(ANA事件單通知:TACERT-ANA-2016080102083636)(【漏洞預警】Apache 2.4.23(含)前的版本存在漏洞(CVE-2016-5387),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016080102083636 發佈時間 2016-08-01 14:06:34
事故類型 ANA-漏洞預警 發現時間 2016-07-21 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Apache 2.4.23(含)前的版本存在漏洞(CVE-2016-5387),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201608-0008

Apache伺服器是Apache軟體基金會旗下的一款Web伺服器,2.4.23(含)前的版本所內建之httpd/mod_fcgid等模組,其HTTP_PROXY環境變數未能有效過濾客戶端請求,造成HTTP_PROXY的變數內容,可被攻擊者發送的變數內容給覆蓋掉,造成攻擊者可利用此漏洞遠端執行中間人攻擊,以及將目標的HTTP流量重新導向至任意的伺服器。
請檢視是否安裝受影響之Apache伺服器,並儘速參考官方網頁所提供的臨時性解決方案進行修正。

[影響平台:]
Apache伺服器2.4.23(含)前的版本
[建議措施:]
請於已安裝Apache伺服器之電腦,使用「httpd -v」指令確認目前所使用之Apache版本,如所使用之Apache伺服器為2.4.23(含)前的版本,請儘速依官方網頁(https://www.apache.org/security/asf-httpoxy-response.txt)所發布之臨時性解決方案進行修正,而現階段因官方尚未正式釋出修正後的版本,所以仍請密切注意Apache官方網頁(http://httpd.apache.org/)的更新訊息。

[參考資料:]
1. https://httpoxy.org/
2. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5387
3. https://github.com/apache/httpd/commit/1c660f4f15083b06ce15018d304225c42...

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

(ANA事件單通知:TACERT-ANA-2016070610073030)(【漏洞預警】Symantec旗下產品存在多個安全漏洞,部分漏洞允許攻擊者執行任意程式碼或造成阻斷服務,請儘速確認並更新版本)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016070610073030 發佈時間 2016-07-06 10:03:31
事故類型 ANA-漏洞預警 發現時間 2016-07-01 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】Symantec旗下產品存在多個安全漏洞,部分漏洞允許攻擊者執行任意程式碼或造成阻斷服務,請儘速確認並更新版本
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201607-0002

Symantec旗下產品存在包含CVE-2016-2207、CVE-2016-2208、CVE-2016-2209、CVE-2016-2210、CVE-2016-2211、CVE-2016-3644、CVE-2016-3645、CVE-2016-3646、CVE-2016-3647、CVE-2016-3648、CVE-2016-3649、CVE-2016-3650、CVE-2016-3651、CVE-2016-3652、CVE-2016-3653、CVE-2016-5304、CVE-2016-5305、CVE-2016-5306、CVE-2016-5307等19個安全漏洞,其中又以CVE-2016-2208最為嚴重,攻擊者僅需透過E-Mail或網址列夾帶含有惡意的文字檔,提供給裝有Symantec旗下產品的電腦下載觸發,就會造成Linux/MAC/Unix平台電腦引發堆積緩衝區溢位(Heap Overflow),而在Windows平台則會造成核心記憶體損毀,利用此漏洞進行攻擊,將允許攻擊者執行任意程式碼或造成阻斷服務。
請各會員檢視是否安裝受影響之Symantec產品,並儘速更新至最新版本。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
所有平台版本的Symantec Endpoint、Norton 360、Symantec Scan Engine、Symantec Email Security及Symantec Message Gateway等產品
[建議措施:]
請針對受影響之Symantec產品,參考下列原廠安全更新資訊,請儘速確認並更新版本。
1. https://www.symantec.com/security_response/securityupdates/detail.jsp?fi...
2. https://www.symantec.com/security_response/securityupdates/detail.jsp?fi...
3. https://www.symantec.com/security_response/securityupdates/detail.jsp?fi...

[參考資料:]
1. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2208
2. https://www.us-cert.gov/ncas/current-activity/2016/06/29/Symantec-Releas...
3. https://www.us-cert.gov/ncas/current-activity/2016/05/16/Symantec-Releas...
4. https://googleprojectzero.blogspot.tw/2016/06/how-to-compromise-enterpri...

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

(ANA事件單通知:TACERT-ANA-2016062711061919)(【攻擊預警】資訊設備遭xDedic地下黑市入侵通知)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016062711061919 發佈時間 2016-06-27 11:05:17
事故類型 ANA-攻擊預警 發現時間 2016-06-22 00:00:00
影響等級 中
[主旨說明:]【攻擊預警】資訊設備遭xDedic地下黑市入侵通知
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201606-0036

本中心近日接獲卡巴斯基(Kaspersky)情資,發現學術單位內資訊設備疑似已遭入侵並於黑市進行伺服器控制權銷售,為避免不必要之資安風險,請針對該主機進行詳細檢查並加強相關防範措施。

卡巴斯基實驗室於2016年6月15日公佈發現「xDedic」地下黑市的資訊,xDedic為一買賣被入侵的遠端桌面協定伺服器(RDP伺服器)的平台。xDedic地下黑市販賣全球超過7萬台被感染伺服器許可權,根據公佈的報告顯示,xDedic於2014年開始營業,並在2015年中快速增長。到2016年5月,該黑市共有來自174個國家的70,624台伺服器在販售。在大中華地區(中國大陸、臺灣和香港),已有超過100家知名大型企業和ISP的伺服器受到感染並被xDedic在地下黑市販售,受害的單位包括政府、營運商、電商、醫院、房地產公司和學校等機構。

請依據建議措施之檢查措施檢視自身伺服器是否遭到入侵。如確實遭到入侵,請立即依建議措施進行處置並加強防範措施。

[影響平台:]
N/A
[建議措施:]
一.檢查措施:
若主機/伺服器已遭入侵並當作販售目標,可能被安裝木馬程式(Trojan)或作為代理伺服器(xDedic Socks System)協助轉送惡意流量。
使用者可檢查下列惡意程式檔案是否存在電腦中:
1.SCClient 木馬程式(\Windows\System32\scclient.exe)
2.3proxy 代理伺服器(\AppData\Local\Temp\pxsrvc\pxsrvc.exe)

由於被入侵伺服器可能移作其他非法用途,因此就算找不到上述惡意程式,並不能保證伺服器未遭受感染,使用者可針對目標電腦進行隔離並監控網路流量,查看是否有特定連線向以下中繼站報到:
http://37.49.224[.]144:8189/manual_result
http://37.49.224[.]144/ptest.php
http://37.49.224[.]144/sp.php
http://37.49.224[.]144/test_servers.xml
http://37.49.224[.]144/gfileset.php
http://5.56.133[.]145
http://191.101.31[.]126/ptest.php
http://191.101.31[.]126/sp.php
http://191.101.31[.]126/test_servers.xml
http://191.101.31[.]126/gfileset.php
http://191.101.31[.]126:8189/manual_result
http://q968787.ignorelist[.]com:32973
http://q968787.mooo[.]com:32973
http://q968787.homenet[.]org:32973
http://q968787.strangled[.]net:32973
http://q96b7b7.ignorelist[.]com:32973
http://q96b7b7.mooo[.]com:32973
http://q96b7b7.homenet[.]org:32973
http://q96b7b7.strangled[.]net:32973

二.處理措施
1. 觀察資訊設備是否有異常之網路連線行為,並檢查主機是否有不明之系統服務或程式執行中。
2.建議重新安裝受害資訊設備之作業系統,重設所有帳號密碼並更新至最新的修補程式。
3.檢查相同網路內的其他電腦,評估主機/伺服器內財物或敏感資料外洩的風險,並執行系統之安全修補措施(例如重新安裝、掃描電腦及重設所有帳號密碼等)
4.檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠與連線,檢視是否有必要開啟 RDP 服務 (遠端桌面服務),若無必要即關閉。
[參考資料:]
1. https://www.facebook.com/notes/kaspersky-lab/%E5%8D%A1%E5%B7%B4%E6%96%AF...
2. https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hac...
3. https://securelist.com/files/2016/06/xDedic_marketplace_ENG.pdf
4. https://en.wikipedia.org/wiki/XDedic

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

竹苗區網管理委員會 — 第105學年度第一次會議

竹苗區網管理委員會 — 第105學年度第一次會議
日期 : 105年05月27日 星期五
時間 : 上午12:00~13:30
地點 : 資訊技術服務中心 1F訓練教室

議題 :
1. TANET學術網路骨幹升級100G專案
A .網路架構說明
B .基礎建設建置規劃
C .移轉時程及注意事項

105年度教育訓練

課程名稱: 「Routing 及 Switch 基礎技術訓練」
課程日期: 105年05月27 (星期五)上午09:00~12:00 下午15:00 ~ 16:30
課程地點: 國立交通大學 資訊技術服務中心 1F 訓練教室
講師 : CCIE 溫德鈞老師

(ANA事件單通知:TACERT-ANA-2016042909042424)(【漏洞預警】特定版本Apache Struts 2允許攻擊者遠端執行任意程式碼)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016042909042424 發佈時間 2016-04-29 09:27:30
事故類型 ANA-漏洞預警 發現時間 2016-04-26 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】特定版本Apache Struts 2允許攻擊者遠端執行任意程式碼
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201604-0047

根據美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2016-3081。[1][2]
針對Apache 的Struts 2.3.20至Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本,攻擊者可透過DefaultAction.java的invokeAction弱點,將惡意攻擊程式碼夾帶於Request中,允許攻擊者遠端執行任意程式碼。[3]
請各機關檢視所支援的Apache Struts 2版本,儘速更新至最新版本。

[影響平台:]
Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外) [4]
[建議措施:]
Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本已發現存在安全漏洞,請各機關確認網站主機是否使用Apache Struts 2 Web應用框架。若有使用受影響之版本,請將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本。[5]
(1) 檢查是否使用Apache Struts 2 Web應用框架,可透過檢查網站主機目錄中的「WEB-INF\lib\」資料夾是否存有struts相關jar檔,若存有相關jar檔再進行版本確認。
(2) 若選擇不將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本,應於struts.xml設定檔中將「struts.enable.DynamicMethodInvocation」的值設定為「false」,以停用Dynamic Method Invocation。[6]
(3) 停用Dynamic Method Invocation參考設定如下:

[參考資料:]
1. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3081
2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081
3. http://www.securitytracker.com/id/1035665
4. https://vuldb.com/?id.82790
5. http://struts.apache.org/download.cgi#struts-ga
6. https://struts.apache.org/docs/s2-032.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

(ANA事件單通知:TACERT-ANA-2016041101045757)(【攻擊預警】近期勒索軟體 Locky 活動頻繁,請提高警覺)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016041101045757 發佈時間 2016-04-11 13:27:59
事故類型 ANA-攻擊預警 發現時間 2016-04-08 00:00:00
影響等級 中
[主旨說明:]【攻擊預警】近期勒索軟體 Locky 活動頻繁,請提高警覺
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201604-0025

近期加密勒索軟體活動異常活躍。其中名稱為Locky的勒索軟體自2016年2月開始肆虐,因把受害者的電腦資料和網絡共享資源加密且將副檔名改為 .Locky而得名。
Locky使用RSA-2048與AES-128 加密機制來加密檔案資料,所以遭到加密的檔案資料幾乎無法自行復原。Locky會根據被害者電腦的語言來顯示勒索信件內容,
勒索受害者0.5至1個比特幣(一個比特幣大約等於13600元新台幣)以換取解密金鑰。

Locky的常見傳播方法是透過夾帶附件的垃圾郵件,附件多為帶有惡意巨集的WORD 或EXCEL檔案或內有惡意的.js檔案的壓縮檔。受害者會被要求開啟巨集功能,
一旦開啟,Locky便會被安裝到受害者的電腦內。另外就是透過放置惡意程式在已被入侵的網站。該網站的訪客會被重新導向到另一個攻擊網站,
該網站會利用訪客的系統或己安裝程式的漏洞,來安裝Locky到受害者電腦內。目前新加坡、馬來西亞、香港和日本都有許多受害案例傳出,
建議所有電腦使用者應提高警覺,小心防範。

[影響平台:]
N/A
[建議措施:]
1. 刪除收到的可疑電子郵件,特別是內含連結或附件的郵件。
2. 針對要求啟動巨集以觀看其內容的微軟Office 檔案,必須提高警覺,必要時請與寄件者確認其檔案是否含有巨集。
3. 定期備份電腦上的檔案及演練資料還原程序。
4. 確實持續更新電腦的作業系統、應用程式及防毒軟體等至最新版本。
5. 如不幸受到感染,請立即將受害電腦的網路連線及外接儲存裝置拔除。建議在清除惡意軟體前不要開啟任何檔案。
6. 我們不建議支付贖金,支付贖金只會助長勒索軟體更加猖獗。
[參考資料:]
1. https://www.hkcert.org/my_url/zh/blog/16031802
2. https://www.hkcert.org/my_url/zh/alert/16031701
3. http://www.symantec.com/connect/blogs/locky-ransomware-aggressive-hunt-v...
4. https://blog.avast.com/a-closer-look-at-the-locky-ransomware
5. http://blog.checkpoint.com/2016/03/02/locky-ransomware/
6. https://metrics.torproject.org/hidserv-dir-onions-seen.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

(ANA事件單通知:TACERT-ANA-2016012103010303)(【攻擊預警】駭客利用Pass-the-Ticket手法進行內部擴散攻擊,請加強網域伺服器安全防護)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016012103010303 發佈時間 2016-01-21 15:50:08
事故類型 ANA-攻擊預警 發現時間 2016-01-21 00:00:00
影響等級 高
[主旨說明:]【攻擊預警】駭客利用Pass-the-Ticket手法進行內部擴散攻擊,請加強網域伺服器安全防護
[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2016-0010

近期發現駭客在入侵機關網域伺服器(DC,Domain Controller),取得系統內處理使用者身分認證之預設帳號krbtgt所對應的密碼雜湊值後,即可任意登入網域內的所有主機,在機關內部進行擴散攻擊。

依實際案例與相關研究資料顯示,駭客首要條件需成功入侵DC,取得主機管理者權限後才能從中擷取預設帳號krbtgt的密碼雜湊值,進而施行後續Pass-the-Ticket手法,達到內部擴散的目的。

請各級政府機關加強DC防護並留意DC內具管理者權限帳號之登入使用狀況,避免密碼遭竊取後所帶來的攻擊。

[影響平台:]
Windows作業系統
[建議措施:]
1.確認DC主機之安全性
a.確認DC主機內具管理者權限帳號的登入來源與使用狀況是否存在異常
b.檢測DC狀況,確認是否存在惡意程式或其他入侵跡象

2.若DC遭入侵,則建議應採取以下應變措施
a.參考微軟提供之DC建置安全作業要點進行DC重建作業,網址如下:https://technet.microsoft.com/en-us/library/dn487446.aspx
b.重新設定DC內預設帳號krbtgt密碼兩次,重設後應重開機以確保設定啟用;依微軟建議,兩次設定間隔應在10至12小時,可參考以下兩種密碼更改方式

(1).手動更改krbtgt密碼,步驟可參考104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例分享簡報p.43~p.44,網址如下:
http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251
(2).可利用微軟提供之powershell工具重新設定krbtgt密碼,網址如下:
https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51#...

3.重新檢視DC管理維運方式
a.以本機登入操作為主,避免遠端登入進行管理
b.限縮DC內具管理者權限帳號之使用
c.定期檢視系統內管理者權限帳號之登入與使用狀況

4.此則警訊僅作通知,無需進行通報作業。如機關發現遭駭情事,請依內部資安事故處理程序處理,並至通報應變網站執行通報作業。
[參考資料:]
104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例(Pass-the-Ticket)分享
http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251

微軟技術文件
https://technet.microsoft.com/en-us/library/dn487446.aspx

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

(ANA事件單通知:TACERT-ANA-2016011809014848)(【漏洞預警】特定版本Fortigate防火牆存在SSH認證管理漏洞,請儘速確認並更新版本)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016011809014848 發佈時間 2016-01-18 09:09:54
事故類型 ANA-漏洞預警 發現時間 2016-01-14 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】特定版本Fortigate防火牆存在SSH認證管理漏洞,請儘速確認並更新版本
[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-201601-0022

Fortinet的Fortigate防火牆存在SSH的認證管理漏洞,所有搭載FortiOS 版本4.3.0至4.3.16,以及版本5.0.0至5.0.7的防火牆,攻擊者可透過SSH連線,利用特定的帳號與密碼存取相關設備。

可使用以下兩種方法查詢Fortigate版本資訊:
1.Web網頁介面
以Fortigate 111C為例,以admin身分登入系統後,點選左側Dashboard -> Status,即可檢視設備版號(如附件一),圖為FortiOS v5.0.2。
2.從CLI介面取得
以Fortigate-50B為例,進入設備CLi介面,輸入指令get sys status取得設備資訊,即可檢視設備版號(如附件二),圖為FortiOS v4.3.7。

附件下載位址:http://cert.tanet.edu.tw/download/Fortigate.rar

請檢視所支援的FortiOS 版本,若版本為「Fortios 4.3.0至4.3.16」或「Fortios 5.0.0至5.0.7」,請儘速針對存在已知弱點進行修正,並檢視防火牆SSH登入紀錄,確認無異常登入情況。

[影響平台:]
1.Fortios 4.3.0至4.3.16
2.Fortios 5.0.0至5.0.7
[建議措施:]
1.Fortios4.3.X建議更新至4.3.17以上或最新版本、Fortios5.0.X建議更新至5.0.8以上或最新版本。
2.建議關閉SSH功能,僅以Web管理介面進行調整。
3.如需要以SSH連線方式管理,建議除了更新版本外,另限制最小IP範圍能連線至設備。
[參考資料:]
1.http://www.fortiguard.com/advisory/fortios-ssh-undocumented-interactive-login-vulnerability
2.http://blog.fortinet.com/post/brief-statement-regarding-issues-found-with-fortios
3.http://news.softpedia.com/news/ssh-backdoor-identified-in-fortinet-firewalls-498816.shtml
4.http://seclists.org/fulldisclosure/2016/Jan/26
5.http://thehackernews.com/2016/01/fortinet-firewall-password-hack.html

竹苗區網教育訓練「DNS備份及更新」課程

 主旨: 竹苗區域網路中心謹訂於104年11月20日(星期五),時間13:30~16:30,舉辦「DNS備份及更新」課程。敬邀各連線單位相關負責人與會,如臨時有事無法參加者,請務必指派代理人參加並通知聯絡人,請查照。

說明:
一、 為促進竹苗區網連線單位間,資訊、經驗、技術與意見之交流分享,假國立交通大學舉辦「校園網路管理應用及安全管理趨勢」及「DNS備份及更新」課程。

 課程 : DNS備份更新
 課程日期: 104年11月20日(星期五)
 時間 : 下午 13:30~16:30
 地點 :國立交通大學資訊技術服務中心一樓 訓練教室
 講師 : 資訊技術服務中心 蘇俊憲先生

訂閱文章