資訊安全暨個資保護公告
查詢訊息時間:~


日期

來源

內   容

2020-04-10 教育機構ANA通報平台 公告主旨 : 【資安訊息】UPnP網路協定之資安弱點

發佈編號:TACERT-ANA-2020041009044242
發佈時間:2020-04-10 21:21:44
事故類型:ANA-資安訊息
發現時間:2020-04-10 08:27:44
影響等級:低
主旨說明:【資安訊息】UPnP網路協定之資安弱點
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202004-
0001
TWCERT/CC接獲國際情資指出,
UPnP Subscribe功能存在資安弱點,
影響不局限於單一產品,採用UPnP協定之設備或系統皆可能受到影響。
攻擊者存取UPnP終端設備,進行以下攻擊:
1. 攻擊者可利用網際網路開放之UPnP設備,來進行反射放大TCP DDoS攻擊
2. 攻擊者可透過UPnP Subscribe的功能,使UPnP設備向外部網域洩漏資料

影響平台:使用UPnP協定之設備
建議措施:
1. 限制UPnP裝置暴露於Internet上
2. 監控UPnP類型的DDOS流量

2020-04-08 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2020-6450、CVE-202

發佈編號:TACERT-ANA-2020040801044242
發佈時間:2020-04-08 13:13:43
事故類型:ANA-漏洞預警
發現時間:2020-04-08 12:12:43
影響等級:低
主旨說明:【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2020-6450、
CVE-2020-6451及CVE-2020-6452),允許攻擊者遠端執行任意程式碼,請儘速確認
並進行更新
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202004-0271
研究人員發現Google Chrome瀏覽器中的WebAudio與Media組件中存在使用釋放後記
憶體(use-after-free)與堆積緩衝區溢位(Heap-based buffer overflow)的安
全漏洞(CVE-2020-6450、CVE-2020-6451及CVE-2020-6452)。
攻擊者可透過誘騙受害者點擊惡意連結,進而造成遠端執行任意程式碼。

影響平台:Google Chrome 80.0.3987.149(含)以前版本
建議措施:
請更新Google Chrome瀏覽器至80.0.3987.162以後版本,更新方式如下:
1.開啟瀏覽器,於網址列輸入chrome://settings/help,瀏覽器將執行版本檢查與
自動更新
2.點擊「重新啟動」完成更新
參考資料:
https://chromereleases.googleblog.com/2020/03/stable-channel-
update-for-desktop_31.html
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-
google-chrome-could-allow-for-arbitrary-code-execution_2020-044/

2020-04-07 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Firefox瀏覽器存在安全漏洞(CVE-2020-6819與CVE-2020-6820

發佈編號:TACERT-ANA-2020040705045757
發佈時間:2020-04-07 17:15:58
事故類型:ANA-漏洞預警
發現時間:2020-04-07 02:15:58
影響等級:低
主旨說明:【漏洞預警】Firefox瀏覽器存在安全漏洞(CVE-2020-6819與CVE-2020-
6820),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202004-0230
研究人員發現Firefox瀏覽器在運行nsDocShell解構函式或處理ReadableStream類
型的物件時,會因資源競爭(Race Condition)問題,導致使用釋放後記憶體(use-
after-free)的安全漏洞(CVE-2020-6819與CVE-2020-6820)。攻擊者可透過誘騙
受害者點擊惡意連結,進而造成遠端執行任意程式碼。
影響平台:
Firefox 74(含)以前版本 Firefox ESR 68.6(含)以前版本
建議措施:
1.請確認瀏覽器版本,點擊瀏覽器選單按鈕,點選「說明」之「關於Firefox」,可
查看當前使用的Mozilla Firefox瀏覽器是否為受影響之版本。 2.更新方式如下:
(1)開啟瀏覽器,點擊選單按鈕,點選「說明」之「關於Firefox」,瀏覽器將執行版
本檢查與更新。 (2)點擊「重新啟動以更新Firefox」完成更新,並確認更新後的版
本為Firefox 74.0.1或Firefox ESR 68.6.1以後版本。 3.保持良好使用習慣,
請勿點擊來路不明的網址連結。
參考資料:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/
https://threatpost.com/firefox-zero-day-flaws-exploited-in-the-
wild-get-patched/154466/

2020-04-06 個人資訊管理制度 公告主旨 : 【文件發行】PIMS-2-006-5 個人資料作業管理程序

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_個人資料保護_PIMS >>
1正式發行文件 使用最新版本之程序書。

2020-04-06 個人資訊管理制度 公告主旨 : 【文件發行】PIMS-2-007-2 個人資料法規及契約管理程序

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_個人資料保護_PIMS >>
1正式發行文件 使用最新版本之程序書。

2020-04-06 個人資訊管理制度 公告主旨 : 【文件發行】PIMS-2-008-2 業務終止後個人資料處理程序

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_個人資料保護_PIMS >>
1正式發行文件 使用最新版本之程序書。

2020-03-30 台灣電腦網路危機處理暨協調中心 公告主旨 : 【漏洞預警】TVN/CVE漏洞資訊 - Unisoon優立迅 UltraLog Express

主旨說明:【漏洞預警】TVN/CVE漏洞資訊 - Unisoon優立迅 UltraLog Express

內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202003-
0024TWCERT/CC發布資安漏洞,Unisoon優立迅 UltraLog Express漏洞資訊如
下:
TVN ID:TVN-201911001
CVE ID:CVE-2020-3936
主旨:Unisoon優立迅 UltraLog Express - SQL Injection
影響產品:UltraLog Express Ver1.4.0
CVSS3.1:10.0(Critical)
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
連結:https://www.twcert.org.tw/tw/cp-132-3451-7d9f0-1html
TVN ID:TVN-201911002
CVE ID:CVE-2020-3920
主旨:Unisoon優立迅 UltraLog Express - Broken Authentication
影響產品:UltraLog Express Ver1.4.0
CVSS3.1:8.1(High)
(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
連結:https://www.twcert.org.tw/tw/cp-132-3452-937d6-1html
TVN ID:TVN-201911004
CVE ID:CVE-2020-3921
主旨:Unisoon優立迅 UltraLog Express - Sensitive Data Exposure
影響產品:UltraLog Express Ver1.4.0
CVSS3.1:8.6(High)
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)
連結:https://www.twcert.org.tw/tw/cp-132-3453-442a5-1html

建議措施:請檢視相關產品之版本,並更新到最新版。

影響平台:Unisoon優立迅 UltraLog Express
建議措施:聯絡優立迅進行版本更新。

2020-03-30 台灣電腦網路危機處理暨協調中心 公告主旨 : 【漏洞預警】TVN/CVE漏洞資訊 - Sunnet 教育訓練管理系統

主旨說明:【漏洞預警】TVN/CVE漏洞資訊 - Sunnet 教育訓練管理系統

內容說明:

轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202003-
0023TWCERT/CC發布資安漏洞,Sunnet教育訓練管理系統漏洞資訊如下:
TVN ID:TVN-201910008
CVE ID:CVE-2020-10508
主旨:Sunnet教育訓練管理系統 - 系統資訊未恰當保護
影響產品:Sunnet教育訓練管理系統8、9版
CVSS3.1:7.5(High) (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
連結:https://www.twcert.org.tw/tw/cp-132-3448-76a35-1html

TVN ID:TVN-201910010
CVE ID:CVE-2020-10509
主旨:Sunnet教育訓練管理系統 - 跨站腳本攻擊(XSS)
影響產品:Sunnet教育訓練管理系統8、9版
CVSS3.1:6.1(Medium) (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
連結:https://www.twcert.org.tw/tw/cp-132-3449-c87d8-1html

TVN ID:TVN-201910011
CVE ID:CVE-2020-10510
主旨:Sunnet教育訓練管理系統 - Broken Access Control
影響產品:Sunnet教育訓練管理系統8、9版
CVSS3.1:8.1(High) (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
連結:https://www.twcert.org.tw/tw/cp-132-3450-69466-1html

建議措施:請檢視相關產品之版本,並更新到最新版。

影響平台:Sunnet教育訓練管理系統
建議措施:升級到教育管理系統10版以上,或洽旭聯科技取得該版本

2020-03-27 個人資訊管理制度 公告主旨 : 【文件發行】PIMS-2-003-5個人資料風險評鑑及處理程序

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_個人資料保護_PIMS >>
1正式發行文件 使用最新版本之程序書。

2020-03-27 個人資訊管理制度 公告主旨 : 【文件發行】PIMS-4-006-4 個人資料檔案風險評鑑及風險處理計畫

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_個人資料保護_PIMS >>
1正式發行文件 使用最新版本之程序書。

2020-03-24 教育機構ANA通報平台 公告主旨 : 【釣魚攻擊】 COVID-19網路釣魚攻擊事件

發佈編號:TACERT-ANA-2020032402034242
發佈時間:2020-03-24 14:45:42
事故類型:ANA-釣魚攻擊
發現時間:2020-03-24 03:07:42
影響等級:低
主旨說明:【釣魚攻擊】 COVID-19網路釣魚攻擊事件
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202003-
0021
TWCERT/CC接獲國際資安情資指出, 近期有Mustang Panda的APT駭客組織,其藉由
COVID-19為主題,寄送含有惡意程式附件的釣魚郵件,進行網路釣魚之攻擊。該起事
件以台灣區為攻擊目標,相關情資如附檔。
參考資料:https://malwareandstuff.com/mustang-panda-joins-the-
covid19-bandwagon/

影響平台:惡意IP、DN、Hash值
建議措施:檢視組織內是否有連線至惡意IP或DN,並根據Hash檢視相關設備是否遭受
入侵。
參考資料:https://cert.tanet.edu.tw/pdf/202003-0021.zip

2020-03-19 教育機構ANA通報平台 公告主旨 : 【漏洞預警】TVN/CVE漏洞資訊 - ArmorX LisoMail 電子郵件協同作業

發佈編號:TACERT-ANA-2020031903032121
發佈時間:2020-03-19 15:52:22
事故類型:ANA-漏洞預警
發現時間:2020-03-19 13:37:22
影響等級:低
主旨說明:【漏洞預警】TVN/CVE漏洞資訊 - ArmorX LisoMail 電子郵件協同作業
內容說明:
TWCERT/CC發布資安漏洞,ArmorX LisoMail 電子郵件協同作業漏洞資訊如下:
TVN ID:TVN-202012001
CVE ID:CVE-2020-3922
主旨:ArmorX LisoMail 電子郵件協同作業 - SQL Injection
CVSS3.1:9.8(Critical) (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
連結:https://www.twcert.org.tw/tw/cp-132-3437-17241-1html

影響平台:ArmorX LisoMail 電子郵件協同作業 2017 年前版本
建議措施:請檢視相關產品之版本,並更新到最新版。

2020-03-18 教育機構ANA通報平台 公告主旨 : 【漏洞預警】趨勢科技OfficeScan XG、Apex One及Worry-Free Busine

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020031803030404
發佈時間:2020-03-18 15:03:06
事故類型:ANA-漏洞預警
發現時間:2020-03-17 10:00:33
影響等級:低
主旨說明:【漏洞預警】趨勢科技OfficeScan XG、Apex One及Worry-Free
Business Security伺服器存在安全漏洞(CVE-2020-8470、CVE-2020-8598及
CVE-2020-8599),允許攻擊者遠端寫入、刪除任意檔案及執行任意程式碼,請儘速
確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202003-0457

研究人員發現趨勢科技企業防毒產品OfficeScan XG、Apex One及Worry-Free
Business Security伺服器存在安全漏洞(CVE-2020-8470、CVE-2020-8598及
CVE-2020-8599),遠端攻擊者可對目標系統以SYSTEM權限寫入、刪除任意檔案及執
行任意程式碼。

影響平台:
CVE-2020-8470與CVE-2020-8598:
Trend Micro Apex One 2019
OfficeScan XG
OfficeScan XG SP1
Worry-Free Business Security Ver. 9.5
Worry-Free Business Security Ver. 10.0
CVE-2020-8599:
Trend Micro Apex One 2019
OfficeScan XG
OfficeScan XG SP1

建議措施:
目前趨勢科技官方已針對此弱點釋出更新程式,請各機關聯絡設備維護廠商進行版本
確認與更新,官方公告連結如下:
Trend Micro Apex One 2019、OfficeScan XG及OfficeScan XG SP1:
https://success.trendmicro.com/solution/000245571

Worry-Free Business Security 9.5與Worry-Free Business Security
10.0:
https://success.trendmicro.com/solution/000245572

參考資料:
1 https://success.trendmicro.com/solution/000245571
2. https://success.trendmicro.com/solution/000245572
3. https://www.csa.gov.sg/singcert/alerts/ar-2020-002

2020-03-17 個人資訊管理制度 公告主旨 : 【文件發行】PIMS-2-009-7 個人資料稽核管理程序

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_個人資料保護_PIMS >>
1正式發行文件 使用最新版本之程序書。

2020-03-16 教育機構ANA通報平台 公告主旨 : 【漏洞預警】微軟Windows作業系統存在安全漏洞(CVE-2020-0796),允許攻擊者遠端執行

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020031609034848
發佈時間:2020-03-16 09:03:48
事故類型:ANA-漏洞預警
發現時間:2020-03-13 08:55:48
影響等級:低
主旨說明:【漏洞預警】微軟Windows作業系統存在安全漏洞(CVE-2020-0796),允
許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202003-0324

研究人員發現SMBv3存在安全漏洞(CVE-2020-0796),遠端攻擊者可對目標系統之
SMBv3服務發送特製請求或架設惡意的SMBv3伺服器誘騙受害者進行連線,導致遠端執
行任意程式碼。

影響平台:
Windows 10 Version 1903 (32與64位元)
Windows 10 Version 1909 (32與64位元)
Windows Server,
version 1903 Windows Server,
version 1909

建議措施:目前微軟官方已針對此弱點釋出更新程式,請儘速至下列連結進行更新:
https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2020-0796

參考資料:
1. https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2020-0796
2. https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/adv200005
3. https://thehackernews.com/2020/03/patch-wormable-smb-
vulnerability.html
4. https://thehackernews.com/2020/03/smbv3-wormable-
vulnerability.html
5. https://www.ithome.com.tw/news/136307

2020-03-16 教育機構ANA通報平台 公告主旨 : 【漏洞預警】HGiga C&Cmail資安漏洞訊息

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020031609033737
發佈時間:2020-03-16 09:33:38
事故類型:ANA-漏洞預警
發現時間:2020-03-13 08:00:38
影響等級:低
主旨說明:【漏洞預警】HGiga C&Cmail資安漏洞訊息
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202003-
0019

TWCERT/CC接獲漏洞通報,相關單位所使用的HGiga C&Cmail存有下列三個漏洞:
1. Pre-Auth Arbitrary File Download
2. Pre-Auth OS Command Injection
3. Post-Auth SQL Injection

可能受影響之產品型號:版號:CCMAILN、CCMAILQ 版本:2008、2012版。
請相關單位檢視產品版本,若受影響,請聯繫廠商進行版本之更新。

影響平台:
HGiga C&Cmail CCMAILN 2008版、HGiga C&Cmail CCMAILN 2012版
HGiga C&Cmail CCMAILQ 2008版,HGiga C&Cmail CCMAILQ 2012版

建議措施:請相關單位檢視產品版本,若受影響,請聯繫廠商進行版本之更新。
參考資料:NA

2020-03-10 教育機構ANA通報平台 公告主旨 : 【攻擊預警】APT駭客組織攻擊入侵情資,煩請各單位注意防範

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020031010031818
發佈時間:2020-03-10 10:19:19
事故類型:自行定義
發現時間:2020-03-06 11:35:19
影響等級:低
主旨說明:【攻擊預警】APT駭客組織攻擊入侵情資,煩請各單位注意防範
內容說明:
轉發 台灣電腦網路危機處理暨協調中心多筆資安訊息警訊,該攻擊手法之Hash值檔
案已上傳至教育機構資安通報平台,請使用二線區縣市網路中心帳號登入後,於「情
資資料下載」可下載此份Hash值檔案,提供各單位參考。


1、資安訊息警訊:TWCERTCC-ANA-202003-0012
情資內容:本中心接獲國際情資,針對國防、金融、電信等單位進行攻擊的APT-19駭
客組織,該攻擊手法之Hash值檔名為「TWCERTCC-ANA-202003-0012(APT-19
IOC)」,請您參考。

參考資料:
(1).https://www.crowdstrike.com/blog/deep-thought-chinese-
targeting-national-security-think-tanks
(2).http://www.crowdstrike.com/blog/cyber-deterrence-in-action-a-
story-of-one-long-hurricane-panda-campaign/

2、資安訊息警訊:TWCERTCC-ANA-202003-0013
情資內容:本中心接獲國際情資,針對Windows、Android平台進行攻擊的APT-C-27
駭客組織,該攻擊手法之Hash值檔名為「TWCERTCC-ANA-202003-0013(APT-C-
27_IOC)」,請您參考。

參考資料:
(1).https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-DelRosso-Under-
the-SEA.pdf
(2).https://ti.qianxin.com/blog/articles/apt-c-27-(goldmouse):-
suspected-target-attack-against-the-middle-east-with-winrar-
exploit-en

3、資安訊息警訊:TWCERTCC-ANA-202003-0016
情資內容:本中心接獲國際情資,針對政府機構進行攻擊的APT-29駭客組織,該攻擊
手法之Hash值檔名為「TWCERTCC-ANA-202003-0016(APT-29_IOC)」,請您參考。

參考資料:
(1).https://www.f-
secure.com/documents/996508/1030745/dukes_whitepaper.pdf
https://
www.us-cert.gov/sites/default/files/publications/JAR_16-
20296A_GRIZZLY%20STEPPE-2016-1229.pdf

(2).https://www.crowdstrike.com/blog/bears-midst-intrusion-
democratic-national-committee/

(3).https://labsblog.f-secure.com/2015/09/17/the-dukes-7-years-of-
russian-cyber-espionage/

(4).https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-
hammertoss.pdf

(5).https://www.us-cert.gov/sites/default/files/publications/AR-
17-20045_Enhanced_Analysis_of_GRIZZLY_STEPPE_Activity.pdf

(6).https://www.fireeye.com/blog/threat-
research/2017/03/dissecting_one_ofap.html

【注意】 Hash值檔案為內部使用情資資料,切記不可公開發佈於網站上。
該檔案情資等級為GREEN為可供內部使用但不可公開之情資類別,煩請各位老師及先
進務必遵守情資取得與共享使用限制。

影響平台:無
建議措施:根據Hash檔案檢視相關設備是否遭受入侵

2020-03-10 資訊安全管理制度 公告主旨 : 【文件發行】ISMS-2-012-3 電子傳輸管理程序

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_資訊安全管理_ISMS >>
1正式發行文件 使用最新版本之程序書。

2020-03-10 資訊安全管理制度 公告主旨 : 【文件發行】ISMS-4-020-3 單位社團電子郵件帳號申請表

更新文件:ISMS-4-020-2 社團電子郵件帳號申請表 更名為 ISMS-4-020-3 單位社團
電子郵件帳號申請表。

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_資訊安全管理_ISMS >>
1正式發行文件 使用最新版本之程序書。

2020-03-10 資訊安全管理制度 公告主旨 : 【文件廢止】ISMS-4-019-3 電子郵件帳號申請表

因應實際作業情形,廢止「電子郵件帳號申請表」。

2020-03-05 教育機構ANA通報平台 公告主旨 : 【漏洞預警】微軟Exchange伺服器存在安全漏洞(CVE-2020-0688),允許攻擊者遠端執行

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020030501033434
發佈時間:2020-03-05 13:22:34
事故類型:ANA-漏洞預警
發現時間:2020-03-05 13:22:34
影響等級:低
主旨說明:【漏洞預警】微軟Exchange伺服器存在安全漏洞(CVE-2020-0688),允許
攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202003-0138

CVE-2020-0688肇因於Exchange伺服器未在安裝時建立唯一金鑰,使得攻擊者可透
過授權使用者取得金鑰,利用傳遞特製payload到Exchange伺服器,造成記憶體毀損
展開攻擊。 攻擊者需先透過授權使用者資訊,以開發者工具取得ViewStateUserKey
與__VIEWSTATEGENERATOR值後,利用公開的.NET參數反序列化工具造訪特定頁面,
便可遠端執行任意程式碼。

影響平台:
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019

建議措施:
1.透過微軟提供版本檢視方式確認Exchange版本資訊
(https://docs.microsoft.com/en-us/Exchange/new-features/build-
numbers-and-release-dates?redirectedfrom=MSDN&view=exchserver-
2019),並儘速完成Exchange更新作業。
2.未能即時完成更新,建議關閉外部存取Exchange Control Panel(ECP)服務,如
開放外部存取,則應以白名單方式限制存取來源,確認存取來源皆為授權使用者。
3.檢視IIS日誌與Exchange相關紀錄,釐清是否存有異常連線或檔案下載/執行等相
關情事,以確認外部利用漏洞入侵疑慮。
4.請注意個別系統之安全修補與病毒碼更新,包含作業系統、程式套件及防毒軟體
等。

參考資料:
1.https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2020-0688
2.https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-
execution-on-microsoft-exchange-server-through-fixed-
cryptographic-keys
3.https://www.ithome.com.tw/news/136043

2020-03-05 教育機構ANA通報平台 公告主旨 : 【攻擊預警】APT-C-39駭客組織入侵中國的關鍵基礎設施,煩請各單位注意防範

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020030503031010
發佈時間:2020-03-05 15:47:12
事故類型:ANA-攻擊預警
發現時間:2020-03-05 15:47:12
影響等級:低
主旨說明:【攻擊預警】APT-C-39駭客組織入侵中國的關鍵基礎設施,煩請各單位注
意防範

內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202003-
0001

近期接獲國際情資,針對中國的關鍵基礎設施進行攻擊的APT-C-39駭客組織,
該攻擊手法之Hash值檔案已上傳至教育機構資安通報平台,請使用二線區縣市網路中
心帳號登入後,於「情資資料下載」可下載此份Hash值檔案,請各單位進行相關處
理。


【注意】 此份Hash值檔案為內部使用情資資料,切記不可公開發佈於網站上。
該檔案情資等級為GREEN為可供內部使用但不可公開之情資類別,煩請各位老師及先
進務必遵守情資取得與共享使用限制。

影響平台:無

建議措施:根據Hash檔案檢視相關設備是否遭受入侵

參考資料:
1、https://www.symantec.com/connect/blogs/longhorn-tools-used-
cyberespionage-group-linked-vault-7
2、http://blogs.360.cn/post/APT-C-39_CIA_EN.html
3、https://ti.qianxin.com/blog/articles/network-weapons-of-cia/

2020-03-04 資訊安全管理制度 公告主旨 : 【文件發行】ISMS-1-001-2 資訊安全管理政策

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_資訊安全管理_ISMS >>
1正式發行文件 使用最新版本之程序書。

2020-03-02 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2020-6407與CVE-202

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020030204033737
發佈時間:2020-03-02 16:10:37
事故類型:ANA-漏洞預警
發現時間:2020-02-28 15:35:37
影響等級:低
主旨說明:【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2020-6407與
CVE-2020-6418),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:轉發國家資安資訊分享與分析中心 資安訊息警訊 NCCST-ANA-G2020-
0086

Google資安團隊與Mozilla研究人員發現,Google Chrome瀏覽器存在整數溢位
(Integer overflow)、越界記憶體存取(Out of bounds memory access)
(CVE-2020-6407)及類型混淆(Type confusion) (CVE-2020-6418)的安全漏洞,
攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結,導致遠端執行任意程式碼

影響平台:Google Chrome 80.0.3987.116(含)以前版本
建議措施:
請更新Google Chrome瀏覽器至80.0.3987.122以後版本,更新方式如下:
1.開啟瀏覽器,於網址列輸入chrome://settings/help,瀏覽器將執行版本檢查與
自動更新
2.點擊「重新啟動」完成更新

參考資料:
1、https://chromereleases.googleblog.com/2020/02/stable-channel-
update-for-desktop_24.html
2、https://zh-tw.tenable.com/blog/cve-2020-6418-google-chrome-type-
confusion-vulnerability-exploited-in-the-wild
3、https://www.ithome.com.tw/news/136005

2020-03-02 個人資訊管理制度 公告主旨 : 【文件發行】CYUT-4-044-3 個資保護關注方清單

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_個人資料保護_PIMS >>
1正式發行文件 使用最新版本之程序書。

2020-03-02 資訊安全管理制度 公告主旨 : 【文件發行】CYUT-4-045-3 資訊安全關注方清單

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_資訊安全管理_ISMS >>
1正式發行文件 使用最新版本之程序書。

2020-02-24 教育機構ANA通報平台 公告主旨 : 【漏洞預警】通航DVR存在安全漏洞,煩請儘速確認並進行更新。

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020022401020404
發佈時間:2020-02-24 13:27:05
事故類型:ANA-漏洞預警
發現時間:2020-02-24 13:27:05
影響等級:低
主旨說明:【漏洞預警】通航DVR存在安全漏洞,煩請儘速確認並進行更新。
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202002-
0005

TWCERT/CC發布資安漏洞,通航DVR漏洞資訊如下:
1、通航DVR - 未經授權存取維護管理介面
影響產品:通航TAT-76系列DVR 20191216前版本、通航TAT-77系列DVR 20200213
前版本
CVSS3.1:8.1(High) (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910003
TVN ID:TVN-201910004
CVE ID:CVE-2020-3924

2、通航DVR – 韌體更新檔注入漏洞
影響產品:通航TAT-76系列DVR 20191216前版本、通航TAT-77系列DVR 20200213
前版本
CVSS3.1:6.4(Medium) (CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910004

影響平台:
通航TAT-76系列DVR 20191216前版本
通航TAT-77系列DVR 20200213前版本
建議措施:請檢視相關產品之版本,並更新到最新版。

2020-02-19 教育機構ANA通報平台 公告主旨 : 【攻擊預警】建議各單位勿開啟遠端桌面協定(RDP),以避免系統遭到入侵

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020022004024242
發佈時間:2020-02-20 16:25:42
事故類型:ANA-攻擊預警
發現時間:2020-02-19 14:18:42
影響等級:低
主旨說明:【攻擊預警】建議各單位勿開啟遠端桌面協定(RDP),以避免系統遭到入

內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202002-0558

近期學術網路內發現仍有大量電腦疑似開啟Microsoft Windows遠端桌面服務
(Remote Desktop Services,簡稱RDP),預設埠「3389」,因去年遠端桌面服務
(RDP)已被通報存在下述安全漏洞,故建議各單位勿開啟遠端桌面協定(RDP),以避
免系統遭到入侵。

1、[TACERT-ANA-2019092008094646]研究人員發現遠端桌面服務存在安全漏洞
(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),可讓未
經身分驗證的遠端攻擊者,透過對目標系統的遠端桌面服務發送特製請求,在不需使
用者進行任何操作互動之情況下,達到遠端執行任意程式碼之危害。

2、[TACERT-ANA-2019051502053333]研究人員發現遠端桌面服務存在安全漏洞
(CVE-2019-0708),遠端攻擊者可對目標系統之遠端桌面服務發送特製請求,利用此
漏洞進而遠端執行任意程式碼。

Microsoft Windows遠端桌面服務(Remote Desktop Services),亦即在Windows
Server 2008及更早版本中所稱之終端服務(Terminal Services),該服務允許使
用者透過網路連線來遠端操作電腦或虛擬機。

影響平台:開啟遠端桌面服務的系統
建議措施:
1、建議單位關閉遠端桌面(RDP)服務。
2、定期修補作業系統漏洞。
3、如果確實需要開啟此項服務,建議利用防火牆來限制來源端,設定僅允許管理者的
主機可登入,而不要對外完全開放。

參考資料:
1. https://thehackernews.com/2019/08/windows-rdp-wormable-
flaws.html
2. https://www.ithome.com.tw/news/132413
3 https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2019-1222
4. https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2019-1226
5. https://www.nccst.nat.gov.tw/VulnerabilityNewsDetail?
lang=zh&seq=1441
6. https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-
worm-by-updating-remote-desktop-services-cve-2019-0708/
7. https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2019-0708

2020-02-12 教育機構ANA通報平台 公告主旨 : 【漏洞預警】中興保全Dr.ID 門禁考勤系統存在安全漏洞,煩請儘速確認並進行更新

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020021201021010
發佈時間:2020-02-12 13:29:11
事故類型:ANA-漏洞預警
發現時間:2020-02-12 01:26:06
影響等級:低
主旨說明:【漏洞預警】中興保全Dr.ID 門禁考勤系統存在安全漏洞,煩請儘速確認
並進行更新
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202002-
0002

1、中興保全Dr.ID 門禁考勤系統 - Pre-auth SQL Injection漏洞

影響產品:門禁 Ver 3.3.2 考勤 Ver 3.3.0.3_20160517
CVSS3.1:9.8(Critical(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910016
TVN ID:TVN-201910017 CVE ID:CVE-2020-3933


2、中興保全Dr.ID 門禁考勤系統 - 帳號列舉漏洞

影響產品:門禁 Ver 3.3.2 考勤 Ver 3.3.0.3_20160517
CVSS3.1:5.3(Medium) (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910017
TVN ID:TVN-201910018
CVE ID:CVE-2020-3935

3、中興保全Dr.ID 門禁考勤系統 - 明文儲存密碼

影響產品:門禁 Ver 3.3.2 考勤 Ver 3.3.0.3_20160517
CVSS3.1:7.5(High) (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910018

影響平台:
中興保全Dr.ID 門禁考勤系統之門禁 Ver 3.3.2
考勤 Ver 3.3.0.3_20160517

建議措施:請檢視相關產品之版本,並更新到最新版。

2020-02-12 教育機構ANA通報平台 公告主旨 : 【漏洞預警】全景Windows版ServiSign 安控元件存在安全漏洞,煩請儘速確認並進行更新。

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020021202025555
發佈時間:2020-02-12 14:07:11
事故類型:ANA-漏洞預警
發現時間:2020-02-12 09:21:06
影響等級:低
主旨說明:【漏洞預警】全景Windows版ServiSign 安控元件存在安全漏洞,煩請儘
速確認並進行更新。
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202002-
0001

1、全景Windows版ServiSign 安控元件-遠端程式碼執行

影響產品:全景 ServiSign Windows 1.0.19.0617之前版本
CVSS3.1:8.3(High)(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)
連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910005
TVN ID:TVN-201910006
CVE ID:CVE-2020-3926

2、全景Windows版ServiSign 安控元件-任意檔案讀取漏洞

影響產品:全景 ServiSign Windows 1.0.19.0617之前版本
CVSS3.1:6.1(Medium(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N)
連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910006
TVN ID:TVN-201910007
CVE ID:CVE-2020-3927

3、全景Windows版ServiSign 安控元件-任意檔案刪除漏洞

影響產品:全景 ServiSign Windows 1.0.19.0617之前版本
CVSS3.1:8.3(High) (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)
連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910007

影響平台:全景 ServiSign Windows 1.0.19.0617之前版本
建議措施:請檢視相關產品之版本,並更新到最新版

2020-01-16 教育機構ANA通報平台 公告主旨 : 【漏洞預警】微軟Windows作業系統存在安全漏洞(CVE-2020-0601、CVE-2020-0

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020011601010909
發佈時間:2020-01-16 13:22:10
事故類型:ANA-漏洞預警
發現時間:2020-01-16 04:36:29
影響等級:低
主旨說明:【漏洞預警】微軟Windows作業系統存在安全漏洞(CVE-2020-0601、CVE-
2020-0609、CVE-2020-0610及CVE-2020-0611),允許攻擊者進行中間人攻擊或遠
端執行任意程式碼,請儘速確認並進行更新

內容說明:

轉發國家資安資訊分享與分析中心 資安訊息警訊 NCCST-ANA-G2020-0023
1.研究人員發現CryptoAPI(Crypt32.dll)存在安全漏洞(CVE-2020-0601),遠端
攻擊者可利用CryptoAPI偽造合法憑證,並以偽造憑證簽署惡意程式,再透過誘騙受
害者點擊執行該惡意程式,進而執行任意程式碼,攻擊者亦可利用該漏洞假冒網站或
進行中間人攻擊。
2.研究人員發現遠端桌面閘道(Remote Desktop Gateway)與遠端桌面用戶端程式
(Remote Desktop Client)存在安全漏洞(CVE-2020-0609、CVE-2020-0610及
CVE-2020-0611),遠端攻擊者可對目標系統之遠端桌面服務發送特製請求,利用此
漏洞進而遠端執行任意程式碼。

影響平台:
CVE-2020-0601:
‧Microsoft Windows 10 (32、64位元)
‧Microsoft Windows Server 2016
‧Microsoft Windows Server 2019
CVE-2020-0609、CVE-2020-0610:
‧Microsoft Windows Server 2012
‧Microsoft Windows Server 2016
‧Microsoft Windows Server 2019

CVE-2020-0611:
‧Microsoft Windows 7 (32、64位元)
‧Microsoft Windows 8.1 (32、64位元)
‧Microsoft Windows 10 (32、64位元)
‧Microsoft Windows Server 2008
‧Microsoft Windows Server 2012
‧Microsoft Windows Server 2016
‧Microsoft Windows Server 2019

建議措施:
目前微軟官方已針對此弱點釋出更新程式,請儘速進行更新:

1. CVE-2020-0601之更新已包含在微軟一月份例行性更新中,請至下列連結進行更
新:
‧https://portal.msrc.microsoft.com/en-us/security-
guidance/releasenotedetail/2020-Jan
2. CVE-2020-0609、CVE-2020-0610及CVE-2020-0611,請至下列連結進行更新:
‧https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2020-0609
‧https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2020-0610
‧https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2020-0611

參考資料:
1、https://portal.msrc.microsoft.com/en-us/security-
guidance/releasenotedetail/2020-Jan
2、https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2020-0609
3、https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2020-0610
4、https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2020-0611
5、https://www.csa.gov.sg/singcert/advisories/advisory-on-critical-
vulnerabilities-in-microsoft-windows-operating-system
6、https://thehackernews.com/2020/01/warning-quickly-patch-new-
critical.html
7、https://www.ithome.com.tw/news/135366

2020-01-16 教育機構ANA通報平台 公告主旨 : 【漏洞預警】可取國際(icatch)DVR攝影主機遭網路惡意入侵,對外進行DDoS攻擊,煩請儘速確認

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020011603010808
發佈時間:2020-01-16 15:34:06
事故類型:ANA-漏洞預警
發現時間:2020-01-16 15:34:06
影響等級:低
主旨說明:【漏洞預警】可取國際(icatch)DVR攝影主機遭網路惡意入侵,對外進行
DDoS攻擊,煩請儘速確認並進行韌體更新。
內容說明:
近日可取國際(icatch)DVR攝影主機遭網路惡意入侵,對外進行DDoS攻擊。遭入侵設
備會被竄改網路介面設定,將連線設定PPPoE改成DHCP模式,造成使用者遠端無法連
線錄影主機。
煩請各單位清查確認是否使用該品牌攝影主機,並盡速進行相關韌體更新作業。
影響平台:
可取國際(icatch)DVR攝影主機
建議措施:
根據官方消息可取國際已委請總代理進行協助更新韌體
http://www.idsmag.com.tw/ids/new_article.asp?ar_id=30954

建議處理措施如下:

1.重新啟動物聯網裝置
2.盡速聯絡廠商進行韌體更新
3.修改預設密碼,更換之密碼應符合密碼複雜度原則
4.修改預設的連線PORT號
5.於防火牆設定ACL,限制可連線IP

參考資料:
1.http://www.idsmag.com.tw/ids/new_article.asp?ar_id=30954
2.物聯網設備資安防護指南
https://portal.cert.tanet.edu.tw/docs/pdf/201905060905303077561792
45232.pdf
3.https://icatch99.blogspot.com/2019/11/icatch-dvr.html

2020-01-09 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Citrix應用伺服器與閘道器產品存在安全漏洞(CVE-2019-19781),可能被用

教育機構ANA通報平台

發佈編號:TACERT-ANA-2020010902015858
發佈時間:2020-01-09 14:13:59
事故類型:ANA-漏洞預警
發現時間:2020-01-08 10:19:56
影響等級:低
主旨說明:【漏洞預警】Citrix應用伺服器與閘道器產品存在安全漏洞(CVE-2019-
19781),可能被用於任意程式碼執行,請儘速確認並進行更新。

內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202001-0226
資安公司Positive Technologies近期公布Citrix應用伺服器與閘道器產品存在安
全漏洞(CVE-2019-19781),可能被用於任意程式碼執行(arbitrary code
execution),進而允許未經授權使用者連入組織內部網路,建議有使用受影響產品的
用戶,依Citrix原廠文件進行防護設定。

影響平台:
Citrix ADC and Citrix Gateway version 13.0 all supported builds
Citrix ADC and NetScaler Gateway version 12.1 all supported builds
Citrix ADC and NetScaler Gateway version 12.0 all supported builds
Citrix ADC and NetScaler Gateway version 11.1 all supported builds
Citrix NetScaler ADC and NetScaler Gateway version 10.5 all
supported builds

建議措施:
1.依下列指令檢查Citrix伺服器設定,如果不是回應「403 Forbidden」,表示可
能存在漏洞。
curl -k -I https://Citrix伺服器網路位址/logon/LogonPoint/vpns/
curl -k -I https://Citrix伺服器網路位址/logon/vpns/
curl -k -I https://Citrix伺服器網路位址/vpn/vpns/
curl -k -I https://Citrix伺服器網路位址/epa/vpns/
2.依Citrix原廠發布建議措施,進行防護設定。
https://support.citrix.com/article/CTX267679
3.檢查Citrix伺服器紀錄是否有異常登入或異常連線。
4.檢查資安防護設備紀錄是否有異常連線。

參考資料:
1. https://support.citrix.com/article/CTX267027
2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781
3. https://www.ptsecurity.com/ww-en/about/news/citrix-
vulnerability-allows-criminals-to-hack-networks-of-80000-companies

2020-01-07 個人資訊管理制度 公告主旨 : 【文件發行】PIMS-2-005-6 當事人權利行使管理程序

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_個人資料保護_PIMS
>> 1正式發行文件 使用最新版本之程序書。

2020-01-07 個人資訊管理制度 公告主旨 : 【文件發行】PIMS-4-009-5 當事人權利行使申請表

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_個人資料保護_PIMS >>
1正式發行文件 使用最新版本之程序書。

2020-01-07 個人資訊管理制度 公告主旨 : 【文件發行】PIMS-4-010-4 當事人權利行使回覆表

請至朝陽雲端硬碟(CYUT Drive) >> 團隊資料夾 >> 圖資處_個人資料保護_PIMS >>
1正式發行文件 使用最新版本之程序書。

2019-12-26 教育機構ANA通報平台 公告主旨 : 【攻擊預警】駭客利用惡意檔案竊取臉書帳號資訊

發佈編號:TACERT-ANA-2019122610123434
發佈時間:2019-12-26 10:40:35
事故類型:ANA-攻擊預警
發現時間:2019-12-25 01:09:49
影響等級:中
主旨說明:【攻擊預警】駭客利用惡意檔案竊取臉書帳號資訊
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201912-
0001
駭客散佈含有木馬的惡意PDF reader檔案,引誘使用者下載執行後,會從瀏覽器的
SQL Lite DB中竊取使用者的Facebook sessions cookies,並利用此sessions
cookies連線至臉書,獲取使用者Ads Manager 帳戶的敏感資訊,藉以散佈廣告或
不實訊息等惡意攻擊。
IOCs:

可疑網址與IP:
- smartpdfreader.com, pdfaide.com, pdfguidance.com, ytbticket.com,
videossources.com
- www.ipcode.pw, www.gaintt.pw
- 185.130.215.118, 155.138.226.36

可疑檔案:
- d56e00af1562ee3890a132cde6a9b8f8a7b68d73c1532ab5dad046c7cf5c20f3
- ede475db32026a207a54ed924aa6e2230911dc1cce95fb0aa3efbdfd5f4de9e1
- a415624fe4fbce9ba381f83573d74f760197ad2371d4e4a390ea5722fad755cb
- 25c60987a0148c19477196257478f14c584600acd742369cb8859256ff005400

影響平台:Windows

建議措施:
1. 勿隨意點擊下載/執行 來源不明的檔案
2. 防毒軟體定期掃描更新
3. 根據 IOCs 阻擋/偵測異常連線,並檢查電腦系統是否存在惡意程式
參考資料:
1. https://www.bleepingcomputer.com/news/security/facebook-ads-
manager-targeted-by-new-info-stealing-trojan
2. https://twitter.com/malwrhunterteam/status/1201552349715673088

2019-12-12 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Adobe Acrobat與Reader應用程式存在多個安全漏洞,允許攻擊者遠端執行任意

教育機構ANA通報平台

發佈編號:TACERT-ANA-2019121202121717
發佈時間:2019-12-12 14:13:18
事故類型:ANA-漏洞預警
發現時間:2019-12-12 01:17:44
影響等級:高
主旨說明:【漏洞預警】Adobe Acrobat與Reader應用程式存在多個安全漏洞,允許
攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201912-0362。
Adobe釋出的安全性公告中提出Adobe Acrobat與Reader存在越界寫入(Out-of-
Bounds Write)、使用釋放後記憶體(Use After Free)、堆積溢位(Heap
Overflow)、緩衝區錯誤(Buffer Error)、不可靠的指標反參考(Untrusted
Pointer Dereference)及繞過安全性機制(Security Bypass)等漏洞,攻擊者可
藉由誘騙使用者點擊含有惡意程式碼的連結或檔案,進而導致攻擊者執行任意程式
碼。

影響平台:
以下所有程式的Windows與macOS版本:
1.Continuous track versions:
‧Acrobat DC Continuous track versions 2019.021.20056(含)以前版本
‧Acrobat Reader DC Continuous track versions 2019.021.20056(含)以前
的版本
2.Classic 2017 versions:
‧Acrobat 2017 Classic 2017:
‧Windows:versions 2017.011.30152(含)以前版本
‧macOS:versions 2017.011.30155(含)以前版本
‧Acrobat Reader 2017 Classic 2017 versions 2017.011.30152(含)以前版

3.Classic 2015 versions:
‧Acrobat DC Classic 2015 versions 2015.006.30505(含)以前版本
‧Acrobat Reader DC Classic 2015 versions 2015.006.30505(含)以前版本

建議措施:
1.請確認電腦目前使用的版本。若為上述影響版本,請儘速更新至以下版本,檢查方
式:啟動Acrobat或Reader程式,點選「說明」→「關於」,確認版本後可點選「說
明」→「檢查更新」安裝更新程式。
2.亦可至下列網址進行更新:
(1)Continuous track version更新至2019.021.20058以後版本:
Acrobat DC:
Windows User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6813
macOS User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6819
Acrobat Reader DC:
Windows User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6815
macOS User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6821
(2)Classic 2017 versions更新至2017.011.30156以後版本:
Acrobat 2017:
Windows User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6823
macOS User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6827
Acrobat Reader 2017:
Windows User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6825
macOS User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6829
(3)Classic 2015 versions更新至2015.006.30508以後版本:
Acrobat 2015:
Windows User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6831
macOS User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6835
Acrobat Reader 2015:
Windows User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6833
macOS User:https://supportdownloads.adobe.com/detail.jsp?
ftpID=6837

參考資料:
1. https://helpx.adobe.com/security/products/acrobat/apsb19-55html
2. https://thehackernews.com/2019/12/adobe-software-update.html

2019-11-21 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Openfind MAIL2000 Webmail Pre-Auth Cross-Sit

發佈編號:TACERT-ANA-2019112109110909
發佈時間:2019-11-21 09:21:10
事故類型:ANA-漏洞預警
發現時間:2019-11-20 06:10:14
影響等級:低
主旨說明:【漏洞預警】Openfind MAIL2000 Webmail Pre-Auth Cross-Site
Scripting and Open Redirect
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201911-
0002、TWCERTCC-ANA-201911-0003、TWCERTCC-ANA-201911-0004

TWCERTCC-ANA-201911-0002(CVE-2019-15071):
在MAIL2000 v 6.0 與 v7.0 之cgi-bin頁面下存在cross-site scripting
(XSS)漏洞,在未授權的情況下可透過ACTION 參數執行惡意程式碼。

TWCERTCC-ANA-201911-0003(CVE-2019-15072):
在MAIL2000 v 6.0 與 v7.0 之cgi-bin 登入頁面下存在cross-site scripting
(XSS)漏洞,在未授權的情況下可透過任何參數執行惡意程式碼。

TWCERTCC-ANA-201911-0004(CVE-2019-15073):
在MAIL2000 v 6.0 與 v7.0 存在Open Redirect之漏洞,在任何瀏覽器上開啟
MAIL2000皆可在未授權的情況下轉址至惡意網站。

影響平台:MAIL2000 v 6.0 與 v7.0
建議措施:更新至最新版本
參考資料:
1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15071
2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15072
3. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15073

2019-11-06 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2019-13720與CVE-20

發佈編號:TACERT-ANA-2019110609114242
發佈時間:2019-11-06 09:13:44
事故類型:ANA-漏洞預警
發現時間:2019-11-04 01:29:37
影響等級:低
主旨說明:【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2019-13720與CVE-2019-13721),允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201911-0171
卡巴斯基資安團隊與其他組織研究人員發現,Google Chrome瀏覽器存在使用釋放後記憶體(use-after-free)漏洞,進而影響音頻組件(CVE-2019-13720)與PDFium元件(CVE-2019-13721),攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結,導致遠端執行任意程式碼。

影響平台: Google Chrome 78.0.3904.70(含)以前版本

建議措施:
請更新Google Chrome瀏覽器至78.0.3904.87以後版本,更新方式如下:
1.開啟瀏覽器,於網址列輸入chrome://settings/help,瀏覽器將執行版本檢查與自動更新
2.點擊「重新啟動」完成更新

參考資料:
1. https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
2. https://thehackernews.com/2019/11/chrome-zero-day-update.html

2019-11-06 教育機構ANA通報平台 公告主旨 : 【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路

發佈編號:TACERT-ANA-2019110602115959
發佈時間:2019-11-06 14:59:02
事故類型:ANA-攻擊預警
發現時間:2019-11-04 01:35:22
影響等級:低
主旨說明:【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201911-
0001
本中心接獲國際情資,駭客利用Lemon_Duck PowerShell嘗試利用EternalBlue
SMB漏洞,暴力攻擊MS-SQL服務或Pass-the-hash攻擊系統,迴避資安防禦機制,入
侵終端系統執行惡意勒索並散播惡意程式。
受感染系統會以下列方式散播:

1. EternalBlue:SMB漏洞利用。
2. USB和網路磁碟:腳本會將惡意Windows *.lnk shortcut files與DLL files
寫入感染系統中的USB或連線的網路磁碟機中,並透過Windows *.lnk漏洞(CVE-
2017-8464)散播惡意程式。
3. Startup file:腳本將惡意檔案寫入Windows系統上的啟動位置(如開始中的啟動
裡),並在統重啟後執行。
4. MS-SQL Server暴力破解: 使用腳本置中的密碼表嘗試暴力破解SQL Server的
SA帳戶。
5. Pass the Hash攻擊: 利用腳本中的hash table執行Pass the Hash攻擊。
6. 使用WMI在遠端系統上執行惡意指令。
7. RDP暴力破解。

攻擊來源資訊:

- Potential C2:
27.102.107[.]41
- Potential Brute Force:
113.140.80[.]197 - Port Scanning/Brute force (CN)
120.253.228[.]35 - Port Scanning/Brute force port 3389 (CN)
112.133.236[.]187 - Brute Force port 445 (India)
58.62.125[.]245 - Brute Force port 445/Port Scanning (CN)
- Potential Scanning:
58.221.24[.]178 - Port Scanning (CN)
221.4.152[.]250 - Port Scanning port 1433 (CN)
182.140.217[.]226 - Port scanning (CN)
1.202.15[.]246 - Port scanning port 3389 (CN)

Additionally the following are potential host indicators:
- Scheduled task named Rtsa
- Listening port of 65529
- Service with a randomly generated name
- Mutexes within PowerShell called LocalIf and LocalMn

影響平台:所有Windows系統

建議措施:
1. 安裝Windows SMB 安全更新。
2. 關閉網路芳鄰(SMBv1)。
3. 使用高強度密碼。
4. 安裝Windows CVE-2017-8464 漏洞相關安全更新。
5. 建議封鎖攻擊來源IP。

2019-11-01 教育機構ANA通報平台 公告主旨 : 【攻擊預警】北韓駭客組織HIDDEN COBRA所利用的惡意程式HOPLIGHT,請各單位注意防範

發佈編號:TACERT-ANA-2019110102110909
發佈時間:2019-11-01 14:02:10
事故類型:ANA-攻擊預警
發現時間:2019-11-01 05:42:10
影響等級:低
主旨說明:【攻擊預警】北韓駭客組織HIDDEN COBRA所利用的惡意程式HOPLIGHT,請各單位注意防範
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201911-0030。
美國國土安全部、聯邦調查局及美國國防部近期發布惡意程式分析報告AR19-304,更新北韓駭客組織HIDDEN COBRA利用之惡意程式HOPLIGHT變種資訊,該惡意程式會透過與中繼站建立加密連線,隱匿惡意活動。
若資訊設備遭受感染會有以下風險:
1.個人或單位資料遭竊取。
2.個人工作或單位運作被影響而中斷停擺。
3.資訊設備資源被利用於對外攻擊。
4.單位財務損失。
建議除使用防毒軟體檢查資訊設備是否受惡意程式感染,也可透過檢查連線紀錄與惡意程式資訊確認感染與否。

影響平台:微軟作業系統

建議措施:
1.部署黑名單於防護設備進行偵測,監控是否有資訊設備已遭入侵,本次新增HIDDEN COBRA IP黑名單如下:
117.239.241.2
119.18.230.253
14.140.116.172
195.158.234.60
210.137.6.37
218.255.24.226
221.138.17.152

2.各單位可依參考資料連結,取得詳細惡意程式特徵如雜湊值與偵測規則,用以偵測系統是否存在相關惡意程式,若確認資訊設備已遭入侵,建議立即進行必要處理措施:
(1)針對受害電腦進行資安事件應變處理。
(2)重新安裝作業系統,並更新作業系統及相關應用軟體。
(3)更換系統使用者密碼。

3.日常資訊設備資安防護建議:
(1)持續更新作業系統及辦公室文書處理軟體等安全性修補程式。若所使用的作業系統已不再提供更新程式,建議升級至較新版本作業系統。
(2)系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
(3)安裝及啟用防毒軟體防護,並持續更新病毒碼及掃毒引擎。
(4)安裝及啟用防火牆防護,並設定防火牆規則僅開放所需之通訊埠。
(5)不要開啟可疑的郵件與檔案,在開啟下載資料之前先進行資安防護掃描檢查。

參考資料:
1. https://www.us-cert.gov/ncas/analysis-reports/ar19-304a
2. https://www.us-cert.gov/ncas/analysis-reports/AR19-100A

2019-10-30 教育機構ANA通報平台 公告主旨 : 【攻擊預警】惡意音源檔案攻擊,請各單位注意防範

發佈編號:TACERT-ANA-2019103010101919
發佈時間:2019-10-30 10:48:20
事故類型:INT-系統被入侵
發現時間:2019-10-25 16:52:24
影響等級:低
主旨說明:【攻擊預警】惡意音源檔案攻擊,請各單位注意防範
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201910-0002
本中心接獲國際情資,駭客利用WAV 音源檔案夾帶了惡意程式,迴避資安防禦機制,入侵終端系統執行惡意攻擊。
IOC資訊:
https://cert.tanet.edu.tw/pdf/malicious_iocs.zip

影響平台:所有能撥放wav音檔系統

建議措施:根據IOC資訊,檢測終端系統檔案

參考資料:
1. https://www.virustotal.com/gui/file/595a54f0bbf297041ce259461ae8a12f37fb29e5180705eafb3668b4a491cecc/detection
2. https://www.virustotal.com/gui/file/db043392816146bbe6e9f3fe669459fea52a82a77a033c86fd5bc2f4569839c9/detection
3. https://www.virustotal.com/gui/file/a2923d838f2d301a7c4b46ac598a3f9c08358b763b1973b4b4c9a7c6ed8b6395/detection
4. https://www.virustotal.com/gui/file/843cd23b0d32cb3a36b545b07787ac9da516d20db6504f9cdffa806d725d57f0/detection
5. https://www.virustotal.com/gui/file/ed58fdb450d463b0fe3bbc6b9591203f6d51bf7a8dc00f9a03978cecd57822e1/detection
6. https://www.virustotal.com/gui/file/da581a5507923f5b990fe5935a00931d8cd80215bf588abec425114025377bb1/detection

2019-10-23 教育機構ANA通報平台 公告主旨 : 【攻擊預警】惡意 IP 對企業 Office 365 帳號進行暴力破解攻擊,請各單位注意防範

發佈編號:TACERT-ANA-2019102302101717
發佈時間:2019-10-23 14:39:20
事故類型:ANA-攻擊預警
發現時間:2019-10-23 05:55:16
影響等級:低
主旨說明:【攻擊預警】惡意 IP 對企業 Office 365 帳號進行暴力破解攻擊,請各單位注意防範
內容說明:
轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201910-0001

本中心接獲國際情資,企業 Office 365 帳號遭到暴力破解攻擊,駭客能夠利用破解的帳號,來監控企業流量、產生其他帳號或是潛入組織內部網路。
目前已知會對企業 Office 365 帳號進行攻擊的 IP 如下所列:

攻擊IP列表:

112.179.242.181
113.204.147.26
118.163.143.170
120.209.20.16
175.230.213.33
201.184.241.243
218.107.49.71
218.206.132.194
218.28.50.51
218.64.165.194
220.164.2.61
220.164.2.87
221.3.236.94
222.218.17.189
222.223.56.116
42.243.154.6
58.213.46.110
59.48.82.14
60.13.154.174
61.136.104.131
61.160.95.126
61.163.231.150
61.163.36.24
61.182.82.34
91.233.156.93
94.156.119.230

影響平台:Office 365
建議措施:
1. 阻擋攻擊IP列表內的IP
2. 使用多重認證
3. 開啟網路日誌並保留相關資訊至少 90 天
4. 啟用登入錯誤鎖定機制
5. 使用高強度密碼

2019-10-18 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Adobe Acrobat與Reader應用程式存在多個安全漏洞,允許攻擊者遠端執行任意

發佈編號:TACERT-ANA-2019101801100101
發佈時間:2019-10-18 13:04:02
事故類型:ANA-漏洞預警
發現時間:2019-10-18 03:37:27
影響等級:中
主旨說明:【漏洞預警】Adobe Acrobat與Reader應用程式存在多個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201910-0285
Adobe釋出的安全性公告中提出Adobe Acrobat與Reader存在越界寫入(Out-of-Bounds Write)、使用釋放後記憶體(Use After Free)、堆積溢位(Heap Overflow)、緩衝區溢位(Buffer Overrun)、競爭條件(Race Condition)、類型混亂(Type Confusion)及不可靠的指標反參考(Untrusted Pointer Dereference)等漏洞,攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結或檔案,進而導致可執行任意程式碼。

影響平台:
以下所有程式的Windows與MacOS版本:

1.Continuous track versions:
‧Acrobat DC Continuous track versions 2019.012.20040(含)以前版本
‧Acrobat Reader DC Continuous track versions 2019.012.20040(含)以前的版本
2.Classic 2017 versions:
‧Acrobat 2017 Classic 2017 versions 2017.011.30148(含)以前版本
‧Acrobat Reader 2017 Classic 2017 versions 2017.011.30148(含)以前版本
3.Classic 2015 versions:
‧Acrobat DC Classic 2015 versions 2015.006.30503(含)以前版本
‧Acrobat Reader DC Classic 2015 versions 2015.006.30503(含)以前版本

建議措施:
1.請確認電腦目前使用的版本。若為上述影響版本,請儘速更新至以下版本,檢查方式:啟動Acrobat或Reader程式,點選「說明」→「關於」,確認版本後可點選「說明」→「檢查更新」安裝更新程式。
2.亦可至下列網址進行更新:

(1)Continuous track version更新至2019.021.20047以後版本:
Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6751
Macintosh User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6757
(2)Classic 2017 versions更新至2017.011.30150以後版本:

Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6761
Macintosh User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6765
(3)Classic 2015 versions更新至2015.006.30504以後版本:
Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6769
Macintosh User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6773

參考資料:
1. https://helpx.adobe.com/security/products/acrobat/apsb19-49.htmlBR>
2. https://thehackernews.com/2019/10/adobe-software-patches.htmlBR>
3. https://www.ithome.com.tw/news/133637BR>

2019-10-03 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Exim存在安全漏洞(CVE-2019-16928),允許攻擊者遠端執行任意程式碼,請儘

發佈編號:TACERT-ANA-2019100301104545
發佈時間:2019-10-03 13:50:46
事故類型:ANA-漏洞預警
發現時間:2019-10-03 05:35:04
影響等級:低
主旨說明:【漏洞預警】Exim存在安全漏洞(CVE-2019-16928),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201910-0076
Exim是劍橋大學開發的郵件傳送代理程式(Mail Transfer Agent,MTA),主要安裝在Linux系統以作為郵件伺服器。
研究人員發現,Exim伺服器的string.c檔案中的string_vformat函數存在緩衝區溢位漏洞(CVE-2019-16928),導致攻擊者可利用此漏洞,透過發送惡意EHLO請求,進而導致阻斷服務(DoS)或遠端執行任意程式碼。

影響平台:Exim 4.92至4.92.2版本

建議措施:
1.請執行「exim -bV」指令確認目前使用的版本。
2.如使用受影響之Exim版本,請至官方網站(https://downloads.exim.org/exim4/)下載並更新至Exim 4.92.3以後版本。

參考資料:
1. https://www.exim.org/static/doc/security/CVE-2019-16928.txt
2. https://thehackernews.com/2019/09/exim-email-security-vulnerability.html?fbclid=IwAR07POn62H9LC3B3wBJQa-QO15mcreANfa4gt90EVFOy6CtPAtLyrgdpyUI
3. https://nvd.nist.gov/vuln/detail/CVE-2019-16928

2019-10-02 教育機構ANA通報平台 公告主旨 : 【攻擊預警】學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各單位提高警覺。

發佈編號:TACERT-ANA-2019100201104141
發佈時間:2019-10-02 13:04:41
事故類型:ANA-攻擊預警
發現時間:2019-10-02 10:00:00
影響等級:中
主旨說明:【攻擊預警】學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各單位提高警覺。
內容說明:
學術單位近日內陸續收到含有釣魚內容之資安通知信件,煩請各單位提高警覺。
信件內容以舊有資安相關訊息為主,信件內容開頭以英文撰寫訊息,且附有超連結以供下載檔案。
煩請各單位依社交工程防範作為提高警覺且不輕易點選或開啟不明來源信件之附檔或超連結,以維資訊安全。
如收到相關類似信件,切勿點選信件中超連結,並將信件提供給TACERT(service@cert.tanet.edu.tw),以利相關資訊收集及分析。

電子郵件內容範例1:

Hello,
We need this reviewed, categorized and filed as soon as possible. Take a look and let me know how soon can you finish it.
ATTACHMENT DOCUMENT(超連結,內含惡意程式)
Thank you
電子郵件內容範例2:
Hello,
I believe we completely missed our target on this one, I need you to double check by how much. I attached the file for review below.
ATTACHMENT DOCUMENT(超連結,內含惡意程式)
Thank you

影響平台:電子郵件
建議措施:
1. 確認寄件者資訊及信件內容是否正確
2. 不輕易點選或開啟不明來源信件之附檔或超連結
3. 依社交工程防範作為提高警覺

2019-09-20 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Microsoft Windows遠端桌面服務存在安全漏洞(CVE-2019-1181、

發佈編號:TACERT-ANA-2019092008094646
發佈時間:2019-09-20 08:40:48
事故類型:ANA-漏洞預警
發現時間:2019-09-19 09:57:15
影響等級:低
主旨說明:【漏洞預警】Microsoft Windows遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201909-0110
Microsoft Windows遠端桌面服務(Remote Desktop Services),亦即在Windows Server 2008及更早版本中所稱之終端服務(Terminal Services),該服務允許使用者透過網路連線來遠端操作電腦或虛擬機。
研究人員發現遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),可讓未經身分驗證的遠端攻擊者,透過對目標系統的遠端桌面服務發送特製請求,在不需使用者進行任何操作互動之情況下,達到遠端執行任意程式碼之危害。

影響平台:
Windows 7
Windows 8.1
Windows 10
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019

建議措施:
Microsoft官方已針對此弱點釋出修補程式,並包含於8月份例行性累積更新中,各機關可聯絡設備維護廠商或參考各CVE對應的安全性公告,進行Windows更新

參考資料:
1. https://thehackernews.com/2019/08/windows-rdp-wormable-flaws.html
2. https://www.ithome.com.tw/news/132413
3. https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/312890cc-3673-e911-a991-000d3a33a34d
4. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
5. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226
6. https://www.nccst.nat.gov.tw/VulnerabilityNewsDetail?lang=zh&seq=1441

2019-09-11 教育機構ANA通報平台 公告主旨 : 【攻擊預警】北韓駭客組織HIDDEN COBRA利用惡意程式BADCALL運用知名網站憑證進行fak

發佈編號:TACERT-ANA-2019091111091616
發佈時間:2019-09-11 11:07:17
事故類型:ANA-攻擊預警
發現時間:2019-09-11 01:19:38
影響等級:低
主旨說明:【攻擊預警】北韓駭客組織HIDDEN COBRA利用惡意程式BADCALL運用知名網站憑證進行fake TLS連線,以及利用惡意程式ELECTRICFISH建立隱密通道進行通訊,請各單位注意防範
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201909-0019。
美國國土安全部、聯邦調查局及美國國防部近期更新北韓駭客組織HIDDEN COBRA所利用的BADCALL與ELECTRICFISH惡意程式相關資訊。
BADCALL工具會利用知名網站憑證,如Apple, Facebook, Google, Microsoft等,以進行fake TLS連線並將所取得資料回傳至駭客所控制的主機。
ELECTRICFISH工具可用於在受害電腦與駭客電腦之間建立隱密通道(Tunnel),規避資安設備之偵測;該工具亦可指定外部代理伺服器(Proxy Server)作為中間跳板,
以隱藏駭客真實網路位址(IP Address)。
若資訊設備遭受感染會有以下風險:

1.個人或單位資料遭竊取。
2.個人工作或單位運作被影響而中斷停擺。
3.資訊設備資源被利用於對外攻擊。
4.單位財務損失。
建議除使用防毒軟體檢查資訊設備是否受惡意程式感染,也可透過檢查連線紀錄與惡意程式資訊確認感染與否。

影響平台:微軟作業系統、Android系統

建議措施:
1. 檢查資安防護設備紀錄,確認是否有不正常的8000、60000埠連線。
2. 檢查個人電腦上的防火牆是否被不正常停用或是防火牆設定被修改成允許外部連線到該電腦的443埠。
3. 檢查系統是否存在下列檔案(BADCALL惡意程式):

(1) 本次報告更新:22082079AB45CCC256E73B3A7FD54791
–MD5: 22082079ab45ccc256e73b3a7fd54791
–SHA1: 029bb15a2ba0bea98934aa2b181e4e76c83282ce

(2) 本次報告更新:z
–MD5: 2733a9069f0b0a57bf9831fe582e35d9
–SHA1: f06f9d015c2f445ee0f13da5708f93c381f4442d

(3) 本次報告更新:hc.zip
–MD5: eb7da5f1e86679405aa255aa4761977d
–SHA1: 880cb39fee291aa93eb43d92f7af6b500f6d57dc

(4) C01DC42F65ACAF1C917C0CC29BA63ADC
–MD5: c01dc42f65acaf1c917c0cc29ba63adc
–SHA1: d288766fa268bc2534f85fd06a5d52264e646c47

(5) C6F78AD187C365D117CACBEE140F6230
–MD5: c6f78ad187c365d117cacbee140f6230
–SHA1: 5116f281c61639b48fd58caaed60018bafdefe7a

(6) Android惡意程式,D93B6A5C04D392FC8ED30375BE17BEB4
–MD5: d93b6a5c04d392fc8ed30375be17beb4
–SHA1: f862c2899c41a4d1120a7739cdaff561d2490360

4. 檢查系統是否存在下列檔案(ELECTRICFISH惡意程式):
(1) 本次報告更新:0BA6BB2AD05D86207B5303657E3F6874
–MD5: 0ba6bb2ad05d86207b5303657e3f6874
–SHA1: ad44567c8709df4889d381a0a64cc4b49e5004c3

(2) 8d9123cd2648020292b5c35edc9ae22e
–MD5: 8d9123cd2648020292b5c35edc9ae22e
–SHA1: 0939363ff55d914e92635e5f693099fb28047602


5. 若確認資訊設備已遭入侵,建議處理措施:
(1) 針對受害電腦進行資安事件應變處理。
(2) 重新安裝作業系統,並更新作業系統及相關應用軟體。
(3) 更換系統使用者密碼。

6. 日常資訊設備資安防護建議:
(1) 持續更新作業系統及辦公室文書處理軟體等安全性修補程式。若所使用的作業系統已不再提供更新程式,建議升級至較新版本作業系統。
(2) 系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
(3) 安裝及啟用防毒軟體防護,並持續更新病毒碼及掃毒引擎。
(4) 安裝及啟用防火牆防護,並設定防火牆規則僅開放所需之通訊埠。
(5) 不要開啟可疑的郵件與檔案,在開啟下載資料之前先進行資安防護掃描檢查。

參考資料:
BADCALL報告
1. https://www.us-cert.gov/ncas/analysis-reports/ar19-252a
2. https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-G.PDF
ELECTRICFISH報告
1. https://www.us-cert.gov/ncas/analysis-reports/ar19-252b
2. https://www.us-cert.gov/ncas/analysis-reports/AR19-129A

2019-09-11 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Exim存在安全漏洞(CVE-2019-15846),允許攻擊者遠端執行任意程式碼,請儘

發佈編號:TACERT-ANA-2019091111093232
發佈時間:2019-09-11 11:29:33
事故類型:ANA-漏洞預警
發現時間:2019-09-11 01:25:18
影響等級:中
主旨說明:【漏洞預警】Exim存在安全漏洞(CVE-2019-15846),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201909-0051
Exim是劍橋大學開發的郵件傳送代理程式(Mail Transfer Agent,MTA),主要安裝在Linux郵件伺服器上。
研究人員發現,當Exim伺服器接受TLS連線時(預設為啟用),在最初的TLS交握過程中,存在字元(反斜線)處理不當的安全漏洞(CVE-2019-15846),導致攻擊者可利用此漏洞,透過發送惡意請求,進而遠端以root權限執行任意程式碼。

影響平台:Exim 4.92.1(含)以前版本
建議措施:
1. 請執行「exim -bV」指令確認目前使用的版本。
2. 如使用受影響之Exim版本,請至官方網站(https://downloads.exim.org/exim4/)下載並更新至Exim 4.92.2以後版本。

參考資料:
1. https://www.exim.org/static/doc/security/CVE-2019-15846.txt
2. https://nvd.nist.gov/vuln/detail/CVE-2019-15846
3. https://thehackernews.com/2019/09/exim-email-server-vulnerability.html
4. https://www.ithome.com.tw/news/132935

2019-08-29 教育機構ANA通報平台 公告主旨 : 【漏洞預警】Pulse Connect Secure產品存在安全漏洞(CVE-2019-11510、

發佈編號:TACERT-ANA-2019082901085555
發佈時間:2019-08-29 13:13:58
事故類型:ANA-漏洞預警
發現時間:2019-08-28 10:39:43
影響等級:中
主旨說明:【漏洞預警】Pulse Connect Secure產品存在安全漏洞(CVE-2019-11510、CVE-2019-11539),允許未經授權使用者取得帳號與密碼,請儘速確認並進行更新
內容說明:
轉發國家資安資訊分享與分析中心 資安訊息警訊 NCCST-ANA-G2019-0130

資安公司BadPackets近期觀測發現駭客針對Pulse Secure公司之Pulse Connect Secure產品漏洞(CVE-2019-11510、CVE-2019-11539)進行大規模攻擊探測。
攻擊者無需身分驗證即可遠端執行命令注入(Remote Command Injection),存取設備上之任意檔案如VPN帳號密碼檔案,進而利用所取得的認證資訊登入組織內部網路,進行橫向擴散。
目前全球總計超過1萬4千個設備可能存在相關漏洞,其中台灣有217個受影響的設備。建議有使用受影響產品的用戶,升級至Pulse Secure官方所發布的修補版本。

影響平台:
Pulse Connect Secure 9.0R1 - 9.0R3.3
Pulse Connect Secure 8.3R1 - 8.3R7
Pulse Connect Secure 8.2R1 - 8.2R12
Pulse Connect Secure 8.1R1 - 8.1R15
Pulse Policy Secure 9.0R1 - 9.0R3.3
Pulse Policy Secure 5.4R1 - 5.4R7
Pulse Policy Secure 5.3R1 - 5.3R12
Pulse Policy Secure 5.2R1 - 5.2R12
Pulse Policy Secure 5.1R1 - 5.1R15

建議措施:
Pulse Secure已針對前述漏洞釋出修復版本,請聯絡設備維護廠商進行版本確認與更新,官方公告連結如下:
1.https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101
2.https://kb.pulsesecure.net/articles/Pulse_Technical_Bulletin/TSB44239

參考資料:
1.https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/
2.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510
3.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11539

回到最上方