【漏洞預警】[更新建議措施 1]微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠端執行任意程式碼

發佈編號 TACERT-ANA-2017041809043434 發佈時間 2017-04-18 09:05:33
事故類型 INT-系統被入侵 發現時間 2017-04-10 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】[更新建議措施 1]微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠端執行任意程式碼
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0026

OLE(Object Linking and Embedding,物件連結與嵌入)原用於允許應用程式共享資料或功能,如Word可直接嵌入Excel資料,且可利用Excel功能進行編輯。

該漏洞主要是Office Word的物件連結與嵌入存在零時差漏洞,攻擊者可藉由電子郵件散佈並誘騙使用者下載特製的Word或RTF格式檔案,當使用者開啟該檔案時,可能導致攻擊者可透過該弱點遠端執行程式碼,甚至取得受影響系統的完整控制權。

[影響平台:]
所有版本的Office Word
[建議措施:]
1.微軟官方已針對此弱點釋出修復程式,請至微軟官方網頁(https://support.microsoft.com/en-us/help/3141529/description-of-the-secu...)進行更新。

2.保持良好的使用習慣,不要隨意點擊不受信任的電子郵件與附件檔案。

3.啟用Office Word的Protected View機制(檔案->選項->信任中心->信任中心設定->受保護的檢視,確認每一個選項均已勾選)。
[參考資料:]
1. http://thehackernews.com/2017/04/microsoft-word-zero-day.html
2. https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7...
3. https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day...
4. https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa...
5. https://www.cybersecurity-help.cz/vdb/SB2017040901
6. http://www.ithome.com.tw/news/113340

【漏洞預警】微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠端執行任意程式碼

發佈編號 TACERT-ANA-2017041101045353 發佈時間 2017-04-11 13:49:56
事故類型 ANA-漏洞預警 發現時間 2017-04-10 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠端執行任意程式碼
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201704-0017

OLE(Object Linking and Embedding,物件連結與嵌入)原用於允許應用程式共享資料或功能,如Word可直接嵌入Excel資料,且可利用Excel功能進行編輯。

該漏洞主要是Office Word的物件連結與嵌入存在零時差漏洞,攻擊者可藉由電子郵件散佈並誘騙使用者下載特製的Word或RTF格式檔案,當使用者開啟該檔案時,可能導致攻擊者可透過該弱點遠端執行程式碼,甚至取得受影響系統的完整控制權。

[影響平台:]
所有版本的Office Word
[建議措施:]
1.目前因微軟官方尚未針對此弱點釋出修復程式,所以仍請密切注意微軟官方網頁(https://technet.microsoft.com/en-us/security/bulletins.aspx)之更新訊息。

2.保持良好的使用習慣,不要隨意點擊不受信任的電子郵件與附件檔案。

3.啟用Office Word的Protected View機制(檔案->選項->信任中心->信任中心設定->受保護的檢視,確認每一個選項均已勾選)。
[參考資料:]
1. http://thehackernews.com/2017/04/microsoft-word-zero-day.html
2. https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7...
3. https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day...
4. https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa...
5. https://www.cybersecurity-help.cz/vdb/SB2017040901
6. http://www.ithome.com.tw/news/113340

【漏洞預警】特定版本Microsoft IIS的WebDAV服務存在緩衝區溢位弱點(CVE-2017-7269),允許攻擊者遠端執行任意程式碼或造成阻斷服務

發佈編號 TACERT-ANA-2017040608045959 發佈時間 2017-04-06 08:09:00
事故類型 ANA-漏洞預警 發現時間 2017-03-31 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】特定版本Microsoft IIS的WebDAV服務存在緩衝區溢位弱點(CVE-2017-7269),允許攻擊者遠端執行任意程式碼或造成阻斷服務
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0093

WebDAV(Web-Based Distributed Authoring and Versioning)是一種可與遠端主機進行檔案或資料交換的標準,擁有權限的使用者可透過網路存取遠端目標網站的WebDAV資料夾內的檔案。

該漏洞主要是Microsoft IIS(Internet Information Services)6.0的WebDAV服務中,httpext.dll動態連結函式庫之ScStorageFromUrl函式存在緩衝區溢位漏洞,讓遠端攻擊者可透過發送特製的的PROPFIND請求封包,導致可執行任意程式碼或造成阻斷服務。

[影響平台:]
Microsoft Windows Server 2003的IIS 6.0
[建議措施:]
1. 請確認是否使用Microsoft Windows Server 2003的IIS 6.0,並啟用WebDAV服務(可至Application Server->Internet Information Services->World Wide Web Service->WebDAV Publishing檢視是否有勾選啟用,預設是未啟用該服務)。
2. 如仍須使用WebDAV服務,建議將作業系統與IIS升級至最新的版本。
3. 其餘未在上述受影響之作業系統的IIS 6.0,仍請密切注意微軟官方(https://technet.microsoft.com/en-us/security/bulletins.aspx)是否有後續消息。

[參考資料:]
1. https://nvd.nist.gov/vuln/detail/CVE-2017-7269
2. http://www.ithome.com.tw/news/113166
3. https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/...

【漏洞預警】Cisco IOS與IOS XE軟體中的叢集管理協定存在零時差漏洞(CVE-2017-3881),導致攻擊者可遠端執行任意程式碼,進而取得設備控制權或重新啟動,請儘速確認並採取建議措施

發佈編號 TACERT-ANA-2017032701035959 發佈時間 2017-03-27 13:18:59
事故類型 ANA-漏洞預警 發現時間 2017-03-21 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Cisco IOS與IOS XE軟體中的叢集管理協定存在零時差漏洞(CVE-2017-3881),導致攻擊者可遠端執行任意程式碼,進而取得設備控制權或重新啟動,請儘速確認並採取建議措施
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0051

美國思科(Cisco)公司於今年3月得知國際名為維基解密(WikiLeaks)組織所釋出的Vault 7文件後,開始調查相關產品是否有受影響,並於3月17日公布發現一個波及318款網路交換機產品之零時差漏洞(CVE-2017-3881)。

該漏洞主要是Cisco IOS與IOS XE網路軟體的叢集管理協定(Cluster Management Protocol,CMP)未能有效限制可接受之Telnet連線來源,以及未能正確處理改造的Telnet指令,導致攻擊者可遠端執行任意程式碼,進而取得設備控制權限,或執行reload指令重新啟動設備。

[建議措施:]
請各單位可聯絡設備維護廠商確認是否使用受影響之產品,則請參考以下建議資訊:
1.目前因Cisco官方尚未針對Cisco IOS與IOS XE釋出修復版本,所以仍請密切注意Cisco官方網頁(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/ci...)之更新訊息。

2.停用Telnet連線機制,改採SSH連線機制,以降低風險。
[參考資料:]
1. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3881
2. http://thehackernews.com/2017/03/cisco-network-switch-exploit.html
3. http://www.tomshardware.com/news/cisco-finds-vulnerability-wikileaks-doc...
4. http://www.ithome.com.tw/news/112890

【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641),允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正

發佈編號 TACERT-ANA-2017032701030000 發佈時間 2017-03-27 13:37:01
事故類型 ANA-漏洞預警 發現時間 2017-03-21 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641),允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0083

Moodle(Modular Object-Oriented Dynamic Learning Environment,模組化物件導向動態學習環境)是一款開放原始碼的學習與課程管理系統,由澳洲Martin Dougiamas採用PHP語言所設計開發的Web-Based應用系統,透過瀏覽器就可以輕鬆管理使用者、建構課程及豐富教學活動,應用在課程教學活動、員工教育訓練及學生遠距教學等。

該漏洞主要是Moodle程式碼內grade_item類別中的update方法(method)存在物件注入(Object Injection)弱點,導致攻擊者可藉由該弱點執行SQL注入獲取系統管理者權限,造成攻擊者可遠端執行任意程式碼,進而可能導致機敏資訊外洩等風險。

[影響平台:]
Moodle 3.2至3.2.1(含)版本
Moodle 3.1至3.1.4(含)版本
Moodle 3.0至3.0.8(含)版本
Moodle 2.7.0至2.7.18(含)版本
其他已不支援版本
[建議措施:]
檢視Moodle版本,方法有以下兩種:
1. 檢視Moodle根目錄下之version.php檔
2. 若為Moodle管理者可直接在設定Setting->Site administration->Notifications中檢視Moodle版本
如所使用的Moodle版本為上述(3.2至3.2.1、3.1至3.1.4、3.0至3.0.8、2.7.0至2.7.18或已不支援)受影響之版本,請更新官方網頁所釋出最新之Moodle 3.2.2、3.1.5、3.0.9或2.7.19版本。
[參考資料:]
1. http://netanelrub.in/2017/03/20/moodle-remote-code-execution/
2. https://download.moodle.org/
3. https://download.moodle.org/releases/legacy/

【漏洞預警】特定版本Apache Struts 2存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-5638),請儘速確認並進行修正

發佈編號 TACERT-ANA-2017030801033939 發佈時間 2017-03-08 13:42:40
事故類型 ANA-漏洞預警 發現時間 2017-03-07 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】特定版本Apache Struts 2存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-5638),請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0008

Apache Struts 2是一個開放原始碼的Java EE網站應用程式的Web應用框架。 該漏洞主要是Apache Struts 2負責處理檔案上傳封包的Jakarta解析程式(parser)存在安全性漏洞,遠端攻擊者可利用漏洞寄送含有惡意Content-Type值的封包,造成攻擊者可遠端執行任意程式碼,進而可能導致機敏資訊外洩等風險。

[影響平台:]
Apache Struts 2
-2.3.5至2.3.31
-2.5至2.5.10
[建議措施:]
1.請各機關應確認網站主機是否使用Apache Struts 2的網頁應用框架,可透過檢查網站主機目錄中「WEB-INF\lib\」資料夾內的Struts2.jar檔,確認當前使用的版本。

2.如所使用的Apache Struts 2為上述(2.3.5至2.3.31或2.5至2.5.10)受影響之版本,則請更新官方Github所釋出最新之Apache Struts 2.3.32或Struts 2.5.10.1的版本。
[參考資料:]
1. https://cwiki.apache.org/confluence/display/WW/S2-045
2. https://github.com/apache/struts/releases

【漏洞預警】NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,恐有資訊洩露或遭惡意利用之疑慮,請盡速確認並進行修正

發佈編號 TACERT-ANA-2017022309021212 發佈時間 2017-02-23 09:20:14
事故類型 ANA-漏洞預警 發現時間 2017-02-22 00:00:00
影響等級 低
[主旨說明:]【漏洞預警】NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,恐有資訊洩露或遭惡意利用之疑慮,請盡速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201702-0033

安全研究人員Victor Gevers於2016/12/27揭露針對NoSQL資料庫的勒索攻擊手法,由於NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,估計全球至少45,000個NoSQL資料庫內容遭駭客刪除並勒索。

技服中心接獲外部情資發現,部分會員之NoSQL資料庫暴露於網際網路中,恐遭駭客入侵之虞,請各會員盤點與檢視是否使用相關資料庫,加強權限控管並避免使用公開的網際網路位置,以及加強防範措施。

[影響平台:]
允許未授權外部使用者進行連線之NoSQL資料庫
[建議措施:]
1. 常見NoSQL資料庫包括Redis(6379埠口) 、CouchDB(5984埠口)、MongoDB(27017埠口)、Cassandra(9042或9160埠口)及ElasticSearch(9200埠口),請會員進行內部盤點與檢視是否使用相關NoSQL資料庫。
2. 定期備份資料庫資料
3. 資料庫建立權限控管機制,不允許非授權之使用者進行資料存取。
4. 資料庫所有帳號設定強健的密碼,非必要使用的帳號請將其刪除或停用。
5. 建議資料庫不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議資料庫前端需有防火牆防護,並採用白名單方式進行存取過濾。
6. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
7. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008 內建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。Linux平台可考慮使用 iptables 等內建防火牆。
8. 建議將資料庫更新至最新版本
[參考資料:]
1. The Ransomware Problem: Database Security in 2017 (https://www.hurricanelabs.com/blog/ransomware-problem-database-security-...)
2. MongoDB Databases Held for Ransom by Mysterious Attacker(https://www.bleepingcomputer.com/news/security/mongodb-databases-held-fo...)
3. MongoDB Manual-Security(https://docs.mongodb.com/manual/security/)
4. Elasticsearch Shield(https://www.elastic.co/products/shield)

【攻擊預警】印表機及物聯網設備未設定或使用預設密碼,並曝露於網際網路上恐有資訊外洩與遭受入侵之疑慮

發佈編號 TACERT-ANA-2017021709020808 發佈時間 2017-02-17 09:41:10
事故類型 ANA-攻擊預警 發現時間 2017-02-17 09:41:10
影響等級 中
[主旨說明:]【攻擊預警】印表機及物聯網設備未設定或使用預設密碼,並曝露於網際網路上恐有資訊外洩與遭受入侵之疑慮。
[內容說明:]
教育部接獲通報,發現部分單位印表機及物聯網設備未設定或使用預設密碼,並曝露於網際網路上,遭受駭客入侵列印恐嚇訊息或作為攻擊工具。

由於相關設備皆使用於辦公室、教學等環境,請各機關盤點與檢視相關設備,並對相關設備加強權限控管並避免使用於公開的網際網路位置,以及加強防範措施。
[影響平台:]
多款印表機及物聯網設備
[建議措施:]
1. 盤點與檢視是否印表機、校園監視器等物聯網相關設備。
2. 裝置上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。
3. 系統上非必要的服務程式亦建議移除或關閉。
4. 建議裝置設備不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議裝置設備前端需有防火牆防護,並採用白名單方式進行存取過濾。
5. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠,若為印表機服務務建議阻擋port 9100。
[參考資料:]

【攻擊預警】工業與環境控制設備無身份驗證機制或使用預設密碼,並曝露於網際網路上,恐有資訊外洩與遭受入侵之疑慮

發佈編號 TACERT-ANA-2017021601020404 發佈時間 2017-02-16 13:41:05
事故類型 ANA-攻擊預警 發現時間 2017-02-16 00:00:00
影響等級 中
[主旨說明:]【攻擊預警】工業與環境控制設備無身份驗證機制或使用預設密碼,並曝露於網際網路上,恐有資訊外洩與遭受入侵之疑慮
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201702-0021

本中心近期執行僵屍網路調查案時,發現有特定IP對工業控制與環境控制設備進行掃描,且確認部份機關所使用的環境控制設備已曝露在網際網路上,並且未設定密碼或使用預設帳號密碼等情況,可能有資訊外洩與遭受駭客入侵之疑慮。

由於相關控制設備可被使用於環境控制、工業控制及交通號誌等系統,主要作為電力、水力、溫度及消防等訊號轉換控制之使用,請各機關盤點與檢視是否使用相關設備,對該設備加強權限控管並避免使用公開的網際網路位置,以及加強防範措施。

若發現設備遭到入侵,請立即進行通報應變處置。

[影響平台:]
多款環境與工業控制設備
[建議措施:]
1. 盤點與檢視是否使用環境控制、工業控制及交通號誌等相關裝置。
2. 裝置上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
3. 建議裝置設備不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議裝置設備前端需有防火牆防護,並採用白名單方式進行存取過濾。
4. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
5. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008 內建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。Linux平台可考慮使用 iptables 等內建防火牆。
6. 建議將控制設備更新韌體至最新版本。
[參考資料:]

【漏洞預警】SwiftMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10074),請儘速確認並進行修正

發佈編號 TACERT-ANA-2017011202013333 發佈時間 2017-01-12 14:34:34
事故類型 ANA-漏洞預警 發現時間 2017-01-05 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】SwiftMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10074),請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201701-0007

SwiftMailer是一個用於發送電子郵件的PHP物件導向函式庫,強化PHP內建之mail函式功能,提供透過網站介面寄發信件用途,並且廣泛被其他專案使用,例如Yii2、Laravel及Symfony等網頁應用程式框架。

2016/12/30波蘭研究員Dawid Golunski發現5.4.5-DEV版本(含)以前的SwiftMailer,存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。原因在於SwiftMailer實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如 email address with spaces@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(\”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10074)。

[影響平台:]
SwiftMailer 5.4.5-DEV(含)前的版本。
[建議措施:]
請檢視SwiftMailer版本,步驟如下:
1.於硬碟中搜尋SwiftMailer資料夾

2.檢視SwiftMailer根目錄下之VERSION檔案(選用記事本開啟即可)
如所使用之SwiftMailer為5.4.5-DEV(含)前的版本,請儘速至官方網頁(https://github.com/swiftmailer/swiftmailer)下載並安裝最新版本之SwiftMailer。

[參考資料:]
1. https://legalhackers.com/advisories/SwiftMailer-Exploit-Remote-Code-Exec...
2. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10074
3. https://github.com/swiftmailer/swiftmailer
4. http://symfony.com/doc/current/email.html
5. https://github.com/yiisoft/yii2-swiftmailer
6. https://laravel.com/docs/5.1/mail

訂閱文章