竹苗區網管理委員會 — 第105學年度第二次會議

竹苗區網管理委員會 — 第105學年度第二次會議
日期 : 105年08月10日 星期五
時間 : 上午12:00~13:30
地點 : 資訊技術服務中心 1F訓練教室

議提 :
一. 竹苗區網中心(交大資訊中心) 雲端節能服務
1. 本中心承接科技部校園資訊服務節能計畫(104~106年),建置雲端虛擬化環境,提供專屬虛擬主機服務,吸引竹苗區網連線學校之實體主機虛擬化到竹苗區網中心的雲端機房,透過減少實體主機的數量,達到節能減碳之效。
2. 竹苗區網連線學校如有主機老舊或想汰換,或是想建立第二套備援系統時,皆可以申請使用此服務。
3. 每部虛擬專屬伺服器,均配置獨享的CPU、記憶體、硬碟空間等資源,同時擁有作業系統管理者最高權限。
4. 本計畫結束時將盡力維持本服務之正常運作,若經費不足以維持運作時,為了永續經營之發展,將會向各連線單位酌收費用,此費用會低於市場上租借虛擬主機之費用。

二. 學術網路骨幹升級100G 第二階段時程規劃及說明

1. 8月17日 : ISP 固網線路及竹苗區網中心線路移轉
2. 8月22日 : 新竹縣網中心、新竹市網中心及苗栗縣網中心移轉
3. 8月23日 : 高中職、大專院校及其他連線單位線路移轉

OSPF路由協定說明與實作

課程名稱: 「OSPF路由協定說明與實作」
課程日期: 105年08月10日(星期三),
上午09:00~12:00 下午13:00 ~ 16:00
課程地點: 國立交通大學 資訊技術服務中心 1F 訓練教室
講師 : CCIE 溫德鈞老師

竹苗區網中心--Tanet學術網路100G骨幹升級案移傳時程

各位夥伴大家好

有關竹苗區網中心--Tanet學術網路100G骨幹升級案移傳時程如下 :

轉移時間 :
1. 8/17 PM 13:00 - 18:00 :NCTU 與 ISP 轉移
2. 8/22 PM 13:00 - 18:00 : 新竹縣市網及苗栗縣市網轉移
3. 8/23 PM 13:00 - 18:00 : 竹苗區網連線單位轉移

移轉時程內會造成部分網路無法使用,造成不便,敬請見諒。

(ANA事件單通知:TACERT-ANA-2016080102080303)(【漏洞預警】Apache Tomcat伺服器8.5.4(含)前的版本存在漏洞(CVE-2016-5388),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016080102080303 發佈時間 2016-08-01 14:11:01
事故類型 ANA-漏洞預警 發現時間 2016-07-21 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Apache Tomcat伺服器8.5.4(含)前的版本存在漏洞(CVE-2016-5388),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201608-0030

Apache Tomcat是Apache軟體基金會旗下的一款輕量級Web伺服器,8.5.4(含)前的版本如啟用CGI Servlet執行CGI腳本(預設是關閉),其HTTP_PROXY環境變數未能有效過濾客戶端請求,造成HTTP_PROXY的變數內容,可被攻擊者發送的變數內容給覆蓋掉,造成攻擊者可利用此漏洞遠端執行中間人攻擊,以及將目標的HTTP流量重新導向至任意的伺服器。
請檢視是否安裝受影響之Apache Tomcat伺服器,如啟用CGI Servlet執行CGI腳本,請儘速參考官方網頁所提供的臨時性解決方案進行修正。

[影響平台:]
Apache Tomcat伺服器8.5.4(含)前的版本
[建議措施:]
1. 請於已安裝Apache Tomcat伺服器之電腦,依據不同平台使用「version.bat」或「version.sh」指令確認目前所使用之Apache Tomcat版本是否為8.5.4(含)前的版本。
2. 請於已安裝Apache Tomcat伺服器8.5.4(含)前版本之電腦,檢視conf/web.xml設定檔,確認Servlet與Servlet-mapping區段是否為「註解」的狀態(代表停用CGI Servlet機制,範例如附件一與附件二),若已「取消註解」,則表示已啟用CGI Servlet機制。
3. 若已啟用CGI Servlet機制,且仍有使用之需求,目前可透過官方所發布之臨時性解決方案進行修正,例如重新編譯tomcat/lib目錄內的catalina.jar檔,或是自行編譯一個拒絕PROXY Header請求的jar檔等方法,詳細內容可參考官方網頁資訊(https://www.apache.org/security/asf-httpoxy-response.txt)。
4. 現階段因官方尚未正式釋出修正後的版本,所以仍請密切注意Apache Tomcat官方網頁(http://tomcat.apache.org/)之更新訊息。

[參考資料:]
1. https://httpoxy.org/
2. https://www.apache.org/security/
3. https://ci.apache.org/projects/tomcat/tomcat85/docs/apr.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

(ANA事件單通知:TACERT-ANA-2016080102083636)(【漏洞預警】Apache 2.4.23(含)前的版本存在漏洞(CVE-2016-5387),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016080102083636 發佈時間 2016-08-01 14:06:34
事故類型 ANA-漏洞預警 發現時間 2016-07-21 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Apache 2.4.23(含)前的版本存在漏洞(CVE-2016-5387),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201608-0008

Apache伺服器是Apache軟體基金會旗下的一款Web伺服器,2.4.23(含)前的版本所內建之httpd/mod_fcgid等模組,其HTTP_PROXY環境變數未能有效過濾客戶端請求,造成HTTP_PROXY的變數內容,可被攻擊者發送的變數內容給覆蓋掉,造成攻擊者可利用此漏洞遠端執行中間人攻擊,以及將目標的HTTP流量重新導向至任意的伺服器。
請檢視是否安裝受影響之Apache伺服器,並儘速參考官方網頁所提供的臨時性解決方案進行修正。

[影響平台:]
Apache伺服器2.4.23(含)前的版本
[建議措施:]
請於已安裝Apache伺服器之電腦,使用「httpd -v」指令確認目前所使用之Apache版本,如所使用之Apache伺服器為2.4.23(含)前的版本,請儘速依官方網頁(https://www.apache.org/security/asf-httpoxy-response.txt)所發布之臨時性解決方案進行修正,而現階段因官方尚未正式釋出修正後的版本,所以仍請密切注意Apache官方網頁(http://httpd.apache.org/)的更新訊息。

[參考資料:]
1. https://httpoxy.org/
2. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5387
3. https://github.com/apache/httpd/commit/1c660f4f15083b06ce15018d304225c42...

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

(ANA事件單通知:TACERT-ANA-2016070610073030)(【漏洞預警】Symantec旗下產品存在多個安全漏洞,部分漏洞允許攻擊者執行任意程式碼或造成阻斷服務,請儘速確認並更新版本)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016070610073030 發佈時間 2016-07-06 10:03:31
事故類型 ANA-漏洞預警 發現時間 2016-07-01 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】Symantec旗下產品存在多個安全漏洞,部分漏洞允許攻擊者執行任意程式碼或造成阻斷服務,請儘速確認並更新版本
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201607-0002

Symantec旗下產品存在包含CVE-2016-2207、CVE-2016-2208、CVE-2016-2209、CVE-2016-2210、CVE-2016-2211、CVE-2016-3644、CVE-2016-3645、CVE-2016-3646、CVE-2016-3647、CVE-2016-3648、CVE-2016-3649、CVE-2016-3650、CVE-2016-3651、CVE-2016-3652、CVE-2016-3653、CVE-2016-5304、CVE-2016-5305、CVE-2016-5306、CVE-2016-5307等19個安全漏洞,其中又以CVE-2016-2208最為嚴重,攻擊者僅需透過E-Mail或網址列夾帶含有惡意的文字檔,提供給裝有Symantec旗下產品的電腦下載觸發,就會造成Linux/MAC/Unix平台電腦引發堆積緩衝區溢位(Heap Overflow),而在Windows平台則會造成核心記憶體損毀,利用此漏洞進行攻擊,將允許攻擊者執行任意程式碼或造成阻斷服務。
請各會員檢視是否安裝受影響之Symantec產品,並儘速更新至最新版本。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
所有平台版本的Symantec Endpoint、Norton 360、Symantec Scan Engine、Symantec Email Security及Symantec Message Gateway等產品
[建議措施:]
請針對受影響之Symantec產品,參考下列原廠安全更新資訊,請儘速確認並更新版本。
1. https://www.symantec.com/security_response/securityupdates/detail.jsp?fi...
2. https://www.symantec.com/security_response/securityupdates/detail.jsp?fi...
3. https://www.symantec.com/security_response/securityupdates/detail.jsp?fi...

[參考資料:]
1. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2208
2. https://www.us-cert.gov/ncas/current-activity/2016/06/29/Symantec-Releas...
3. https://www.us-cert.gov/ncas/current-activity/2016/05/16/Symantec-Releas...
4. https://googleprojectzero.blogspot.tw/2016/06/how-to-compromise-enterpri...

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

(ANA事件單通知:TACERT-ANA-2016062711061919)(【攻擊預警】資訊設備遭xDedic地下黑市入侵通知)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016062711061919 發佈時間 2016-06-27 11:05:17
事故類型 ANA-攻擊預警 發現時間 2016-06-22 00:00:00
影響等級 中
[主旨說明:]【攻擊預警】資訊設備遭xDedic地下黑市入侵通知
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201606-0036

本中心近日接獲卡巴斯基(Kaspersky)情資,發現學術單位內資訊設備疑似已遭入侵並於黑市進行伺服器控制權銷售,為避免不必要之資安風險,請針對該主機進行詳細檢查並加強相關防範措施。

卡巴斯基實驗室於2016年6月15日公佈發現「xDedic」地下黑市的資訊,xDedic為一買賣被入侵的遠端桌面協定伺服器(RDP伺服器)的平台。xDedic地下黑市販賣全球超過7萬台被感染伺服器許可權,根據公佈的報告顯示,xDedic於2014年開始營業,並在2015年中快速增長。到2016年5月,該黑市共有來自174個國家的70,624台伺服器在販售。在大中華地區(中國大陸、臺灣和香港),已有超過100家知名大型企業和ISP的伺服器受到感染並被xDedic在地下黑市販售,受害的單位包括政府、營運商、電商、醫院、房地產公司和學校等機構。

請依據建議措施之檢查措施檢視自身伺服器是否遭到入侵。如確實遭到入侵,請立即依建議措施進行處置並加強防範措施。

[影響平台:]
N/A
[建議措施:]
一.檢查措施:
若主機/伺服器已遭入侵並當作販售目標,可能被安裝木馬程式(Trojan)或作為代理伺服器(xDedic Socks System)協助轉送惡意流量。
使用者可檢查下列惡意程式檔案是否存在電腦中:
1.SCClient 木馬程式(\Windows\System32\scclient.exe)
2.3proxy 代理伺服器(\AppData\Local\Temp\pxsrvc\pxsrvc.exe)

由於被入侵伺服器可能移作其他非法用途,因此就算找不到上述惡意程式,並不能保證伺服器未遭受感染,使用者可針對目標電腦進行隔離並監控網路流量,查看是否有特定連線向以下中繼站報到:
http://37.49.224[.]144:8189/manual_result
http://37.49.224[.]144/ptest.php
http://37.49.224[.]144/sp.php
http://37.49.224[.]144/test_servers.xml
http://37.49.224[.]144/gfileset.php
http://5.56.133[.]145
http://191.101.31[.]126/ptest.php
http://191.101.31[.]126/sp.php
http://191.101.31[.]126/test_servers.xml
http://191.101.31[.]126/gfileset.php
http://191.101.31[.]126:8189/manual_result
http://q968787.ignorelist[.]com:32973
http://q968787.mooo[.]com:32973
http://q968787.homenet[.]org:32973
http://q968787.strangled[.]net:32973
http://q96b7b7.ignorelist[.]com:32973
http://q96b7b7.mooo[.]com:32973
http://q96b7b7.homenet[.]org:32973
http://q96b7b7.strangled[.]net:32973

二.處理措施
1. 觀察資訊設備是否有異常之網路連線行為,並檢查主機是否有不明之系統服務或程式執行中。
2.建議重新安裝受害資訊設備之作業系統,重設所有帳號密碼並更新至最新的修補程式。
3.檢查相同網路內的其他電腦,評估主機/伺服器內財物或敏感資料外洩的風險,並執行系統之安全修補措施(例如重新安裝、掃描電腦及重設所有帳號密碼等)
4.檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠與連線,檢視是否有必要開啟 RDP 服務 (遠端桌面服務),若無必要即關閉。
[參考資料:]
1. https://www.facebook.com/notes/kaspersky-lab/%E5%8D%A1%E5%B7%B4%E6%96%AF...
2. https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hac...
3. https://securelist.com/files/2016/06/xDedic_marketplace_ENG.pdf
4. https://en.wikipedia.org/wiki/XDedic

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

竹苗區網管理委員會 — 第105學年度第一次會議

竹苗區網管理委員會 — 第105學年度第一次會議
日期 : 105年05月27日 星期五
時間 : 上午12:00~13:30
地點 : 資訊技術服務中心 1F訓練教室

議題 :
1. TANET學術網路骨幹升級100G專案
A .網路架構說明
B .基礎建設建置規劃
C .移轉時程及注意事項

105年度教育訓練

課程名稱: 「Routing 及 Switch 基礎技術訓練」
課程日期: 105年05月27 (星期五)上午09:00~12:00 下午15:00 ~ 16:30
課程地點: 國立交通大學 資訊技術服務中心 1F 訓練教室
講師 : CCIE 溫德鈞老師

(ANA事件單通知:TACERT-ANA-2016042909042424)(【漏洞預警】特定版本Apache Struts 2允許攻擊者遠端執行任意程式碼)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016042909042424 發佈時間 2016-04-29 09:27:30
事故類型 ANA-漏洞預警 發現時間 2016-04-26 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】特定版本Apache Struts 2允許攻擊者遠端執行任意程式碼
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201604-0047

根據美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2016-3081。[1][2]
針對Apache 的Struts 2.3.20至Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本,攻擊者可透過DefaultAction.java的invokeAction弱點,將惡意攻擊程式碼夾帶於Request中,允許攻擊者遠端執行任意程式碼。[3]
請各機關檢視所支援的Apache Struts 2版本,儘速更新至最新版本。

[影響平台:]
Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外) [4]
[建議措施:]
Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本已發現存在安全漏洞,請各機關確認網站主機是否使用Apache Struts 2 Web應用框架。若有使用受影響之版本,請將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本。[5]
(1) 檢查是否使用Apache Struts 2 Web應用框架,可透過檢查網站主機目錄中的「WEB-INF\lib\」資料夾是否存有struts相關jar檔,若存有相關jar檔再進行版本確認。
(2) 若選擇不將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本,應於struts.xml設定檔中將「struts.enable.DynamicMethodInvocation」的值設定為「false」,以停用Dynamic Method Invocation。[6]
(3) 停用Dynamic Method Invocation參考設定如下:

[參考資料:]
1. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3081
2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081
3. http://www.securitytracker.com/id/1035665
4. https://vuldb.com/?id.82790
5. http://struts.apache.org/download.cgi#struts-ga
6. https://struts.apache.org/docs/s2-032.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

訂閱文章