網路現況公告
查詢訊息時間:~


日期

來源

內   容

2018-04-10 教育機構資安通報應變小組 公告主旨 : 【漏洞預警】Cisco資訊設備疑存在遠端程式碼執行漏洞

一、內容說明:

轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201803-0068。

Cisco Smart Install提供網路交換器隨插即用配置和IOS Image 管理的功能。
Cisco於2018年3月28日公布了該功能的漏洞(CVE-2018-0171),允許未經身份驗證之攻擊者利用TCP 4786通訊埠,
執行指令並控制該設備,造成受影響之設備發生阻斷服務。透過Shodan查詢,教育部網路與學術網路中存在近千台Cisco設備使用公開IP,並開啟TCP 4786通訊埠可遭存取利用。

二、影響平台:
1. Catalyst 4500 Supervisor Engines
2. Catalyst 3850 Series
3. Catalyst 3750 Series
4. Catalyst 3650 Series
5. Catalyst 3560 Series
6. Catalyst 2960 Series
7. Catalyst 2975 Series
8. IE 2000
9. IE 3000
10. IE 3010
11. IE 4000
12. IE 4010
13. IE 5000
14. SM-ES2 SKUs
15. SM-ES3 SKUs
16. NME-16ES-1G-P
17. SM-X-ES3 SKUs

三、建議措施:
1. 盤點與檢視相關設備系統,確認設備是否受漏洞影響。若該設備為受影響之型號,請安裝最新之修補程式。
2. 相關設備系統應置於實體防火牆設備後端並設置防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠,過濾內外部異常網路連線。若無使用Smart Install功能之需求,建議關閉該功能。
3. 請開啟相關主機作業系統與應用程式日誌,並定期分析可疑行為(如:登入失敗、流量異常上升及非正常時間之登入行為)。

四、參考資料:
1. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
2. https://embedi.com/blog/cisco-smart-install-remote-code-execution/
3. https://www.shodan.io/search?query=org%3ATANET+port%3A4786&page=1
4. https://www.shodan.io/search?query=org%3Amoec+port%3A4786

2018-03-14 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Cisco安全存取控制伺服器(Cisco Secure ACS)存在Java反序列化漏洞

一、內容說明:
轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201803-0005。
Cisco安全存取控制伺服器(Cisco Secure ACS)提供網路設備集中管理帳號密碼與權限管理之功能,網路管理人員連線至網路設備進行管理與設定時,可透過Cisco安全存取控制伺服器進行認證及取得授權指令,並留下稽核軌跡紀錄。
研究團隊發現Cisco安全存取控制伺服器存在Java反序列化(Deserialization)漏洞(CVE-2018-0147),導致未經授權的遠端攻擊者可針對目標設備發送特製的Java序列化物件,進而造成遠端攻擊者可以root權限執行任意指令。

二、影響平台:
Cisco Secure ACS 5.8.0.32.8(含)以前的版本

三、建議措施:
目前Cisco官方已針對此弱點釋出修復版本,請各機關可聯絡設備維護廠商或參考以下建議進行更新:

1.於Cisco Secure ACS指令介面輸入「show version」指令確認當前使用的版本。
2.如使用受影響之Cisco Secure ACS版本,請瀏覽Cisco官方更新網頁(http://www.cisco.com/cisco/software/navigator.html),於Download Software頁面點擊「Products > Security > Network Visibility and
Enforcement > Secure Access Control System > Secure Access Control System 5.8」,選擇5.8.0.32.9或以上版本進行更新。

四、參考資料:
1.https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180307-acs2
2.https://securitytracker.com/id/1040463

2018-01-19 教育機構ANA通報平台 公告主旨 : 【漏洞預警】多款CPU處理器存在Meltdown與Spectre漏洞,允許攻擊者在受 害系統上讀取記

說明:
一、
1.轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-
201801201801-0017。
2.Google Project Zero等研究團隊於1月3日揭露Meltdown與Spectre兩種
透過推測執行(Speculative execution)的攻擊方式,目前已知該攻擊方式至少須
具備受害系統的一般使用者權限,或是誘騙受害者去觸發惡意程式等方式。
3.若具以上前提條件,則其中Meltdown(CVE-2017-5754)漏洞,有機會允
許攻擊者以系統權限讀取應用程式與作業系統所用到的部分記憶體,而Spectre
(CVE-2017-5753)與(CVE-2017-5715)漏洞,則允許攻擊者讀取CPU核心內的快取
資料檔資料,或有機會取得執行中的應用程式儲存在記憶體內的機敏資訊。
二、影響平台:
Intel處理器:
Intel Core i3 processor (45nm and 32nm)
Intel Core i5 processor (45nm and 32nm)
Intel Core i7 processor (45nm and 32nm)
Intel Core M processor family (45nm and 32nm)
2nd generation Intel Core processors
3rd generation Intel Core processors
4th generation Intel Core processors
5th generation Intel Core processors
6th generation Intel Core processors
7th generation Intel Core processors
8th generation Intel Core processors
Intel Core Xseries Processor Family for Intel X99 platforms
Intel Core Xseries Processor Family for Intel X299 platforms
Intel Xeon processor 3400 series
Intel Xeon processor 3600 series
Intel Xeon processor 5500 series
Intel Xeon processor 5600 series
Intel Xeon processor 6500 series
Intel Xeon processor 7500 series
Intel Xeon Processor E3 Family
Intel Xeon Processor E3 v2 Family
Intel Xeon Processor E3 v3 Family
Intel Xeon Processor E3 v4 Family
Intel Xeon Processor E3 v5 Family
Intel Xeon Processor E3 v6 Family
Intel Xeon Processor E5 Family
Intel Xeon Processor E5 v2 Family
Intel Xeon Processor E5 v3 Family
Intel Xeon Processor E5 v4 Family
Intel Xeon Processor E7 Family
Intel Xeon Processor E7 v2 Family
Intel Xeon Processor E7 v3 Family
Intel Xeon Processor E7 v4 Family
Intel Xeon Processor Scalable Family
Intel Xeon Phi Processor 3200, 5200, 7200 Series
Intel Atom Processor C Series
Intel Atom Processor E Series
Intel Atom Processor A Series
Intel Atom Processor x3 Series
Intel Atom Processor Z Series
Intel Celeron Processor J Series
Intel Celeron Processor N Series
Intel Pentium Processor J Series
Intel Pentium Processor N Series
ARM:
CortexR7
CortexR8
CortexA8
CortexA9
CortexA15
CortexA17
CortexA57
Cort Windows 10exA72
CortexA73
CortexA75
三、建議措施:
各平台因應措施及影響不同,請與單位硬體維護廠商聯絡並評估後再行修正。
四、參考資料:
1.https://security.googleblog.com/2018/01/todays-cpu-
vulnerability-what-you-need.html
2.https://www.ithome.com.tw/news/120312
3.https://www.bleepingcomputer.com/news/microsoft/how-to-check-
and-update-windows-systems-for-the-meltdown-and-spectre-cpu-flaws/
4.http://www.kb.cert.org/vuls/id/584653
5.http://technews.tw/2018/01/05/about-intel-meltdown-spectre/
五、如有相關問題,請與業務承辦人聯絡。

2017-11-28 教育機構ANA通報平台 公告主旨 : 特定Intel處理器中的ME、SPS及TXE管理技術存在多個安全漏洞,允許攻擊者遠端執行任意程式碼

]【漏洞預警】特定Intel處理器中的ME、SPS及TXE管理技術存在多個安全漏洞,
允許攻擊者遠端執行任意程式碼,或本地端進行提權與執行任意程式碼
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201711-0033

研究人員發現Intel管理引擎(Management Engine,ME)、受信任的執行引擎
(Trusted Execution Engine,TXE)及伺服器平台服務(Server Platform
Services,SPS)存在多個安全漏洞。

當中管理引擎(ME)包含CVE-2017-5705、CVE-2017-5708、CVE-2017-5711及CVE-
2017-5712安全漏洞,受信任的執行引擎(TXE)包含CVE-2017-5707與CVE-
2017-5710安全漏洞,伺服器平台服務(SPS)包含CVE-2017-5706與CVE-2017-5709
安全漏洞。其中部分漏洞允許攻擊者於本地用戶的目標系統進行提權與執行任意
程式碼。

[影響平台:]
處理器版本:
6th, 7th, and 8th generation Intel Core Processor Family
Intel Xeon Processor E3-1200 v5 and v6 Product Family
Intel Xeon Processor Scalable Family
Intel Xeon Processor W Family
Intel Atom C3000 Processor Family
Apollo Lake Intel Atom Processor E3900 series
Apollo Lake Intel Pentium Processors
Intel Celeron N and J series Processors
韌體版本:
Intel Manageability Engine韌體版本:8.x、9.x、10.x、11.0.x.x、
11.5.x.x、11.6.x.x、11.7.x.x、11.10.x.x、11.20.x.x
Intel Server Platform Services韌體版本:4.0.x.x
Intel Trusted Execution Engine韌體版本:3.0.x.x
[建議措施:]
1.目前Intel官方已針對該弱點成立專區(https://www.intel.com/content/www
/us/en/support/articles/000025619/software.html) ,並彙整各家受影響廠
商的技術支援連結,請持續關注或洽詢合作之OEM廠商更新至相對應的韌體版
本,詳細修復韌體版本如下:

6th Generation Intel Core Processor Family大於Intel ME 11.8.50.3425的版本
6th Gen X-Series Intel Core Processor大於Intel ME 11.11.50.1422的版本
7th Generation Intel Core Processor Family大於Intel ME 11.8.50.3425的版本
7th Gen X-Series Intel Core Processor大於Intel ME 11.11.50.1422的版本
8th Generation Intel Core Processor Family大於Intel ME 11.8.50.3425的版本
Intel Xeon Processor E3-1200 v5 Product Family大於Intel ME 118.50.3425
與Intel SPS 4.1.4.054的版本
Intel Xeon Processor E3-1200 v6 Product Family大於Intel ME 118.50.3425
與Intel SPS 4.1.4.054的版本
Intel Xeon Processor Scalable Family大於Intel ME 11.21.50.1424與Intel
SPS 4.0.04.288的版本
Intel Xeon Processor W Family大於Intel ME 11.11.50.1422的版本
Intel Atom C3000 Processor Family大於Intel SPS 4.0.04.139的版本
Apollo Lake Intel Atom Processor E3900 series大於Intel TXE Firmware
3.1.50.2222的版本
Apollo Lake Intel Pentium大於Intel TXE Firmware 3.1.50.2222的版本
Celeron N series Processors大於Intel TXE Firmware 3.1.50.2222的版本
Celeron J series Processors大於Intel TXE Firmware 3.1.50.2222的版本

2.Intel官方網頁釋出之檢測工具,詳細檢測步驟如下:
(1)下載Intel SCS System Discovery Utility工具
(https://downloadcenter.intel.com/download/27150)
(2)Windows:執行Intel-SA-00086-GUI.exe程式
(3)Linux:執行intel_sa00086.py程式
[參考資料:]
1.https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr


2.https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問
或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-11-27 行政法人國家資通安全科技中心 資安訊息警訊 NCCST-AN 公告主旨 : 【漏洞預警】英飛凌TPM晶片存在RSA缺陷漏洞(CVE-2017-15361)

英飛凌(Infineon Technologies)是一間位於德國的半導體製造商,主力提供半
導體與系統解決方案。可信賴平台模組(Trusted Platform Module, TPM)是由可
信賴運算組織(Trusted Computing Group, TCG)所發展的安全晶片規格,用以儲
存如密碼、憑證或加密金鑰等重要資料,目前廣泛應用於筆記型電腦、路由器或
物聯網裝置的主機板上。

研究人員發現英飛凌公司的加密智能卡、安全令牌(Security Tokens)及其他安
全硬體等,其基於TCG規範1.2與2.0版所生產的TPM晶片存在RSA缺陷漏洞(CVE-
2017-15361),攻擊者可透過因數分解攻擊(Factorization Attack)計算出私密
金鑰(Private Key),進而導致攻擊者可偽冒合法使用者以獲取機敏資訊。

[影響平台:]
基於TCG規範1.2與2.0版所生產之TPM晶片
[建議措施:]
目前英飛凌官網(https://www.infineon.com/cms/en/product/promopages/tpm-
update/?redirId=59160) 已彙整各廠商所提供技術支援連結,各機關可自行參
考廠商提供的受影響產品與更新檔進行修復。

- HP (https://support.hp.com/us-en/document/c05792935)
- Lenovo (https://support.lenovo.com/tw/zh/product_security/len-15552)
- Fujitsu (http://support.ts.fujitsu.com/content/InfineonTPM.asp)
- Panasonic (http://pc-dl.panasonic.co.jp/itn/info/osinfo20171026.html)
- Toshiba (https://support.toshiba.com/sscontent?contentId=4015874)
- Chrome OS
(https://sites.google.com/a/chromium.org/dev/chromium-os/tpm_firmware_update)

[參考資料:]
1.https://crocs.fi.muni.cz/public/papers/rsa_ccs17#detection_tools_mitigation_and_workarounds


2.https://www.ithome.com.tw/news/117518

3.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170012


4.http://www.securityweek.com/tech-giants-warn-crypto-flaw-infineon-chips
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問
或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-11-21 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Android.Congur資安事件頻傳,建議各學校優先封鎖連線的惡意目的IP

發佈編號
TACERT-ANA-2017112109115454
發佈時間
2017-11-21 09:30:57
事故類型 ANA-漏洞預警 發現時間 2017-11-21 09:30:57
影響等級 中
[內容說明:]
從106年5月開始在學術網路中發生陸續發生Android. Congur資安事件,偵測規
則為Android.Congur.Botnet或MALWARE-CNC Andr.Trojan.Congur variant
outbound connection detected,根據TACERT團隊觀察,該類型資安事件的觸發
率有逐漸升高之趨勢,而該類型資安事件單的中毒裝置並非只有手機,有安裝
Android 模擬器的電腦也有可能中毒。

經TACERT團隊檢測,當使用者於Android系統玩一款來自韓國的手機遊戲時,會
出現連至中國IP:123.56.205.151:6280之連線行為,此IP目前被Fortinet公司和
AlienVault公司視為惡意IP,並列入黑名單,建議各學校遇到此類資安事件時,
優先封鎖此惡意IP,封鎖該IP不影響該遊戲之使用。
[影響平台:]
所有的Android作業系統版本
[建議措施:]
1.確實使用Android平台提供的基本手機防護。
2.盡量避免使用Wi-Fi自動連線功能。
3.在下載來自第三方應用程式商店的APP前請審慎考慮。
4.當有程式或網頁請求授權時,請詳細閱讀其請求授權的內容。
5.安裝具有信譽且有效的智慧型手機防毒軟體。
6. 請各學校封鎖連線的惡意目的IP:123.56.205.151:6280。
[參考資料:]
1.個案分析-校園Android手機感染Congur病毒事件分析報告
https://portal.cert.tanet.edu.tw/docs/pdf/2017112004115757990146989190715.pdf
如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-10-25 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Adobe Flash Player存在嚴重漏洞(CVE-2017-11292)

發佈編號
TACERT-ANA-2017102502102222
發佈時間
2017-10-25 14:08:23
事故類型 ANA-漏洞預警 發現時間 2017-10-20 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Adobe Flash Player存在嚴重漏洞(CVE-
2017-11292),允許攻擊者在受害系統上執行任意程式碼,進而獲取系統控制權
限,請儘速確認並進行更新
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201710-0035

Adobe Flash Player是一個被廣泛使用的多媒體程式播放器。

防毒廠商卡巴斯基的研究人員(Anton Ivanov)於分析用戶受害情形時,發現駭客
組織(BlackOasis)利用Adobe Flash Player之零時差漏洞(漏洞編號為CVE-
2017-11292)進行攻擊,駭客利用其中含有Flash攻擊代碼之ActiveX物件的惡意
Word文件進行攻擊,當開啟該惡意Word文件後,即可取得系統控制權限,導致可
在受害系統上執行任意程式碼,並且發現該漏洞已被利用來散布FinSpy等間諜惡
意軟體,進行APT攻擊用途。

[影響平台:]
Adobe Flash Player Desktop Runtime小於(含)27.0.0.159之前的版本
Adobe Flash Player for Google Chrome小於(含)27.0.0.159之前的版本
Adobe Flash Player for Microsoft Edge小於(含)27.0.0.130之前的版本
Adobe Flash Player for Internet Explorer 11小於(含)27.0.0.130之前的版本
[建議措施:]
1.各單位可至Adobe Flash Player官網(http://get.adobe.com/tw/flashplayer
/about/)提供的連結,確認當前使用之版本。
如所使用的版本為上述受影響的Adobe Flash Player 版本,請至Adobe Flash
Player官網(https://helpx.adobe.com/security/products/flash-player
/apsb17-32.html)下載最新版本進行更新

2.定期檢視系統/應用程式更新紀錄,避免駭客利用系統/應用程式安全性漏洞進
行入侵行為,並更新防毒軟體病毒碼以加強防護
[參考資料:]
1.https://www.kaspersky.com/about/press-releases/2017_kaspersky-lab-discovers-adobe-flash-zero-day

2.https://www.ithome.com.tw/news/117524

3.https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/
如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-10-18 教育機構ANA通報平台 公告主旨 : 【漏洞預警】WPA2加密協議存在嚴重漏洞,所有含有WPA2加密協議之裝置均可能受影響

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201710-0011

WPA 全稱為 Wi-Fi Protected Access,有 WPA 和 WPA2 兩個標準,是一種保護
無線網路安全的加密協議。
比利時研究人員發現WPA2(Wi-Fi Protected Access 2)加密協議中存在嚴重漏洞,
包含CVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、
CVE-2017-13081、CVE-2017-13082、CVE-2017-13084、CVE-2017-13086、CVE-
2017-13087及CVE-2017-13080等。
攻擊者可在含有漏洞的WiFi裝置的有效覆蓋範圍內,攔截使用者傳送的檔案、電子郵
件及其他資料等。甚至,特定情況下,攻擊者可以竄改、偽造傳輸的資料,或在正常
網頁中植入惡意連結。


[影響平台:]
所有含有WPA2加密協議之裝置
[建議措施:]
1.請各機關密切注意各家廠商更新訊息,或參考美國Cert/CC官網
(http://www.kb.cert.org/vuls/byvendor?
searchview&Query=FIELD+Reference=228519&SearchOrder=4) 提供之受影響廠
商名單,並儘速安裝更新韌體或軟體
2.減少在公共場合使用WiFi服務,減少受害機會
3.使用WPA2之WiFi連線時,應避免於HTTP連線時傳送機敏資料,盡可能使用HTTPS連
線作為機敏資訊傳送
4.建議變更WiFi AP之SSID(例如手機所分享之WiFi AP),避免存在容易讓人識別身
分之名稱,以減少遭鎖定攻擊機會
5.可以的話,建議使用有線網路取代無線網路以強化安全
6.WiFi服務為區域性連線使用,因此具備良好安全觀念,以及留意安全議題與使用方
式,此問題影響程度有限,不須過於恐慌
[參考資料:]
1.https://www.ithome.com.tw/news/117515
2.https://www.inside.com.tw/2017/10/17/wpa2breaking
3.https://www.krackattacks.com/

2017-09-27 教育機構ANA通報平台 公告主旨 : 特定考勤門禁系統存在資安漏洞,恐遭利用進行虛擬貨幣挖礦或對外攻擊

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0082

技服中心發現特定考勤門禁系統存在以下漏洞:
1.使用公開的網際網路位址,且對外開啟多個服務如SSH、Telnet及Web。
2.未變更系統預設帳號密碼,使外部人員得以取得管理者身分進行系統操作。
3.外部人員可針對相關服務漏洞進行探測攻擊亦或使用工具進行暴力破解行為。
4.設備系統Web服務未做網址路徑限制存取設定,使外部使用者無須身分驗證,
即可透過連線特定網址路徑進行系統操作,如:開啟門禁、修改設備網際網路位
址、新增、列舉及刪除使用者帳號資訊。
5.設備系統存在SQL Injection漏洞,造成系統敏感資訊洩漏,如使用者帳密、
內部人員出勤紀錄及系統設定參數等。

上述系統漏洞可能會造成相關資安風險如下:
1.設備系統連線至外部虛擬貨幣挖礦主機,進行虛擬貨幣挖礦行為。
2.設備系統遭植入惡意程式,並對外進行漏洞探測與攻擊行為。
3.設備系統遭入侵成為殭屍網路成員,並對外進行阻斷式服務攻擊行為。

[影響平台:]
具聯網功能之臉型或指紋辨識之門禁考勤系統
[建議措施:]
1.盤點與檢視是否使用相關考勤門禁系統
2.相關設備系統應置於防火牆後端並設置防火牆規則,將內網與外網做分隔以防
外部非法人士登入。
3.關閉系統上不必要的網路服務,以防遭漏洞探測。
4.系統上所有帳號需設定強健的密碼並定期更換,非必要使用的帳號請將其刪除
或停用。
5.若確認該設備已遭入侵,建議聯繫相關設備廠商重新安裝系統,並注意須安裝
至最新修補程式。若暫時未發現異常行為,建議持續觀察一個星期左右。
6.建議透過防火牆紀錄持續觀察與監控相關設備是否有異常活動行為,例如:外
部探測攻擊、密碼暴力破解及阻斷式服務攻擊等。

2017-09-21 教育機構ANA通報平台 公告主旨 : D-Link DIR-850L AC1200雙頻Gigabit無線路由器存在多個漏洞

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0051

友訊科技(D-Link)為臺灣網路設備的製造商,旗下產品包含路由器、無線網卡、
視訊鏡頭及儲存硬碟等。
南韓研究人員Pierre Kim在今年9月公開揭露,D-Link所生產之DIR-850L AC1200
雙頻Gigabit無線路由器的韌體存在多個安全漏洞(CVE-2017-14413~CVE-
2017-14430),可能導致下列多項資安風險:
1.允許攻擊者可遠端執行跨網站腳本攻擊。
2.因未使用加密傳輸協定,導致攻擊者可透過中間人攻擊方式獲取帳號密碼等資
訊。
3.攻擊者可遠端執行任意程式碼或造成阻斷服務。

[影響平台:]
D-Link 850L韌體版本小於1.14.B07版本
D-Link 850L韌體版本小於2.07.B05版本

[建議措施:]

1.請檢查所使用之韌體是否為受影響之版本,檢查方式:
(1)登入DIR-850L管理介面,
(2)點選「工具」,
(3)點選「韌體」,即可看到目前所使用之韌體版本與韌體日期資訊。

2.目前D-Link官方尚未針對此弱點釋出修復的韌體版本,若使用韌體為受影響版
本,請持續關注D-Link官方網頁釋出的韌體更新版本。

2017-09-07 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Apache Struts 2.5至2.5.12版本中的REST套件

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0003
【漏洞預警】Apache Struts 2.5至2.5.12版本中的REST套件存在允許攻擊者遠
端執行任意程式碼之漏洞(CVE-2017-9805)
Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框
架,REST(Representational State Transfer)則是一種全球資訊網軟體架構風
格,可便於不同軟體或程式在網路中互相傳遞資訊。

Apache Struts 2中的REST套件提供開發者可遵循REST的理念與原則進行程式開
發,該漏洞主要是在Apache Struts 2.5至2.5.12版本中,當使用REST套件之
XStream處理程序針對XML請求進行反序列化時,因未進行類型過濾,可能導致攻
擊者可傳送惡意的XML封包,進而造成遠端執行任意程式碼與控制系統。

[影響平台:]
Apache Struts 2.5至2.5.12版本
[建議措施:]
1.目前Apache官方已針對此弱點釋出修復版本,請儘速至官方網頁
(https://struts.apache.org/download.cgi#struts2513) 進行更新。

2.如無使用REST套件需求,請刪除REST套件。確認方式於WEB-INFlib目錄下是
否有 struts2-rest-plugin-2.x.jar 檔案。

3.如需在受影響平台中持續使用REST套件,可於REST套件內的
struts-plugin.xml 設定檔中,依官方網頁(https://struts.apache.org/docs
/s2-052.html) 所提供之解決方案進行內容新增,可降低此漏洞影響程度。
[參考資料:]
1.https://struts.apache.org/docs/s2-052.html

2.https://github.com/apache/struts/blob/bbd4a9e8c567265c0eb376c0f8a3445f4d9a5fdf/plugins/rest/src/main/resources/struts-plugin.xml


3.http://thehackernews.com/2017/09/apache-struts-vulnerability.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問
或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-08-22 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Netsarang的XSHELL多種版本遭植入惡意程式

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201708-0008

技服中心近日接獲國際組織通報,貴單位所屬資訊設備疑似使用Netsarang的
XSHELL多種版本遭植入惡意程式,可能導致上傳使用者伺服器帳號密碼至特定伺
服器,進而引發進一步攻擊行為。為了有效保護個人電腦與個人資料,同時並杜
絕網路攻擊的發生,請針對該系統進行詳細檢查並加強相關防範措施。
[影響平台:]
目前已知受影響版本如下:
XshellBuild 5.0.1322
XshellBuild 5.0.1325
XmanagerEnterprise 5.0 Build 1232
Xmanager5.0 Build 1045
Xmanager5.0 Build 1048
Xftp5.0 Build 1218
Xftp5.0 Build 1221
Xlpd5.0 Build 1220
[建議措施:]
透過查看nssock2.dll版本確認是否為受影響版本,目前官方已針對此弱點釋出
修復程式 (https://www.netsarang.com/download/software.html),請進行更新。
[參考資料:]

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問
或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

2017-07-19 教育機構ANA通報平台 公告主旨 : 【漏洞預警】微軟Windows作業系統的NTLM驗證通訊協定存在允許攻擊者透過重送攻擊進而取得整個網

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201707-0035

NT LAN Manager (NTLM)驗證通訊協定是微軟的一種安全協定,根據挑戰或回應
(Challenge/Response)機制進行使用者身分驗證。研究人員發現NTLM驗證通訊協定
存在允許執行輕量型目錄存取通訊協定(LDAP)重送攻擊與遠端桌面協定(RDP)重送攻
擊之安全漏洞。

LDAP重送攻擊漏洞允許具有本機系統(SYSTEM)權限的攻擊者,利用攔截NTLM登入封
包與客製惡意封包傳送到網域控制站,可進行網域操作(如新增網域帳號),進而取得
網域控制權。只要攻擊者先行取得系統(SYSTEM)權限即可利用此漏洞取得網域控制權
限,因所有Windows都內建NTLM,所以未更新的系統都有此風險。

RDP重送攻擊漏洞是RDP在受限管理員(Restricted-Admin)模式下,允許降級使用
NTLM驗證通訊協定進行身分驗證,導致攻擊者可利用NTLM驗證通訊協定相關漏洞(如
搭配前述LDAP重送攻擊漏洞)進行攻擊,以取得網域控制權。只要在網域環境使用
NTLM身分驗證服務都有可能存在這個問題。

[影響平台:]
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core安
裝選項)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server
Core安裝選項)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server
Core安裝選項)
Windows Server 2012
Windows Server 2012 (Server Core安裝選項)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core安裝選項)
Windows Server 2016
Windows Server 2016 (Server Core安裝選項)
[建議措施:]
目前微軟官方已針對此弱點釋出修復程式
(https://portal.msrc.microsoft.com/en-us/security-
guidance/advisory/CVE-2017-8563)
,請儘速進行更新。
[參考資料:]
1. http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html
2. https://nvd.nist.gov/vuln/detail/CVE-2017-8563
3. http://www.ithome.com.tw/news/115546
4. https://blog.preempt.com/new-ldap-rdp-relay-vulnerabilities-in-
ntlm

2017-07-19 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Apache Struts 2.3.X系列版本中的Showcase應用程式存在允許攻擊者

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201707-0004

Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框架。
該漏洞主要是在Apache Struts 2.3.X系列版本啟用Struts 2 Struts 1外掛
(struct2-strust1-plugin.jar)環境下,Showcase應用程式(struct2-
showcase.war)呼叫struct2-strust1-plugin時,攻擊者利用傳遞含有惡意字串的
內容,造成可遠端執行任意程式碼。


[影響平台:]
Apache Struts 2.3.X的版本
[建議措施:]
1.請確認網站主機是否使用Apache Struts 2 的Web應用框架,若有使用則可再透過
網站主機目錄中的「WEB-INFlib」資料夾內的Struts.jar檔確認當前使用的版
本。
2.請確認網站主機是否使用Apache Struts 2的Showcase應用程式,路
徑:struts2.3.xappsstruts2-showcase.war。
3.如所使用的Apache Struts為上述(2.3.X)受影響之版本,則請更新官方網頁或官
方Github所釋出最新之Apache Struts 2.5.10的版本。
4.若無使用的需求,請關閉Showcase應用程式。
[參考資料:]
1. https://cwiki.apache.org/confluence/display/WW/S2-048
2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9791

2017-06-29 教育機構資安通報應變小組 公告主旨 : [主旨說明:]【攻擊預警】近期勒索軟體Petya活動頻繁,請立即更新作業系統、Office應用程式與

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201706-0028

全球多個國家於本(106)年6月27日晚間陸續傳出遭勒索軟體Petya攻擊事件,受影響
範圍以烏克蘭、俄羅斯及東歐等地區災情最為嚴重。Petya為2016年勒索軟體Petya
變種,攻擊者主要利用社交工程郵件誘使使用者開啟附件檔案,藉由攻擊Office RTF
漏洞(CVE-2017-0199)執行惡意程式碼,以取得系統控制權,並配合微軟MS17-010
漏洞、Windows遠端管理指令Psexec或WMIC(Windows Management
Instrumentation Command-line)等方式進行內部擴散,受感染主機之作業系統開
機磁區(MBR)與檔案配置表(MFT)將被加密,導致無法進入作業系統,只會在電腦螢幕
上看到要求贖金的訊息。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
Windows XP
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
[建議措施:]
1.確實持續更新電腦的作業系統、Office應用程式及防毒軟體等至最新版本。Petya
勒索軟體所利用之作業系統弱點與Office應用程式弱點,已分別於3月與4月釋出修復
程式,請至微軟官方網頁進行更新: (1)MS17-010:
https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx
。另外已超過維護週期之作業系統,例如XP/Server 2003等,請參考連結
(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)下
載後進行更新。 (2)CVE-2017-0199:
https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2017-0199
2.更新電腦防毒軟體病毒碼。
3.作業系統登入密碼應符合複雜性原則,並定期變更密碼。
4.定期備份電腦上的檔案及演練資料還原程序。
5.避免開啟來路不明郵件,包含附件與連結。
[參考資料:]
1. https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2017-0199

2. https://technet.microsoft.com/zh-tw/library/security/ms17-
010.aspx

回到最上方