【漏洞預警】NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,恐有資訊洩露或遭惡意利用之疑慮,請盡速確認並進行修正

發佈編號 TACERT-ANA-2017022309021212 發佈時間 2017-02-23 09:20:14
事故類型 ANA-漏洞預警 發現時間 2017-02-22 00:00:00
影響等級 低
[主旨說明:]【漏洞預警】NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,恐有資訊洩露或遭惡意利用之疑慮,請盡速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201702-0033

安全研究人員Victor Gevers於2016/12/27揭露針對NoSQL資料庫的勒索攻擊手法,由於NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,估計全球至少45,000個NoSQL資料庫內容遭駭客刪除並勒索。

技服中心接獲外部情資發現,部分會員之NoSQL資料庫暴露於網際網路中,恐遭駭客入侵之虞,請各會員盤點與檢視是否使用相關資料庫,加強權限控管並避免使用公開的網際網路位置,以及加強防範措施。

[影響平台:]
允許未授權外部使用者進行連線之NoSQL資料庫
[建議措施:]
1. 常見NoSQL資料庫包括Redis(6379埠口) 、CouchDB(5984埠口)、MongoDB(27017埠口)、Cassandra(9042或9160埠口)及ElasticSearch(9200埠口),請會員進行內部盤點與檢視是否使用相關NoSQL資料庫。
2. 定期備份資料庫資料
3. 資料庫建立權限控管機制,不允許非授權之使用者進行資料存取。
4. 資料庫所有帳號設定強健的密碼,非必要使用的帳號請將其刪除或停用。
5. 建議資料庫不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議資料庫前端需有防火牆防護,並採用白名單方式進行存取過濾。
6. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
7. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008 內建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。Linux平台可考慮使用 iptables 等內建防火牆。
8. 建議將資料庫更新至最新版本
[參考資料:]
1. The Ransomware Problem: Database Security in 2017 (https://www.hurricanelabs.com/blog/ransomware-problem-database-security-...)
2. MongoDB Databases Held for Ransom by Mysterious Attacker(https://www.bleepingcomputer.com/news/security/mongodb-databases-held-fo...)
3. MongoDB Manual-Security(https://docs.mongodb.com/manual/security/)
4. Elasticsearch Shield(https://www.elastic.co/products/shield)

【攻擊預警】印表機及物聯網設備未設定或使用預設密碼,並曝露於網際網路上恐有資訊外洩與遭受入侵之疑慮

發佈編號 TACERT-ANA-2017021709020808 發佈時間 2017-02-17 09:41:10
事故類型 ANA-攻擊預警 發現時間 2017-02-17 09:41:10
影響等級 中
[主旨說明:]【攻擊預警】印表機及物聯網設備未設定或使用預設密碼,並曝露於網際網路上恐有資訊外洩與遭受入侵之疑慮。
[內容說明:]
教育部接獲通報,發現部分單位印表機及物聯網設備未設定或使用預設密碼,並曝露於網際網路上,遭受駭客入侵列印恐嚇訊息或作為攻擊工具。

由於相關設備皆使用於辦公室、教學等環境,請各機關盤點與檢視相關設備,並對相關設備加強權限控管並避免使用於公開的網際網路位置,以及加強防範措施。
[影響平台:]
多款印表機及物聯網設備
[建議措施:]
1. 盤點與檢視是否印表機、校園監視器等物聯網相關設備。
2. 裝置上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。
3. 系統上非必要的服務程式亦建議移除或關閉。
4. 建議裝置設備不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議裝置設備前端需有防火牆防護,並採用白名單方式進行存取過濾。
5. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠,若為印表機服務務建議阻擋port 9100。
[參考資料:]

【攻擊預警】工業與環境控制設備無身份驗證機制或使用預設密碼,並曝露於網際網路上,恐有資訊外洩與遭受入侵之疑慮

發佈編號 TACERT-ANA-2017021601020404 發佈時間 2017-02-16 13:41:05
事故類型 ANA-攻擊預警 發現時間 2017-02-16 00:00:00
影響等級 中
[主旨說明:]【攻擊預警】工業與環境控制設備無身份驗證機制或使用預設密碼,並曝露於網際網路上,恐有資訊外洩與遭受入侵之疑慮
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201702-0021

本中心近期執行僵屍網路調查案時,發現有特定IP對工業控制與環境控制設備進行掃描,且確認部份機關所使用的環境控制設備已曝露在網際網路上,並且未設定密碼或使用預設帳號密碼等情況,可能有資訊外洩與遭受駭客入侵之疑慮。

由於相關控制設備可被使用於環境控制、工業控制及交通號誌等系統,主要作為電力、水力、溫度及消防等訊號轉換控制之使用,請各機關盤點與檢視是否使用相關設備,對該設備加強權限控管並避免使用公開的網際網路位置,以及加強防範措施。

若發現設備遭到入侵,請立即進行通報應變處置。

[影響平台:]
多款環境與工業控制設備
[建議措施:]
1. 盤點與檢視是否使用環境控制、工業控制及交通號誌等相關裝置。
2. 裝置上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
3. 建議裝置設備不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議裝置設備前端需有防火牆防護,並採用白名單方式進行存取過濾。
4. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
5. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008 內建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。Linux平台可考慮使用 iptables 等內建防火牆。
6. 建議將控制設備更新韌體至最新版本。
[參考資料:]

【漏洞預警】SwiftMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10074),請儘速確認並進行修正

發佈編號 TACERT-ANA-2017011202013333 發佈時間 2017-01-12 14:34:34
事故類型 ANA-漏洞預警 發現時間 2017-01-05 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】SwiftMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10074),請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201701-0007

SwiftMailer是一個用於發送電子郵件的PHP物件導向函式庫,強化PHP內建之mail函式功能,提供透過網站介面寄發信件用途,並且廣泛被其他專案使用,例如Yii2、Laravel及Symfony等網頁應用程式框架。

2016/12/30波蘭研究員Dawid Golunski發現5.4.5-DEV版本(含)以前的SwiftMailer,存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。原因在於SwiftMailer實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如 email address with spaces@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(\”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10074)。

[影響平台:]
SwiftMailer 5.4.5-DEV(含)前的版本。
[建議措施:]
請檢視SwiftMailer版本,步驟如下:
1.於硬碟中搜尋SwiftMailer資料夾

2.檢視SwiftMailer根目錄下之VERSION檔案(選用記事本開啟即可)
如所使用之SwiftMailer為5.4.5-DEV(含)前的版本,請儘速至官方網頁(https://github.com/swiftmailer/swiftmailer)下載並安裝最新版本之SwiftMailer。

[參考資料:]
1. https://legalhackers.com/advisories/SwiftMailer-Exploit-Remote-Code-Exec...
2. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10074
3. https://github.com/swiftmailer/swiftmailer
4. http://symfony.com/doc/current/email.html
5. https://github.com/yiisoft/yii2-swiftmailer
6. https://laravel.com/docs/5.1/mail

【漏洞預警】Zend-Mail存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10034),請儘速確認並進行修正

發佈編號 TACERT-ANA-2017011202013636 發佈時間 2017-01-12 14:41:37
事故類型 ANA-漏洞預警 發現時間 2017-01-05 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Zend-Mail存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10034),請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201701-0036

Zend Framework是一個使用PHP 的物件導向且開源的WEB應用程式與服務開發框架,其中Zend-Mail為Zend Framework之電子郵件元件。

2016/12/30波蘭研究員Dawid Golunski發現2.4.11版本以前與2.5.0~2.7.1版本的Zend-Mail 及2.4.11版本以前的Zend Framework存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。原因在於Zend-Mail實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如 email address with spaces@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(\”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10034)。

[影響平台:]
1.Zend Framework 2.4.11前的版本
2.Zend-Mail 2.4.11前的版本與2.5.0~2.7.1的版本
[建議措施:]
請檢視Zend Framework與Zend-Mail版本,步驟如下:
1.於硬碟中搜尋ZendFramework和Zend-Mail資料夾

2.檢視ZendFramework和Zend-Mail根目錄下之CHANGELOG.md檔案(選用記事本開啟即可)
如所使用之Zend Framework或Zend-Mail為受影響之版本,請儘速至官方網頁(https://framework.zend.com/downloads/archives、https://github.com/zendframework/zendframework)下載並安裝最新版本之Zend Framework或Zend-Mail。

[參考資料:]
1. https://github.com/zendframework/zendframework
2. https://framework.zend.com/downloads/archives
3. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10034
4. https://legalhackers.com/advisories/ZendFramework-Exploit-ZendMail-Remot...

【漏洞預警】PHPMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10033與CVE-2016-10045),請儘速確認並進行修正

發佈編號 TACERT-ANA-2017010402012121 發佈時間 2017-01-04 14:12:23
事故類型 ANA-漏洞預警 發現時間 2016-12-28 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】PHPMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10033與CVE-2016-10045),請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201612-0018

PHPMailer是一個用於發送電子郵件的PHP函式庫,強化PHP內建之mail函式功能,提供透過網站介面寄發信件用途,並且廣泛被其他開放源專案使用,例如WordPress、Drupal與Joomla等。

2016/12/16波蘭研究員Dawid Golunski發現5.2.18版本以前的PHPMailer,存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。原因在於PHPMailer實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如 email address with spaces@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(\”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10033)。

針對CVE-2016-10033漏洞,雖然PHPMailer官方網站已於12/24釋出5.2.18更新版本,但因更新內容不夠完善,攻擊者仍可透過再增加單引號(‘)方式繞過其更新之過濾防護機制(弱點編號為CVE-2016-10045漏洞)。因此請儘速將PHPMailer更新至5.2.20(12/28釋出)以上版本。

[影響平台:]
PHPMailer 5.2.19(含)前的版本。
[建議措施:]
請檢視PHPMailer版本,方式如下:
1. 檢視PHPMailer根目錄下之VERSION檔案

2. 透過搜尋class.phpmailer.php檔案,並檢視PUBLIC VERSION資訊
如所使用之PHPMailer為5.2.20前的版本,請儘速至官方網頁(https://github.com/PHPMailer/PHPMailer)下載並安裝最新版本之PHPMailer。

[參考資料:]
1. https://github.com/PHPMailer/PHPMailer/wiki/About-the-CVE-2016-10033-and...

2. https://www.wordfence.com/blog/2016/12/phpmailer-vulnerability/

3. http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CV...

4. https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-C...

5. https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md

(ANA事件單通知:TACERT-ANA-2016111011114141)(【攻擊預警】多款物聯網裝置存在感染「Mirai」惡意程式的風險,允許攻擊者遠端獲取裝置控制權限,進而組成殭屍網路大軍或造成機敏資訊外洩)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016111011114141 發佈時間 2016-11-10 11:18:42
事故類型 ANA-攻擊預警 發現時間 2016-10-21 00:00:00
影響等級 中
[主旨說明:]【攻擊預警】多款物聯網裝置存在感染「Mirai」惡意程式的風險,允許攻擊者遠端獲取裝置控制權限,進而組成殭屍網路大軍或造成機敏資訊外洩
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201611-0015

物聯網(Internet of Thing,簡稱IoT)是指具網路連結與計算能力的物件、感測器或嵌入式裝置(例如網路攝影機、網路印表機或智慧家電等),可透過網路與其它裝置溝通,並自動化的傳送與接收資料。

今年9月30日,一隻名為「Mirai」的惡意程式其原始碼被公開釋出在網路上,現今已有多種變形的版本(例如名為「Hajime」的惡意程式),目前已知該惡意程式是鎖定在嵌入式裝置,或以Linux為架構的物聯網裝置進行攻擊。而近期發現該惡意程式已被利用在針對多款網路攝/錄影裝置的Telnet服務埠(Port 23或2323)進行預設密碼攻擊,當攻擊者成功取得這些裝置權限後,則可利用裝置組成殭屍網路大軍或造成機敏資訊外洩。

目前已確認受影響的產品是由中國與台灣廠商所生產之網路攝/錄影裝置,其中,部分中國廠商所生產的裝置會在韌體中預設寫入固定的帳號密碼,且使用者無法自行變更。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
多款物聯網裝置
[建議措施:]
可自行檢視或聯絡設備維護廠商,確認是否採用已知受影響廠商所生產之裝置,並持續注意相關訊息,以及可參考下列建議措施降低IoT裝置風險:
1. 關閉或監控IoT裝置的Telnet服務埠(Port 23或2323)。
2. 修改IoT裝置預設密碼,變更為符合複雜度要求之密碼。
3. 購買具口碑與信譽良好之廠商所生產的IoT裝置。
4. 隨時留意IoT裝置是否有安全性更新檔。
5. 避免IoT裝置運行在不用密碼或密碼強度不足的公開無線網路中。
[參考資料:]
1. https://www.us-cert.gov/ncas/alerts/TA16-288A
2. http://www.hackread.com/iot-devices-with-mirai-ddos-malware/
3. http://blog.level3.com/security/grinch-stole-iot/
4. https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-rel...
5. https://security.rapiditynetworks.com/publications/2016-10-16/hajime.pdf
6. http://www.ithome.com.tw/news/109163
7. http://www.ithome.com.tw/news/108954
8. http://www.internetsociety.org/sites/default/files/ISOC-IoT-Overview-201...

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

教育部資安通報平台—資安事件鑑識分析與應用

課程 : 教育部資安通報平台—資安事件鑑識分析與應用
課程日期: 105年11月04日(星期五)
時間 : 上午 09:00~12:00 下午13:00~16:00
地點 :國立交通大學資訊技術服務中心一樓 PC2
講師 : TACERT(臺灣學術網路危機處理中心) 張明達老師

竹苗區網教育訓練--DNS進階管理與除錯

安裝named
goo.gl/598mL2

master named.conf
goo.gl/p9znl7

slave named.conf
goo.gl/7MMh8s

master zone config 正解
goo.gl/LDsSGz

master zone config 反解
goo.gl/kCOaGW

課程錄影檔 :
goo.gl/tL0v7h

(ANA事件單通知:TACERT-ANA-2016100301103535)(【漏洞預警】Cisco IOS系列軟體與PIX防火牆存在零時差漏洞(CVE-2016-6415),允許攻擊者遠端獲取記憶體內容,導致機敏資訊外洩)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016100301103535 發佈時間 2016-10-03 13:42:36
事故類型 ANA-漏洞預警 發現時間 2016-09-24 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Cisco IOS系列軟體與PIX防火牆存在零時差漏洞(CVE-2016-6415),允許攻擊者遠端獲取記憶體內容,導致機敏資訊外洩
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201609-0021

美國思科(Cisco)公司今年8月得知國際名為影子掮客(The Shadow Brokers)駭客團體所釋出的網路攻擊工具後,開始調查相關攻擊工具所利用的安全漏洞,於2016年9月16日公布發現一個波及Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體及Cisco PIX防火牆的零時差漏洞(CVE-2016-6415)。

該漏洞主要是因為Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體及Cisco PIX防火牆中,負責處理網路密鑰交換(Internet Key Exchange version 1,IKEv1)協商請求(Negotiation Requests)的程式碼未能充分的進行條件檢查,因此當遠端攻擊者發送一個惡意的IEKv1封包到可接受IEKv1協商請求的裝置上,便能獲取記憶體內容,進而導致裝置上的機敏資訊外洩。

[影響平台:]
1.Cisco PIX Firewall:
-5.2(9)至6.3(4)(含)版

2.Cisco IOS:
-12.2至12.4(含)版
-15.0至15.6(含)版

3.Cisco IOS XE:
-3.1S版
-3.2S版
-3.3S版、3.3SG版、3.3XO版
-3.4S版、3.4SG版
-3.5E版、3.5S版
-3.6E版、3.6S版
-3.7E版、3.7S版
-3.8E版、3.8S版
-3.9E版、3.9S版
-3.12S至3.18S(含)版
-16.1至16.3(含)版

4.Cisco IOS XR:
-所有4.3.x(含)版
-所有5.0.x(含)版
-所有5.1.x(含)版
-所有5.2.x(含)版
[建議措施:]
請聯絡設備維護廠商或利用「show version」指令確認當前使用的軟體版本,若版本為受影響之Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體版本,則請參考以下建議資訊:
1.目前因Cisco官方尚未針對Cisco IOS、Cisco IOS XE、Cisco IOS XR釋出修復版本,所以仍請密切注意Cisco官方網頁(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/ci...)之更新訊息。

2.使用Cisco官方網頁(https://toolscisco.com/security/center/viewIpsSignature.x?signatureId=76...)所提供的入侵防禦系統(IPS)特徵檔7699-0,或Sourcefire官方網頁(https://support.sourcefire.com/supplemental/sf-rules-2016-09-16-seu.html)所提供的Snort入侵規則檔SID 40220(1)、SID 40221(1)、SID 40222(1),以協助偵測與阻止嘗試利用此漏洞之攻擊。

其它事項:
Cisco PIX Firewalls設備,因產品過舊,目前已無相關的修復程式。
[參考資料:]
1.http://www.ithome.com.tw/news/108639
2.http://www.securityfocus.com/bid/93003
3.http://thehackernews.com/2016/09/cisco-nsa-exploit.html
4.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6415
5.https://tools.cisco.com/security/center/selectIOSVersion.x
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

訂閱文章