【漏洞預警】特定Intel處理器中的ME、SPS及TXE管理技術存在多個安全漏洞,允許攻擊者遠端執行任意程式碼,或本地端進行提權與執行任意程式碼

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201711-0033

研究人員發現Intel管理引擎(Management Engine,ME)、受信任的執行引擎(Trusted Execution Engine,TXE)及伺服器平台服務(Server Platform Services,SPS)存在多個安全漏洞。

當中管理引擎(ME)包含CVE-2017-5705、CVE-2017-5708、CVE-2017-5711及CVE-2017-5712安全漏洞,受信任的執行引擎(TXE)包含CVE-2017-5707與CVE-2017-5710安全漏洞,伺服器平台服務(SPS)包含CVE-2017-5706與CVE-2017-5709安全漏洞。其中部分漏洞允許攻擊者於本地用戶的目標系統進行提權與執行任意程式碼。

[影響平台:]
處理器版本:
6th, 7th, and 8th generation Intel Core Processor Family
Intel Xeon Processor E3-1200 v5 and v6 Product Family
Intel Xeon Processor Scalable Family
Intel Xeon Processor W Family
Intel Atom C3000 Processor Family
Apollo Lake Intel Atom Processor E3900 series
Apollo Lake Intel Pentium Processors
Intel Celeron N and J series Processors
韌體版本:
Intel Manageability Engine韌體版本:8.x、9.x、10.x、11.0.x.x、11.5.x.x、11.6.x.x、11.7.x.x、11.10.x.x、11.20.x.x
Intel Server Platform Services韌體版本:4.0.x.x
Intel Trusted Execution Engine韌體版本:3.0.x.x

[建議措施:]
1.目前Intel官方已針對該弱點成立專區(https://www.intel.com/content/www/us/en/support/articles/000025619/softw...) ,並彙整各家受影響廠商的技術支援連結,請持續關注或洽詢合作之OEM廠商更新至相對應的韌體版本,詳細修復韌體版本如下:

6th Generation Intel Core Processor Family大於Intel ME 11.8.50.3425的版本
6th Gen X-Series Intel Core Processor大於Intel ME 11.11.50.1422的版本
7th Generation Intel Core Processor Family大於Intel ME 11.8.50.3425的版本
7th Gen X-Series Intel Core Processor大於Intel ME 11.11.50.1422的版本
8th Generation Intel Core Processor Family大於Intel ME 11.8.50.3425的版本
Intel Xeon Processor E3-1200 v5 Product Family大於Intel ME 118.50.3425與Intel SPS 4.1.4.054的版本
Intel Xeon Processor E3-1200 v6 Product Family大於Intel ME 118.50.3425與Intel SPS 4.1.4.054的版本
Intel Xeon Processor Scalable Family大於Intel ME 11.21.50.1424與Intel SPS 4.0.04.288的版本
Intel Xeon Processor W Family大於Intel ME 11.11.50.1422的版本
Intel Atom C3000 Processor Family大於Intel SPS 4.0.04.139的版本
Apollo Lake Intel Atom Processor E3900 series大於Intel TXE Firmware 3.1.50.2222的版本
Apollo Lake Intel Pentium大於Intel TXE Firmware 3.1.50.2222的版本
Celeron N series Processors大於Intel TXE Firmware 3.1.50.2222的版本
Celeron J series Processors大於Intel TXE Firmware 3.1.50.2222的版本

2.Intel官方網頁釋出之檢測工具,詳細檢測步驟如下:
(1)下載Intel SCS System Discovery Utility工具(https://downloadcenter.intel.com/download/27150)
(2)Windows:執行Intel-SA-00086-GUI.exe程式
(3)Linux:執行intel_sa00086.py程式

[參考資料:]
1.https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

2.https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

【漏洞預警】Adobe Flash Player存在嚴重漏洞(CVE-2017-11292),允許攻擊者在受害系統上執行任意程式碼,進而獲取系統控制權限,請儘速確認並進行更新

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201710-0035

Adobe Flash Player是一個被廣泛使用的多媒體程式播放器。

防毒廠商卡巴斯基的研究人員(Anton Ivanov)於分析用戶受害情形時,發現駭客組織(BlackOasis)利用Adobe Flash Player之零時差漏洞(漏洞編號為CVE-2017-11292)進行攻擊,駭客利用其中含有Flash攻擊代碼之ActiveX物件的惡意Word文件進行攻擊,當開啟該惡意Word文件後,即可取得系統控制權限,導致可在受害系統上執行任意程式碼,並且發現該漏洞已被利用來散布FinSpy等間諜惡意軟體,進行APT攻擊用途。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
Adobe Flash Player Desktop Runtime小於(含)27.0.0.159之前的版本
Adobe Flash Player for Google Chrome小於(含)27.0.0.159之前的版本
Adobe Flash Player for Microsoft Edge小於(含)27.0.0.130之前的版本
Adobe Flash Player for Internet Explorer 11小於(含)27.0.0.130之前的版本

[建議措施:]
1.各單位可至Adobe Flash Player官網(http://get.adobe.com/tw/flashplayer/about/)提供的連結,確認當前使用之版本。
如所使用的版本為上述受影響的Adobe Flash Player 版本,請至Adobe Flash Player官網(https://helpx.adobe.com/security/products/flash-player/apsb17-32.html)下載最新版本進行更新

2.定期檢視系統/應用程式更新紀錄,避免駭客利用系統/應用程式安全性漏洞進行入侵行為,並更新防毒軟體病毒碼以加強防護

[參考資料:]
1.https://www.kaspersky.com/about/press-releases/2017_kaspersky-lab-discovers-adobe-flash-zero-day

2.https://www.ithome.com.tw/news/117524

3.https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/

竹苗區域網路中心謹訂於106年11月03日(星期五)舉辦教育訓練課程

說明:
一、 為促進竹苗區網連線單位間,資訊、經驗、技術與意見之交流分享,假國立交通大學舉辦「校園數據中心與區域網路的安全佈署」及「保護校園資訊抵禦外部攻擊的網路安全架構簡述」課程。

 課程名稱 : 校園數據中心與區域網路的安全佈署
 課程日期 : 105年11月03日(星期五)
 時間 : 上午09:00~12:00
 地點 : 國立交通大學資訊技術服務中心一樓 訓練教室
 講師 : Dell 楊尚餘老師

 課程名稱 : 保護校園資訊抵禦外部攻擊的網路安全架構簡述
 課程日期 : 105年11月03日(星期五)
 時間 : 下午 13:30~16:30
 地點 : 國立交通大學資訊技術服務中心一樓 訓練教室
 講師 : VMWARE 林俊谷老師

二、敬請惠予參加人員公差假,以便參與此次竹苗區網教育訓練。

各區網中心106年11月18日(星期六)避免網 路維修工程或中斷並公告週知

一、臺灣大學計資中心舉辦「2017網際網路程式設計全國大賽(國/高中組)」,
係為提昇資訊教育水準及培育資訊相關人才,以鼓勵學生從事程式設計來解決問題。
預定於106年11月18日(星期六)當天舉行初賽,因初賽屬網路競賽方式,
為使比賽能順利進行,請惠予通知各區網中心當天避免網路維修工程或中斷並公告週知。

二、活動網址:http://contest.cc.ntu.edu.tw/npsc2017/。

【漏洞預警】WPA2加密協議存在嚴重漏洞,所有含有WPA2加密協議之裝置均可能受影響

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201710-0011

WPA 全稱為 Wi-Fi Protected Access,有 WPA 和 WPA2 兩個標準,是一種保護無線網路安全的加密協議。
比利時研究人員發現WPA2(Wi-Fi Protected Access 2)加密協議中存在嚴重漏洞,包含CVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、CVE-2017-13081、CVE-2017-13082、CVE-2017-13084、CVE-2017-13086、CVE-2017-13087及CVE-2017-13080等。
攻擊者可在含有漏洞的WiFi裝置的有效覆蓋範圍內,攔截使用者傳送的檔案、電子郵件及其他資料等。甚至,特定情況下,攻擊者可以竄改、偽造傳輸的資料,或在正常網頁中植入惡意連結。

[影響平台:]
所有含有WPA2加密協議之裝置

[建議措施:]
1.請各機關密切注意各家廠商更新訊息,或參考美國Cert/CC官網(http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=22...) 提供之受影響廠商名單,並儘速安裝更新韌體或軟體
2.減少在公共場合使用WiFi服務,減少受害機會
3.使用WPA2之WiFi連線時,應避免於HTTP連線時傳送機敏資料,盡可能使用HTTPS連線作為機敏資訊傳送
4.建議變更WiFi AP之SSID(例如手機所分享之WiFi AP),避免存在容易讓人識別身分之名稱,以減少遭鎖定攻擊機會
5.可以的話,建議使用有線網路取代無線網路以強化安全
6.WiFi服務為區域性連線使用,因此具備良好安全觀念,以及留意安全議題與使用方式,此問題影響程度有限,不須過於恐慌
[參考資料:]
1.https://www.ithome.com.tw/news/117515
2.https://www.inside.com.tw/2017/10/17/wpa2breaking
3.https://www.krackattacks.com/

【漏洞預警】特定考勤門禁系統存在資安漏洞,恐遭利用進行虛擬貨幣挖礦或對外攻擊

發佈編號 TACERT-ANA-2017092709091414 發佈時間 2017-09-27 09:48:15
事故類型 ANA-漏洞預警 發現時間 2017-09-26 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】特定考勤門禁系統存在資安漏洞,恐遭利用進行虛擬貨幣挖礦或對外攻擊。
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0082

技服中心發現特定考勤門禁系統存在以下漏洞:
1.使用公開的網際網路位址,且對外開啟多個服務如SSH、Telnet及Web。
2.未變更系統預設帳號密碼,使外部人員得以取得管理者身分進行系統操作。
3.外部人員可針對相關服務漏洞進行探測攻擊亦或使用工具進行暴力破解行為。
4.設備系統Web服務未做網址路徑限制存取設定,使外部使用者無須身分驗證,即可透過連線特定網址路徑進行系統操作,如:開啟門禁、修改設備網際網路位址、新增、列舉及刪除使用者帳號資訊。
5.設備系統存在SQL Injection漏洞,造成系統敏感資訊洩漏,如使用者帳密、內部人員出勤紀錄及系統設定參數等。

上述系統漏洞可能會造成相關資安風險如下:
1.設備系統連線至外部虛擬貨幣挖礦主機,進行虛擬貨幣挖礦行為。
2.設備系統遭植入惡意程式,並對外進行漏洞探測與攻擊行為。
3.設備系統遭入侵成為殭屍網路成員,並對外進行阻斷式服務攻擊行為。

[影響平台:]
具聯網功能之臉型或指紋辨識之門禁考勤系統
[建議措施:]
1.盤點與檢視是否使用相關考勤門禁系統
2.相關設備系統應置於防火牆後端並設置防火牆規則,將內網與外網做分隔以防外部非法人士登入。
3.關閉系統上不必要的網路服務,以防遭漏洞探測。
4.系統上所有帳號需設定強健的密碼並定期更換,非必要使用的帳號請將其刪除或停用。
5.若確認該設備已遭入侵,建議聯繫相關設備廠商重新安裝系統,並注意須安裝至最新修補程式。若暫時未發現異常行為,建議持續觀察一個星期左右。
6.建議透過防火牆紀錄持續觀察與監控相關設備是否有異常活動行為,例如:外部探測攻擊、密碼暴力破解及阻斷式服務攻擊等。
[參考資料:]

【漏洞預警】D-Link DIR-850L AC1200雙頻Gigabit無線路由器存在多個漏洞,允許攻擊者遠端執行任意程式碼或造成阻斷服務

發佈編號 TACERT-ANA-2017092109092626 發佈時間 2017-09-21 09:36:25
事故類型 ANA-漏洞預警 發現時間 2017-09-18 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】D-Link DIR-850L AC1200雙頻Gigabit無線路由器存在多個漏洞,允許攻擊者遠端執行任意程式碼或造成阻斷服務
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0051

友訊科技(D-Link)為臺灣網路設備的製造商,旗下產品包含路由器、無線網卡、視訊鏡頭及儲存硬碟等。
南韓研究人員Pierre Kim在今年9月公開揭露,D-Link所生產之DIR-850L AC1200雙頻Gigabit無線路由器的韌體存在多個安全漏洞(CVE-2017-14413~CVE-2017-14430),可能導致下列多項資安風險:
1.允許攻擊者可遠端執行跨網站腳本攻擊。
2.因未使用加密傳輸協定,導致攻擊者可透過中間人攻擊方式獲取帳號密碼等資訊。
3.攻擊者可遠端執行任意程式碼或造成阻斷服務。

[影響平台:]
D-Link 850L韌體版本小於1.14.B07版本
D-Link 850L韌體版本小於2.07.B05版本
[建議措施:]
1.請檢查所使用之韌體是否為受影響之版本,檢查方式:
(1)登入DIR-850L管理介面,
(2)點選「工具」,
(3)點選「韌體」,即可看到目前所使用之韌體版本與韌體日期資訊。
2.目前D-Link官方尚未針對此弱點釋出修復的韌體版本,若使用韌體為受影響版本,請持續關注D-Link官方網頁釋出的韌體更新版本。
[參考資料:]
1.http://thehackernews.com/2017/09/d-link-router-hacking.html

2.https://pierrekim.github.io/blog/2017-09-08-dlink-850l-mydlink-cloud-0days-vulnerabilities.html

3.http://support.dlink.com/ProductInfo.aspx?m=DIR-850L

竹苗區域網路中心--聯合大學及明新科大網路服務異常通知 (演練)

竹苗區域網路中心--聯合大學及明新科大網路目前遭受DDoS攻擊,造成網路品質不穩定,已與相關單位反應,造成不便,敬請見諒。

竹苗區域網路中心--曙光女中網路服務異常通知 (演練)

竹苗區域網路中心--曙光女中網路目前遭受DDoS攻擊,造成網路品質不穩定,已與相關單位反應,造成不便,敬請見諒。

【漏洞預警】Apache Struts 2.5至2.5.12版本中的REST套件存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-9805),請儘速確認並進行修正

發佈編號 TACERT-ANA-2017090709092828 發佈時間 2017-09-07 09:03:32
事故類型 ANA-漏洞預警 發現時間 2017-09-06 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】Apache Struts 2.5至2.5.12版本中的REST套件存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-9805),請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201709-0003

Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框架,REST(Representational State Transfer)則是一種全球資訊網軟體架構風格,可便於不同軟體或程式在網路中互相傳遞資訊。

Apache Struts 2中的REST套件提供開發者可遵循REST的理念與原則進行程式開發,該漏洞主要是在Apache Struts 2.5至2.5.12版本中,當使用REST套件之XStream處理程序針對XML請求進行反序列化時,因未進行類型過濾,可能導致攻擊者可傳送惡意的XML封包,進而造成遠端執行任意程式碼與控制系統。

[影響平台:]
Apache Struts 2.5至2.5.12版本
[建議措施:]
1.目前Apache官方已針對此弱點釋出修復版本,請儘速至官方網頁 (https://struts.apache.org/download.cgi#struts2513) 進行更新。

2.如無使用REST套件需求,請刪除REST套件。確認方式於WEB-INF\lib目錄下是否有 struts2-rest-plugin-2.x.jar 檔案。

3.如需在受影響平台中持續使用REST套件,可於REST套件內的 struts-plugin.xml 設定檔中,依官方網頁(https://struts.apache.org/docs/s2-052.html) 所提供之解決方案進行內容新增,可降低此漏洞影響程度。
[參考資料:]
1.https://struts.apache.org/docs/s2-052.html

2.https://github.com/apache/struts/blob/bbd4a9e8c567265c0eb376c0f8a3445f4d9a5fdf/plugins/rest/src/main/resources/struts-plugin.xml

3.http://thehackernews.com/2017/09/apache-struts-vulnerability.html

訂閱文章