【漏洞預警】Zend-Mail存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10034),請儘速確認並進行修正

發佈編號 TACERT-ANA-2017011202013636 發佈時間 2017-01-12 14:41:37
事故類型 ANA-漏洞預警 發現時間 2017-01-05 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Zend-Mail存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10034),請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201701-0036

Zend Framework是一個使用PHP 的物件導向且開源的WEB應用程式與服務開發框架,其中Zend-Mail為Zend Framework之電子郵件元件。

2016/12/30波蘭研究員Dawid Golunski發現2.4.11版本以前與2.5.0~2.7.1版本的Zend-Mail 及2.4.11版本以前的Zend Framework存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。原因在於Zend-Mail實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如 email address with spaces@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(\”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10034)。

[影響平台:]
1.Zend Framework 2.4.11前的版本
2.Zend-Mail 2.4.11前的版本與2.5.0~2.7.1的版本
[建議措施:]
請檢視Zend Framework與Zend-Mail版本,步驟如下:
1.於硬碟中搜尋ZendFramework和Zend-Mail資料夾

2.檢視ZendFramework和Zend-Mail根目錄下之CHANGELOG.md檔案(選用記事本開啟即可)
如所使用之Zend Framework或Zend-Mail為受影響之版本,請儘速至官方網頁(https://framework.zend.com/downloads/archives、https://github.com/zendframework/zendframework)下載並安裝最新版本之Zend Framework或Zend-Mail。

[參考資料:]
1. https://github.com/zendframework/zendframework
2. https://framework.zend.com/downloads/archives
3. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10034
4. https://legalhackers.com/advisories/ZendFramework-Exploit-ZendMail-Remot...

【漏洞預警】PHPMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10033與CVE-2016-10045),請儘速確認並進行修正

發佈編號 TACERT-ANA-2017010402012121 發佈時間 2017-01-04 14:12:23
事故類型 ANA-漏洞預警 發現時間 2016-12-28 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】PHPMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10033與CVE-2016-10045),請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201612-0018

PHPMailer是一個用於發送電子郵件的PHP函式庫,強化PHP內建之mail函式功能,提供透過網站介面寄發信件用途,並且廣泛被其他開放源專案使用,例如WordPress、Drupal與Joomla等。

2016/12/16波蘭研究員Dawid Golunski發現5.2.18版本以前的PHPMailer,存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。原因在於PHPMailer實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如 email address with spaces@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(\”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10033)。

針對CVE-2016-10033漏洞,雖然PHPMailer官方網站已於12/24釋出5.2.18更新版本,但因更新內容不夠完善,攻擊者仍可透過再增加單引號(‘)方式繞過其更新之過濾防護機制(弱點編號為CVE-2016-10045漏洞)。因此請儘速將PHPMailer更新至5.2.20(12/28釋出)以上版本。

[影響平台:]
PHPMailer 5.2.19(含)前的版本。
[建議措施:]
請檢視PHPMailer版本,方式如下:
1. 檢視PHPMailer根目錄下之VERSION檔案

2. 透過搜尋class.phpmailer.php檔案,並檢視PUBLIC VERSION資訊
如所使用之PHPMailer為5.2.20前的版本,請儘速至官方網頁(https://github.com/PHPMailer/PHPMailer)下載並安裝最新版本之PHPMailer。

[參考資料:]
1. https://github.com/PHPMailer/PHPMailer/wiki/About-the-CVE-2016-10033-and...

2. https://www.wordfence.com/blog/2016/12/phpmailer-vulnerability/

3. http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CV...

4. https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-C...

5. https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md

(ANA事件單通知:TACERT-ANA-2016111011114141)(【攻擊預警】多款物聯網裝置存在感染「Mirai」惡意程式的風險,允許攻擊者遠端獲取裝置控制權限,進而組成殭屍網路大軍或造成機敏資訊外洩)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016111011114141 發佈時間 2016-11-10 11:18:42
事故類型 ANA-攻擊預警 發現時間 2016-10-21 00:00:00
影響等級 中
[主旨說明:]【攻擊預警】多款物聯網裝置存在感染「Mirai」惡意程式的風險,允許攻擊者遠端獲取裝置控制權限,進而組成殭屍網路大軍或造成機敏資訊外洩
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201611-0015

物聯網(Internet of Thing,簡稱IoT)是指具網路連結與計算能力的物件、感測器或嵌入式裝置(例如網路攝影機、網路印表機或智慧家電等),可透過網路與其它裝置溝通,並自動化的傳送與接收資料。

今年9月30日,一隻名為「Mirai」的惡意程式其原始碼被公開釋出在網路上,現今已有多種變形的版本(例如名為「Hajime」的惡意程式),目前已知該惡意程式是鎖定在嵌入式裝置,或以Linux為架構的物聯網裝置進行攻擊。而近期發現該惡意程式已被利用在針對多款網路攝/錄影裝置的Telnet服務埠(Port 23或2323)進行預設密碼攻擊,當攻擊者成功取得這些裝置權限後,則可利用裝置組成殭屍網路大軍或造成機敏資訊外洩。

目前已確認受影響的產品是由中國與台灣廠商所生產之網路攝/錄影裝置,其中,部分中國廠商所生產的裝置會在韌體中預設寫入固定的帳號密碼,且使用者無法自行變更。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
多款物聯網裝置
[建議措施:]
可自行檢視或聯絡設備維護廠商,確認是否採用已知受影響廠商所生產之裝置,並持續注意相關訊息,以及可參考下列建議措施降低IoT裝置風險:
1. 關閉或監控IoT裝置的Telnet服務埠(Port 23或2323)。
2. 修改IoT裝置預設密碼,變更為符合複雜度要求之密碼。
3. 購買具口碑與信譽良好之廠商所生產的IoT裝置。
4. 隨時留意IoT裝置是否有安全性更新檔。
5. 避免IoT裝置運行在不用密碼或密碼強度不足的公開無線網路中。
[參考資料:]
1. https://www.us-cert.gov/ncas/alerts/TA16-288A
2. http://www.hackread.com/iot-devices-with-mirai-ddos-malware/
3. http://blog.level3.com/security/grinch-stole-iot/
4. https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-rel...
5. https://security.rapiditynetworks.com/publications/2016-10-16/hajime.pdf
6. http://www.ithome.com.tw/news/109163
7. http://www.ithome.com.tw/news/108954
8. http://www.internetsociety.org/sites/default/files/ISOC-IoT-Overview-201...

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

教育部資安通報平台—資安事件鑑識分析與應用

課程 : 教育部資安通報平台—資安事件鑑識分析與應用
課程日期: 105年11月04日(星期五)
時間 : 上午 09:00~12:00 下午13:00~16:00
地點 :國立交通大學資訊技術服務中心一樓 PC2
講師 : TACERT(臺灣學術網路危機處理中心) 張明達老師

竹苗區網教育訓練--DNS進階管理與除錯

安裝named
goo.gl/598mL2

master named.conf
goo.gl/p9znl7

slave named.conf
goo.gl/7MMh8s

master zone config 正解
goo.gl/LDsSGz

master zone config 反解
goo.gl/kCOaGW

課程錄影檔 :
goo.gl/tL0v7h

(ANA事件單通知:TACERT-ANA-2016100301103535)(【漏洞預警】Cisco IOS系列軟體與PIX防火牆存在零時差漏洞(CVE-2016-6415),允許攻擊者遠端獲取記憶體內容,導致機敏資訊外洩)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016100301103535 發佈時間 2016-10-03 13:42:36
事故類型 ANA-漏洞預警 發現時間 2016-09-24 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Cisco IOS系列軟體與PIX防火牆存在零時差漏洞(CVE-2016-6415),允許攻擊者遠端獲取記憶體內容,導致機敏資訊外洩
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201609-0021

美國思科(Cisco)公司今年8月得知國際名為影子掮客(The Shadow Brokers)駭客團體所釋出的網路攻擊工具後,開始調查相關攻擊工具所利用的安全漏洞,於2016年9月16日公布發現一個波及Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體及Cisco PIX防火牆的零時差漏洞(CVE-2016-6415)。

該漏洞主要是因為Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體及Cisco PIX防火牆中,負責處理網路密鑰交換(Internet Key Exchange version 1,IKEv1)協商請求(Negotiation Requests)的程式碼未能充分的進行條件檢查,因此當遠端攻擊者發送一個惡意的IEKv1封包到可接受IEKv1協商請求的裝置上,便能獲取記憶體內容,進而導致裝置上的機敏資訊外洩。

[影響平台:]
1.Cisco PIX Firewall:
-5.2(9)至6.3(4)(含)版

2.Cisco IOS:
-12.2至12.4(含)版
-15.0至15.6(含)版

3.Cisco IOS XE:
-3.1S版
-3.2S版
-3.3S版、3.3SG版、3.3XO版
-3.4S版、3.4SG版
-3.5E版、3.5S版
-3.6E版、3.6S版
-3.7E版、3.7S版
-3.8E版、3.8S版
-3.9E版、3.9S版
-3.12S至3.18S(含)版
-16.1至16.3(含)版

4.Cisco IOS XR:
-所有4.3.x(含)版
-所有5.0.x(含)版
-所有5.1.x(含)版
-所有5.2.x(含)版
[建議措施:]
請聯絡設備維護廠商或利用「show version」指令確認當前使用的軟體版本,若版本為受影響之Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體版本,則請參考以下建議資訊:
1.目前因Cisco官方尚未針對Cisco IOS、Cisco IOS XE、Cisco IOS XR釋出修復版本,所以仍請密切注意Cisco官方網頁(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/ci...)之更新訊息。

2.使用Cisco官方網頁(https://toolscisco.com/security/center/viewIpsSignature.x?signatureId=76...)所提供的入侵防禦系統(IPS)特徵檔7699-0,或Sourcefire官方網頁(https://support.sourcefire.com/supplemental/sf-rules-2016-09-16-seu.html)所提供的Snort入侵規則檔SID 40220(1)、SID 40221(1)、SID 40222(1),以協助偵測與阻止嘗試利用此漏洞之攻擊。

其它事項:
Cisco PIX Firewalls設備,因產品過舊,目前已無相關的修復程式。
[參考資料:]
1.http://www.ithome.com.tw/news/108639
2.http://www.securityfocus.com/bid/93003
3.http://thehackernews.com/2016/09/cisco-nsa-exploit.html
4.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6415
5.https://tools.cisco.com/security/center/selectIOSVersion.x
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

竹苗區網管理委員會 — 第105學年度第二次會議

竹苗區網管理委員會 — 第105學年度第二次會議
日期 : 105年08月10日 星期五
時間 : 上午12:00~13:30
地點 : 資訊技術服務中心 1F訓練教室

議提 :
一. 竹苗區網中心(交大資訊中心) 雲端節能服務
1. 本中心承接科技部校園資訊服務節能計畫(104~106年),建置雲端虛擬化環境,提供專屬虛擬主機服務,吸引竹苗區網連線學校之實體主機虛擬化到竹苗區網中心的雲端機房,透過減少實體主機的數量,達到節能減碳之效。
2. 竹苗區網連線學校如有主機老舊或想汰換,或是想建立第二套備援系統時,皆可以申請使用此服務。
3. 每部虛擬專屬伺服器,均配置獨享的CPU、記憶體、硬碟空間等資源,同時擁有作業系統管理者最高權限。
4. 本計畫結束時將盡力維持本服務之正常運作,若經費不足以維持運作時,為了永續經營之發展,將會向各連線單位酌收費用,此費用會低於市場上租借虛擬主機之費用。

二. 學術網路骨幹升級100G 第二階段時程規劃及說明

1. 8月17日 : ISP 固網線路及竹苗區網中心線路移轉
2. 8月22日 : 新竹縣網中心、新竹市網中心及苗栗縣網中心移轉
3. 8月23日 : 高中職、大專院校及其他連線單位線路移轉

OSPF路由協定說明與實作

課程名稱: 「OSPF路由協定說明與實作」
課程日期: 105年08月10日(星期三),
上午09:00~12:00 下午13:00 ~ 16:00
課程地點: 國立交通大學 資訊技術服務中心 1F 訓練教室
講師 : CCIE 溫德鈞老師

竹苗區網中心--Tanet學術網路100G骨幹升級案移傳時程

各位夥伴大家好

有關竹苗區網中心--Tanet學術網路100G骨幹升級案移傳時程如下 :

轉移時間 :
1. 8/17 PM 13:00 - 18:00 :NCTU 與 ISP 轉移
2. 8/22 PM 13:00 - 18:00 : 新竹縣市網及苗栗縣市網轉移
3. 8/23 PM 13:00 - 18:00 : 竹苗區網連線單位轉移

移轉時程內會造成部分網路無法使用,造成不便,敬請見諒。

(ANA事件單通知:TACERT-ANA-2016080102080303)(【漏洞預警】Apache Tomcat伺服器8.5.4(含)前的版本存在漏洞(CVE-2016-5388),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016080102080303 發佈時間 2016-08-01 14:11:01
事故類型 ANA-漏洞預警 發現時間 2016-07-21 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Apache Tomcat伺服器8.5.4(含)前的版本存在漏洞(CVE-2016-5388),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201608-0030

Apache Tomcat是Apache軟體基金會旗下的一款輕量級Web伺服器,8.5.4(含)前的版本如啟用CGI Servlet執行CGI腳本(預設是關閉),其HTTP_PROXY環境變數未能有效過濾客戶端請求,造成HTTP_PROXY的變數內容,可被攻擊者發送的變數內容給覆蓋掉,造成攻擊者可利用此漏洞遠端執行中間人攻擊,以及將目標的HTTP流量重新導向至任意的伺服器。
請檢視是否安裝受影響之Apache Tomcat伺服器,如啟用CGI Servlet執行CGI腳本,請儘速參考官方網頁所提供的臨時性解決方案進行修正。

[影響平台:]
Apache Tomcat伺服器8.5.4(含)前的版本
[建議措施:]
1. 請於已安裝Apache Tomcat伺服器之電腦,依據不同平台使用「version.bat」或「version.sh」指令確認目前所使用之Apache Tomcat版本是否為8.5.4(含)前的版本。
2. 請於已安裝Apache Tomcat伺服器8.5.4(含)前版本之電腦,檢視conf/web.xml設定檔,確認Servlet與Servlet-mapping區段是否為「註解」的狀態(代表停用CGI Servlet機制,範例如附件一與附件二),若已「取消註解」,則表示已啟用CGI Servlet機制。
3. 若已啟用CGI Servlet機制,且仍有使用之需求,目前可透過官方所發布之臨時性解決方案進行修正,例如重新編譯tomcat/lib目錄內的catalina.jar檔,或是自行編譯一個拒絕PROXY Header請求的jar檔等方法,詳細內容可參考官方網頁資訊(https://www.apache.org/security/asf-httpoxy-response.txt)。
4. 現階段因官方尚未正式釋出修正後的版本,所以仍請密切注意Apache Tomcat官方網頁(http://tomcat.apache.org/)之更新訊息。

[參考資料:]
1. https://httpoxy.org/
2. https://www.apache.org/security/
3. https://ci.apache.org/projects/tomcat/tomcat85/docs/apr.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

訂閱文章