軟體。
(3).更換系統使用者密碼。

3.日常資訊設備資安防護建議:
(1).持續更新作業系統及辦公室文書處理軟體等安全性修補程式。若所使用的作業系
統已不再提供更新程式,建議升級至較新版本作業系統。
(2).系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統
上非必要的服務程式亦建議移除或關閉。
(3).安裝及啟用防毒軟體防護,並持續更新病毒碼及掃毒引擎。
(4).安裝及啟用防火牆防護,並設定防火牆規則僅開放所需之通訊埠。
(5).不要開啟可疑的郵件與檔案,在開啟下載資料之前先進行資安防護掃描檢查。

參考資料:https://www.us-cert.gov/ncas/analysis-reports/AR19-129A

2019-05-13 教育機構ANA通報平台 公告主旨 : 【資安訊息】請各單位加強宣導個資管理,並防護保有個人資料檔案之網站系統,以防杜網站個資外洩

發佈編號:TACERT-ANA-2019051309052222
發佈時間:2019-05-13 09:04:22
事故類型:ANA-資安訊息
發現時間:2019-05-10 00:00:00
影響等級:低

主旨說明:【資安訊息】請各單位加強宣導個資管理,並防護保有個人資料檔案之網站
系統,以防杜網站個資外洩
內容說明:

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201905-0089。

有鑑於個資外洩威脅日增,請加強向各自所屬單位宣導個資管理,並針對保有個人資
料之網站 (如活動報名系統、專案型系統等),強化個資安全防護措施,宣導個資保護
意識。

影響平台:N/A
建議措施:

1.規劃與落實個資保護安全控制措施。

參考「105年個人資料保護參考指引(V2.0)」中之安全控制措施規劃(3.1.8)與建立
安全控制措施(3.2.3)說明,針對個資保護技術安全控制項目進行妥適規劃、評估與
量測,以強化個人資料之安全防護。

2.強化委外管理。

如將個人資料委託第三方廠商處理,可參考「107年政府資訊作業委外服務參考指引
(修訂)(V5.1)」之個人資料委外管理風險與注意事項(2.5.3),落實個資保護要求與
管理。

3.加強管控網站安全。

針對保有個資之網站應納入管理範圍,妥善保護網站儲存之個人資料。若為短期活動
或專案性質,應於活動或專案終止後立即離線關閉,而所包含之個人資料應限制存
取,並於個資期限屆滿後落實刪除。

4.重新檢視依法公開之個人資料。

如有因應法規要求而需公開於網站之個人資料,請重新檢視公開內容之妥適性,並增
加其上線公布之審查程序,以避免洩露不適當的個人資料。

參考資料:https://www.nccst.nat.gov.tw/CommonSpecification?lang=zh
1.107年政府資訊作業委外服務參考指引(修訂)(V5.1)
2.105年個人資料保護參考指引(V2.0)

2019-04-12 教育機構ANA通報平台 公告主旨 : 【攻擊預警】北韓駭客組織HIDDEN COBRA所利用的惡意程式HOPLIGHT,請各單位注意防範)

發佈編號:TACERT-ANA-2019041209045353
發佈時間:2019-04-12 09:52:53
事故類型:ANA-攻擊預警
發現時間:2019-04-10 00:00:00
影響等級:中
主旨說明:【攻擊預警】北韓駭客組織HIDDEN COBRA所利用的惡意程式HOPLIGHT,
請各單位注意防範
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201904-0062。

美國國土安全部與聯邦調查局公布最新北韓駭客組織HIDDEN COBRA所利用的惡意程
式:HOPLIGHT,透過加密連線進行惡意活動。

若資訊設備遭受感染會有以下風險:

1.個人或單位資料遭竊取。
2.個人工作或單位運作被影響而中斷停擺。
3.資訊設備資源被利用於對外攻擊。
4.單位財務損失。

建議除使用防毒軟體檢查資訊設備是否受惡意程式感染,也可透過已知惡意連線IP與
惡意檔案存在路徑確認感染與否。


影響平台:微軟作業系統
建議措施:
1.部署黑名單於防護設備進行偵測,監控是否有資訊設備已遭入侵,HIDDEN COBRA
IP黑名單如下:

112.175.92.57
113.114.117.122
128.200.115.228
137.139.135.151
181.39.135.126
186.169.2.237
197.211.212.59
21.252.107.198
26.165.218.44
47.206.4.145
70.224.36.194&
81.94.192.10&
81.94.192.147
84.49.242.125
97.90.44.200

2.檢查系統是否存在下列檔案:

(1) %System32%
dpproto.dll
-MD5: dc268b166fe4c1d1c8595dccf857c476
-SHA-1: 8264556c8a6e460760dc6bb72ecc6f0f966a16b8

(2) C:WINDOWSudbcgiut.dat 或 %AppData%LocalTempudbcgiut.dat
-MD5: ae829f55db0198a0a36b227addcdeeff
-SHA-1: 04833210fa57ea70a209520f4f2a99d049e537f2

(3) C:WINDOWSMSDFMAPI.INI
或%UserProfile%AppDataLocalVirtualStoreWindowsMSDFMAPI.INI
-MD5: c4103f122d27677c9db144cae1394a66
-SHA-1: 1489f923c4dca729178b3e3233458550d8dddf29

(4) %System32%UDPTrcSvc.dll
-MD5: 0893e206274cb98189d51a284c2a8c83
-SHA-1: d1f4cf4250e7ba186c1d0c6d8876f5a644f457a4

3.若確認資訊設備已遭入侵,建議處理措施:
(1)重新安裝作業系統,並更新作業系統及相關安裝軟體。
(2)更換系統使用者密碼。
(3)安裝及啟用防毒軟體防護。
(4)安裝及啟用防火牆防護。

4.日常資訊設備資安防護建議:
(1)持續更新作業系統及辦公室文書處理軟體等安全性修補程式。若所使用的作業系統
已不再提供更新程式,建議升級至較新版本作業系統。
(2)系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上
非必要的服務程式亦建議移除或關閉。
(3)安裝及啟用防毒軟體防護,並持續更新病毒碼及掃毒引擎。
(4)安裝及啟用防火牆防護,並設定防火牆規則僅開放所需之通訊埠。
參考資料:https://www.us-cert.gov/ncas/analysis-reports/AR19-100A<

2019-04-10 教育機構ANA通報平台 公告主旨 : 【漏洞預警】華碩電腦ASUS Live Update工具程式可能遭受APT攻擊,建議使用者儘速更新

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201904-0002


華碩電腦於108年3月26日在官方網站表示,其自動更新軟體ASUS Live Update工
具程式,遭駭客植入惡意程式碼進行攻擊。

為避免資安疑慮,建議各單位檢視內部使用之華碩裝置是否使用ASUS Live
Update工具程式,並將其更新至最新版本(V3.6.8或是更高的版本)。

2019-03-27 教育機構資安通報應變小組 公告主旨 : 【漏洞預警】Mozilla Firefox瀏覽器存在安全漏洞(CVE-2019-9810與CVE-2

[主旨說明:]【漏洞預警】Mozilla Firefox瀏覽器存在安全漏洞(CVE-2019-9810
與CVE-2019-9813),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新

[內容說明:]
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201903-0148


根據Mozilla發布的安全性公告顯示,Mozilla Firefox瀏覽器由於別名資訊不正確
或類型混淆等原因,導致存在可繞過邊界檢查(Bounds check)而產生緩衝區溢位問
題,以及可對記憶體任意進行讀取與寫入之漏洞(CVE-2019-9810與CVE-2019-
9813)。攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結,導致遠端執行任意程
式碼

[影響平台:]

Mozilla Firefox 66.0(含)以前版本

Mozilla Firefox ESR 60.6.0(含)以前版本
[建議措施:]

1.請確認瀏覽器版本,點擊瀏覽器選單按鈕,點選「說明」-->「關於Firefox」,
可查看當前使用的Mozilla Firefox瀏覽器是否為受影響之版本

2.更新方式如下:

(1)開啟瀏覽器,點擊選單按鈕,點選「說明」-->「關於Firefox」,瀏覽器將執行
版本檢查與更新

(2)點擊「重新啟動以更新Firefox」完成更新

3.保持良好使用習慣,請勿點擊來路不明的網址連結

2019-03-18 教育機構ANA通報平台 公告主旨 : 【漏洞預警】學術網路單位所屬電子郵件帳戶疑似密碼外洩情資,請各單位協助進行電子郵件安全宣導並檢查郵件

發佈編號:TACERT-ANA-2019031810035555
發佈時間:2019-03-18 10:59:57
事故類型:ANA-漏洞預警
發現時間:2019-03-18 00:00:00
影響等級:中
主旨說明:【漏洞預警】學術網路單位所屬電子郵件帳戶疑似密碼外洩情資,請各單
位協助進行電子郵件安全宣導並檢查郵件主機是否有異常使用或空帳號未使用之狀

內容說明:
本單位接獲 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201903-
0104。

學術網路部分單位所屬電子郵件帳戶疑似帳號及密碼外洩情資,情資內容共計有
96,784 筆電子郵件帳戶。

有關疑似密碼外洩電子郵件帳戶,本單位將陸續派發電子郵件通知該電子郵件使用
者進行密碼變更作業,因資料內容涉及個人隱私故未在此公告及提供。

因涵蓋單位較廣且恐部分問題已修正,為顧及時效無法一一通知並確認,故在此提
供本情資內容中外洩單位之電子郵件網域供各單位資安人員清查比對。

請各單位通知郵件網域管理人員進行帳號清查及系統資安作業。

影響平台:情資內容中包含之外洩電子郵件網域
建議措施:
1. 進行電子郵件安全宣導,降低電子郵件帳戶密碼外洩可能性。
2. 進行電子郵件主機系統更新、特權帳號清查及檢查是否有異常行為帳戶。
3. 對電子郵件主機系統未使用空帳號進行清查與刪除,若久未使用之帳號進行密碼
變更作業。

參考資料:
此次外洩單位及電子郵件網域清單提供於教育機構資安通報平台
(https://info.cert.tanet.edu.tw)中,煩請登入後取得相關資料。

登入教育機構資安通報平台 -> 左側「情資資料下載」功能 -> 「學術網路單位所
屬電子郵件帳戶疑似密碼外洩情資佐證資料」

2019-03-14 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Apache Solr存在安全漏洞(CVE-2019-0192),允許攻擊者遠端執行任意

教育機構ANA通報平台

發佈編號:TACERT-ANA-2019031402035959
發佈時間:2019-03-14 14:24:02
事故類型:ANA-漏洞預警
發現時間:2019-03-11 00:00:00
影響等級:高
主旨說明:【漏洞預警】Apache Solr存在安全漏洞(CVE-2019-0192),允許攻擊
者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201903-0105

Apache Solr是開放原始碼的全文檢索伺服器,以Lucene程式庫為核心,進行全文
資料的解析、索引及搜尋。

研究人員發現,Solr的ConfigAPI允許攻擊者透過HTTP POST請求修改
jmx.serviceUrl內容,將JMX伺服器指向惡意RMI/LDAP伺服器,再運用Solr不安
全的反序列化功能(ObjectInputStream),進而導致遠端執行任意程式碼。


影響平台:
‧Apache Solr 5.0.0至5.5.5版本
‧Apache Solr 6.0.0至6.6.5版本

建議措施:
目前Apache官方已針對此弱點釋出修復版本,請各機關可聯絡系統維護廠商或參考
以下建議進行:

1.更新時,建議進行測試後再安裝更新
2.可於系統輸入指令「solr version」確認目前使用的版本。若為上述受影響版
本,可採取下列措施:

(1).更新Apache Solr至7.0以後版本

(2).若無法立即更新Solr版本,可進行下列替代措施:

 a.停用ConfigAPI:請執行Solr並開啟系統屬性,將disable.configEdit設置
為true
 b.下載SOLR-13301.patch並且重新編譯Solr,下載連結網址如下:
https://issues.apache.org/jira/secure/attachment/12961503/12961503
_SOLR-13301.patch
c.只允許受信任的來源電腦存取Solr伺服器

參考資料:
1. https://issues.apache.org/jira/browse/SOLR-13301
2. https://vulmon.com/vulnerabilitydetails?qid=CVE-2019-0192
3. http://mail-archives.us.apache.org/mod_mbox/www-
announce/201903.mbox/%3CCAECwjAV1buZwg%2BMcV9EAQ19MeAWztPVJYD4zGK8
kQdADFYij1w%40mail.gmail.com%3E

2019-03-08 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2019-5786),允許攻擊者遠

發佈編號:TACERT-ANA-2019030802034343
發佈時間:2019-03-08 14:00:44
事故類型:ANA-漏洞預警
發現時間:2019-03-07 00:00:00
影響等級:高
主旨說明:【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2019-5786),
允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201903-0099。

Google安全研究團隊發現,Google Chrome瀏覽器存在使用釋放後記憶體(use-
after-free)漏洞,攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結,導致遠
端執行任意程式碼

影響平台:Google Chrome 72.0.3626.119(含)以前版本
建議措施:
請更新Google Chrome瀏覽器至72.0.3626.121以後版本,更新方式如下:

1.開啟瀏覽器,於網址列輸入chrome://settings/help,瀏覽器將執行版本檢查
與自動更新
2.點擊「重新啟動」完成更新

參考資料:
1. https://www.ithome.com.tw/news/129152

2019-03-07 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Cisco三款VPN路由器產品存在安全漏洞,允許遠端攻擊者執行任意程式碼,請儘速確認並進

發佈編號:TACERT-ANA-2019030710032121
發佈時間:2019-03-07 10:13:23
事故類型:ANA-漏洞預警
發現時間:2019-03-06 00:00:00
影響等級:高
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201903-0001。

研究團隊發現Cisco RV110W、RV130W及RV215W三款VPN路由器產品存在安全性漏
洞(CVE-2019-1663),肇因於此三款產品之網頁管理介面程式未完整驗證用戶提交
的資料,導致未經授權的遠端攻擊者可針對目標設備發送特製的HTTP請求,進而造
成遠端攻擊者可以管理員權限執行任意程式碼


影響平台:
RV110W Wireless-N VPN Firewall:韌體版本1.2.2.1以前的所有版本
RV130W Wireless-N Multifunction VPN Router:韌體版本1.0.3.45以前的所
有版本
RV215W Wireless-N VPN Router:韌體版本1.3.1.1以前的所有版本

建議措施:
目前Cisco官方已針對此弱點釋出修復版本,請各機關可聯絡設備維護廠商或參考以
下建議進行更新:

1.連線至網址:https://software.cisco.com/download/home,點擊「Browse
All」按鈕
2.按照型號下載更新檔:
(1)RV110W Wireless-N VPN Firewall:
點擊「Routers > Small Business Routers > Small Business RV Series
Routers > RV110W Wireless-N VPN Firewall > Wireless Router
Firmware」選擇1.2.2.1或後續版本進行下載
(2)RV130W Wireless-N Multifunction VPN Router:
點擊「Routers > Small Business Routers > Small Business RV Series
Routers > RV130W Wireless-N Multifunction VPN Router > Small
Business Router Firmware」選擇1.0.3.45或後續版本進行下載
(3)RV215W Wireless-N VPN Router:

點擊「Routers > Small Business Routers > Small Business RV Series
Routers > RV215W Wireless-N VPN Router > Wireless Router Firmware」
選擇1.3.1.1或後續版本進行下載

3.使用設備之管理頁面功能進行韌體更新

參考資料:
1.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvis
ory/cisco-sa-20190227-rmi-cmd-ex
2. https://www.ithome.com.tw/news/129047

2019-03-06 教育機構ANA通報平台 公告主旨 : 【漏洞預警】部份單位 學生出入校園管理系統 存在 資料庫注入攻擊 漏洞,請盡速確認並進行修補作業

發佈編號:TACERT-ANA-2019030610035858
發佈時間:2019-03-06 10:15:59
事故類型:ANA-漏洞預警
發現時間:2019-03-06 10:15:59
影響等級:中
內容說明:
接獲 台灣電腦網路危機處理暨協調中心 通知。

於2019/2/28接獲外部通報,發現部份單位使用 學生出入校園管理系統 存在資料
庫注入攻擊(SQL Injection)漏洞,
可經由該漏洞取得後端資料庫權限及完整資料(包含大量使用者個資或敏感性資
料),同時也有機會對資料進行破壞或修改,煩請各單位盡速確認並進行修補作
業。


Google 搜尋 學生出入校園管理系統
PayLoad: URL: /director/information_school_List.php


影響平台:學生出入校園管理系統
建議措施:修補該程式漏洞,對輸入欄位進行惡意字元過濾作業
參考資料:https://cert.tanet.edu.tw/images/20190306.jpg

2019-02-25 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Drupal存在安全漏洞(CVE-2019-6340),允許攻擊者遠端執行任意程式碼,請

發佈編號:TACERT-ANA-2019022509024545
發佈時間:2019-02-25 09:15:47
事故類型:ANA-漏洞預警
發現時間:2019-02-22 00:00:00
影響等級:高
主旨說明:【漏洞預警】Drupal存在安全漏洞(CVE-2019-6340),允許攻擊者遠端
執行任意程式碼,請盡速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201902-0152。

Drupal是一個開源且以PHP語言寫成的內容管理框架(CMF)

研究人員發現Drupal存在安全漏洞(CVE-2019-6340),當攻擊者以PATCH或POST方
式傳送RESTful Web資料時,Drupal並未對資料進行嚴格的檢查,進而導致執行任
意PHP程式碼

影響平台:
1. 有啟用RESTful Web Services模組,且接受PATCH或POST請求的網站
2.使用JSON:API模組的網站
Drupal 7:使用RESTful Web Services或Services模組的網站

建議措施:
版本更新:可於CHANGELOG.txt檔案進行版本確認。

.若使用Drupal 8.6.x版本,需升級至Drupal 8.6.10以後版本:
https://www.drupal.org/project/drupal/releases/8.6.10
.若使用Drupal 8.5.x(含)以前版本,需升級至Drupal 8.5.11以後版本:
https://www.drupal.org/project/drupal/releases/8.5.11&

模組更新:更新網址https://www.drupal.org/security/contrib。

.用Drupal 8版本更新後,須再更新受影響模組之安全性更新,受影響模組如下:
*JSON:API
*Metatag
*Video
*Paragraphs
*Translation Management Tool
*Font Awesome lcons

‧使用Drupal 7不需進行版本升級,但部分受影響模組需進行更新,受影響模組如
下:

*RESTful Web Services
*Link

請定期檢視系統/應用程式更新紀錄,避免駭客利用系統/應用程式安全性漏洞進行
入侵行為,亦須更新防毒軟體病毒碼以加強防護

參考資料:
1. https://www.drupal.org/sa-core-2019-003
2. https://www.tenable.com/blog/highly-critical-drupal-security-
advisory-released-sa-core-2019-003
3. https://thehackernews.com/2019/02/hacking-drupal-
vulnerability.html

2019-02-15 教育機構ANA通報平台 公告主旨 : 【漏洞預警】舊版 C.P.Sub CMS 公告系統含有 CSRF 漏洞,請儘速確認並進行修正

發佈編號:TACERT-ANA-2019021510021414
發佈時間:2019-02-15 10:59:18
事故類型:ANA-漏洞預警
發現時間:2019-02-12 00:00:00
影響等級:低
主旨說明:【漏洞預警】舊版 C.P.Sub CMS 公告系統含有 CSRF 漏洞,請儘速確認並進行修正
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201902-0001

TWCERT/CC 於 2019/02/12 收到通報,發現部分教育單位採用含有 CSRF 漏洞版本的 C.P.Sub 公告系統,該系統開發者已於 2019/02/11 完成此漏洞修補。

為避免不必要之資安風險,請各單位確認是否有使用該系統,並將該系統更新至 5.3 (含)以上



影響平台:C.P.Sub before 5.3 allows CSRF via a manage.php?p=article_del&id= URI.
建議措施:更新該公告系統至最新版本
參考資料:
1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7738
2. https://github.com/cooltey/C.P.Sub/issues/3

回到最上方