【攻擊預警】北韓駭客組織HIDDEN COBRA所利用的惡意程式Joanap及Brambul,請各單位注意防範

教育機構ANA通報平台
發佈編號 TACERT-ANA-2018060402064242 發佈時間 2018-06-04 14:17:55
事故類型 ANA-攻擊預警 發現時間 2018-05-30 00:00:00
影響等級 中
[主旨說明:]【攻擊預警】北韓駭客組織HIDDEN COBRA所利用的惡意程式Joanap及Brambul,請各單位注意防範
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201806-0020。

美國國土安全部與聯邦調查局公布最新北韓駭客組織HIDDEN COBRA所利用的惡意程式:Joanap遠端存取後門程式與Brambul網路檔案分享系統蠕蟲。
若資訊設備遭受感染會有以下風險:
1.個人或單位資料遭竊取。
2.個人工作或單位運作被影響而中斷停擺。
3.資訊設備資源被利用於對外攻擊。

建議除使用防毒軟體檢查資訊設備是否受惡意程式感染,也可透過下列方式檢查感染與否:
1.路徑「%WINDIR%\system32\」下存在檔案「mssscardprv.ax」。
2.嘗試寄信至redhat@gmail.com。
3.嘗試寄信至misswang8107@gmail.com。
4.嘗試連線至HIDDEN COBRA-IP黑名單。
下載連結:

http://140.117.101.5/pdf/HIDDENCOBRA-IP.rar

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
微軟作業系統
[建議措施:]
部署黑名單於防護設備進行偵測,監控是否有資訊設備已遭入侵

若確認資訊設備已遭入侵,建議處理措施:
1.重新安裝作業系統,並更新作業系統及相關安裝軟體。
2.更換系統使用者密碼。
3.安裝及啟用防毒軟體防護。
4.安裝及啟用防火牆防護。

日常資訊設備資安防護建議:
1.持續更新作業系統及辦公室文書處理軟體等安全性修補程式。若所使用的作業系統已不再提供更新程式,建議升級至較新版本作業系統。
2.系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
3.安裝及啟用防毒軟體防護,並持續更新病毒碼及掃毒引擎。
4.安裝及啟用防火牆防護,並設定防火牆規則僅開放所需之通訊埠。
[參考資料:]

https://www.us-cert.gov/ncas/alerts/TA18-149A

https://www.us-cert.gov/ncas/analysis-reports/AR18-149A

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【漏洞預警】多款DrayTek路由設備存在零時差漏洞,允許攻擊者竄改DNS位址及DHCP設定,請儘速確認並進行更新!

教育機構ANA通報平台
發佈編號 TACERT-ANA-2018052509051818 發佈時間 2018-05-25 09:02:20
事故類型 ANA-漏洞預警 發現時間 2018-05-23 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】多款DrayTek路由設備存在零時差漏洞,允許攻擊者竄改DNS位址及DHCP設定,請儘速確認並進行更新!
[內容說明:]
轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201805-0040

研究人員發現多款DrayTek路由設備存在零時差漏洞,允許攻擊者藉由攔截管理者SESSION連線,並透過遠端管理功能竄改路由設備的DNS及DHCP設定。目前已知受害設備的DNS伺服器位址會被設為38.134.121.95,導致攻擊者可將受害者瀏覽的網站轉導到惡意網站,或是竊取使用的憑證等。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
● Vigor2120 version 3.8.8.2(不含)以前版本
● Vigor2133 version 3.8.8.2(不含)以前版本
● Vigor2760D version 3.8.8.2(不含)以前版本
● Vigor2762 version 3.8.8.2(不含)以前版本
● Vigor2832 version 3.8.8.2(不含)以前版本
● Vigor2860 version 3.8.8(不含)以前版本
● Vigor2862 version 3.8.8.2(不含)以前版本
● Vigor2862B version 3.8.8.2(不含)以前版本
● Vigor2912 version 3.8.8.2(不含)以前版本
● Vigor2925 version 3.8.8.2(不含)以前版本
● Vigor2926 version 3.8.8.2(不含)以前版本
● Vigor2952 version 3.8.8.2(不含)以前版本
● Vigor3200 version 3.8.8.2(不含)以前版本
● Vigor3220 version 3.8.8.2(不含)以前版本
● VigorBX2000 version 3.8.1.9(不含)以前版本
● Vigor2830nv2 version 3.8.8.2(不含)以前版本
● Vigro2830 version 3.8.8.2(不含)以前版本
● Vigor2850 version 3.8.8.2(不含)以前版本
● Vigor2920 version 3.8.8.2(不含)以前版本
[建議措施:]
1.進行韌體更新,步驟如下:
(1)請至官方網站下載韌體更新工具,連結如下:

https://www.draytek.com/zh/download/software/firmware-upgrade-utility/

(2)請至下列連結,並依照設備型號下載韌體更新檔案:

http://www.draytek.com.tw/ftp/

(3)開啟更新工具,並填入設備IP及韌體更新檔路徑後,點選「送出」進行更新。

2.依官網指示關閉遠端管理功能,如有需要請改用VPN進行遠端存取,方法連結如下:

https://www.draytek.com/zh/about/news/2018/notification-of-urgent-security-updates-to-draytek-routers

[參考資料:]
1.https://www.draytek.com/zh/about/news/2018/notification-of-urgent-security-updates-to-draytek-routers

2.https://www.draytek.com/en/about/news/2018/notification-of-urgent-security-updates-to-draytek-routers

3.https://www.ithome.com.tw/news/123293

4.https://www.securityweek.com/attackers-change-dns-settings-draytek-routers
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【漏洞預警】Spring Framework存在安全漏洞(CVE-2018-1258與CVE-2018-1260),允許攻擊者繞過認證與存取系統上所限制的方法、或是遠端執行任意程式碼,請儘速確認並進行更新

教育機構ANA通報平台
發佈編號 TACERT-ANA-2018051808055858 發佈時間 2018-05-18 08:48:10
事故類型 ANA-漏洞預警 發現時間 2018-05-15 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Spring Framework存在安全漏洞(CVE-2018-1258與CVE-2018-1260),允許攻擊者繞過認證與存取系統上所限制的方法、或是遠端執行任意程式碼,請儘速確認並進行更新
[內容說明:]
轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201805-0024

Spring Framework是一個開源的Java/Java EE的Full-Stack應用程式框架,Spring Security以及Spring Security OAuth2是一個認證與存取控制的應用程式框架。

研究人員發現Spring Framework存在多個安全漏洞,其中又以(CVE-2018-1258與CVE-2018-1260)兩個安全漏洞最為嚴重,允許未經授權的遠端攻擊者繞過認證與存取系統上所限制的方法,或是遠端執行任意程式碼。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
CVE-2018-1258:

.Spring Framework 5.0.5

.Spring Security 5.0.4(含)之前的所有版本

CVE-2018-1260:

.Spring Security OAuth 2.3至2.3.2

.Spring Security OAuth 2.2至2.2.1

.Spring Security OAuth 2.1至2.1.1

.Spring Security OAuth 2.0至2.0.14

.Spring Security OAuth 1的所有版本
[建議措施:]
更新步驟及操作請洽詢維運廠商,如所使用的版本為上述受影響的Spring Framework、Spring Security及Spring Security OAuth版本,請參考下列連結進行更新:

.Spring Framework請至以下連結更新至5.0.6版以上:

(1) https://projects.spring.io/spring-framework/

(2) https://github.com/spring-projects/spring-framework/releases/tag/v5.0.6RELEASE

.Spring Security請至以下連結更新至5.0.5版以上:

(1) https://projects.spring.io/spring-security/
(2) https://github.com/spring-projects/spring-security/releases/tag/5.0.5.RELEASE

.Spring Security OAuth請至以下連結進行更新:

(1) 2.3.x請至以下連結更新至2.3.3:

https://github.com/spring-projects/spring-security-oauth/releases/tag/2.3.3RELEASE

(2) 2.2.x請至以下連結更新至2.2.2:

https://github.com/spring-projects/spring-security-oauth/releases/tag/2.2.2RELEASE

(3) 2.1.x請至以下連結更新至2.1.2:

https://github.com/spring-projects/spring-security-oauth/releases/tag/2.1.2RELEASE

(4) 2.0.x請至以下連結更新至2.0.15:

https://github.com/spring-projects/spring-security-oauth/releases/tag/2.0.15.RELEASE

請定期檢視系統/應用程式更新紀錄,避免駭客利用系統/應用程式安全性漏洞進行入侵行為,亦須更新防毒軟體病毒碼以加強防護。
[參考資料:]
1.https://pivotal.io/security/cve-2018-1258

2.https://tools.cisco.com/security/center/viewAlert.x?alertId=57883

3.https://pivotal.io/security/cve-2018-1260

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【漏洞預警】資訊設備疑存在遠端程式碼執行漏洞

教育機構ANA通報平台
發佈編號 TACERT-ANA-2018040308040808 發佈時間 2018-04-03 08:44:10
事故類型 ANA-漏洞預警 發現時間 2018-03-30 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】資訊設備疑存在遠端程式碼執行漏洞
[內容說明:]
轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201803-0068

Cisco Smart Install提供網路交換器隨插即用配置和IOS Image 管理的功能。Cisco於2018年3月28日公布了該功能的漏洞(CVE-2018-0171),允許未經身份驗證之攻擊者利用TCP 4786通訊埠,執行指令並控制該設備,造成受影響之設備發生阻斷服務。透過Shodan查詢,教育部網路與學術網路中存在近千台Cisco設備使用公開IP,並開啟TCP 4786通訊埠可遭存取利用。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
1. Catalyst 4500 Supervisor Engines
2. Catalyst 3850 Series
3. Catalyst 3750 Series
4. Catalyst 3650 Series
5. Catalyst 3560 Series
6. Catalyst 2960 Series
7. Catalyst 2975 Series
8. IE 2000
9. IE 3000
10. IE 3010
11. IE 4000
12. IE 4010
13. IE 5000
14. SM-ES2 SKUs
15. SM-ES3 SKUs
16. NME-16ES-1G-P
17. SM-X-ES3 SKUs
[建議措施:]
1. 盤點與檢視相關設備系統,確認設備是否受漏洞影響。若該設備為受影響之型號,請安裝最新之修補程式。
2. 相關設備系統應置於實體防火牆設備後端並設置防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠,過濾內外部異常網路連線。若無使用Smart Install功能之需求,建議關閉該功能。
3. 請開啟相關主機作業系統與應用程式日誌,並定期分析可疑行為(如:登入失敗、流量異常上升及非正常時間之登入行為)。
[參考資料:]
1. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
2. https://embedi.com/blog/cisco-smart-install-remote-code-execution/
3. https://www.shodan.io/search?query=org%3ATANET+port%3A4786&page=1
4. https://www.shodan.io/search?query=org%3Amoec+port%3A4786

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【漏洞預警】Adobe Flash Player存在安全漏洞(CVE-2018-4919與CVE-2018-4920),允許攻擊者在受害系統上執行任意程式碼,請儘速確認並進行更新

教育機構ANA通報平台
發佈編號 TACERT-ANA-2018032002030606 發佈時間 2018-03-20 14:04:09
事故類型 ANA-漏洞預警 發現時間 2018-03-19 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Adobe Flash Player存在安全漏洞(CVE-2018-4919與CVE-2018-4920),允許攻擊者在受害系統上執行任意程式碼,請儘速確認並進行更新
[內容說明:]
轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201803-0044

Adobe Flash Player是一個被廣泛使用的多媒體程式播放器。
Adobe釋出的三月份更新中包含2個Adobe Flash Player的安全漏洞(CVE-2018-4919與CVE-2018-4920),攻擊者可藉由誘騙使用者點擊含有惡意Flash的檔案或網頁等,進而導致遠端攻擊者可在受害系統上執行任意程式碼。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
Adobe Flash Player Desktop Runtime小於(含) 28.0.0.161之前的版本

Adobe Flash Player for Google Chrome小於(含) 28.0.0.161之前的版本

Adobe Flash Player for Microsoft Edge小於(含) 28.0.0.161之前的版本

Adobe Flash Player for Internet Explorer 11小於(含) 280.0.161之前的版本
[建議措施:]
1.可至Adobe Flash Player官網(https://getadobe.com/tw/flashplayer/about/)提供的連結,確認當前使用之版本。
2.如所使用的版本為上述受影響的Adobe Flash Player版本,請至Adobe Flash Player官網(https://get.adobe.com/tw/flashplayer/),下載更新至Adobe Flash Player 29.0.0.113(含)之後的版本。

3.定期檢視系統/應用程式更新紀錄,避免駭客利用系統/應用程式安全性漏洞進行入侵行為,並更新防毒軟體病毒碼以加強防護。
[參考資料:]
1.https://helpx.adobe.com/security/products/flash-player/apsb18-05.html
2.https://www.securityfocus.com/bid/103385/info
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【漏洞預警】Cisco安全存取控制伺服器(Cisco Secure ACS)存在Java反序列化漏洞,允許未經授權的遠端攻擊者以root權限執行任意指令,請儘速確認並進行修正

教育機構ANA通報平台
發佈編號 TACERT-ANA-2018031309034242 發佈時間 2018-03-13 09:01:44
事故類型 ANA-漏洞預警 發現時間 2018-03-09 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Cisco安全存取控制伺服器(Cisco Secure ACS)存在Java反序列化漏洞,允許未經授權的遠端攻擊者以root權限執行任意指令,請儘速確認並進行修正
[內容說明:]
轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201803-0005

Cisco安全存取控制伺服器(Cisco Secure ACS)提供網路設備集中管理帳號密碼與權限管理之功能,網路管理人員連線至網路設備進行管理與設定時,可透過Cisco安全存取控制伺服器進行認證及取得授權指令,並留下稽核軌跡紀錄。

研究團隊發現Cisco安全存取控制伺服器存在Java反序列化(Deserialization)漏洞(CVE-2018-0147),導致未經授權的遠端攻擊者可針對目標設備發送特製的Java序列化物件,進而造成遠端攻擊者可以root權限執行任意指令。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
Cisco Secure ACS 5.8.0.32.8(含)以前的版本
[建議措施:]
目前Cisco官方已針對此弱點釋出修復版本,請各機關可聯絡設備維護廠商或參考以下建議進行更新:

1.於Cisco Secure ACS指令介面輸入「show version」指令確認當前使用的版本。

2.如使用受影響之Cisco Secure ACS版本,請瀏覽Cisco官方更新網頁(http://www.cisco.com/cisco/software/navigator.html),於Download Software頁面點擊「Products > Security > Network Visibility and Enforcement > Secure Access Control System > Secure Access Control System 5.8」,選擇5.8.0.32.9或以上版本進行更新。
[參考資料:]
1.https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180307-acs2
2.https://securitytracker.com/id/1040463
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【漏洞預警】Cisco ESC軟體存在安全漏洞,請儘速確認並進行修正

教育機構ANA通報平台
發佈編號 TACERT-ANA-2018030208030404 發佈時間 2018-03-02 08:49:04
事故類型 ANA-漏洞預警 發現時間 2018-02-26 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Cisco ESC軟體存在安全漏洞,請儘速確認並進行修正
[內容說明:]
轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201802-0062

Cisco Elastic Services Controller(ESC)是一款提升網路功能虛擬化(NFV)環境彈性的軟體。
研究團隊發現Cisco ESC軟體的Web服務認證功能存在安全漏洞(CVE-2018-0121),導致未經授權的遠端攻擊者使用管理者帳號登入時,無需輸入密碼即可登入,進而造成遠端攻擊者成功獲取Web服務的管理者權限。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
Cisco Elastic Services Controller 3.0.0
[建議措施:]
目前Cisco官方已針對此弱點釋出修復版本,請聯絡設備維護廠商或參考以下建議進行更新:
1.於ESC指令介面輸入「esc_version」指令確認當前使用的ESC軟體版本。
2.如使用受影響之ESC軟體版本,請瀏覽Cisco官方更新網頁
(http://www.cisco.com/cisco/software/navigator.html),於Download Software頁面點擊Products->Cloud and Systems Management->Service Management and Orchestration->Elastic Services Controller,
或至以下連結選擇3.1或以上版本進行更新:

https://software.cisco.com/download/navigator.html?mdfid=286284210

[參考資料:]
1.https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180221-esc
2.https://nvd.nist.gov/vuln/detail/CVE-2018-0121
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【漏洞預警】多款Adobe程式存在可能導致遠端執行任意程式碼及提權攻擊漏洞,請儘速確認並進行修正

教育機構ANA通報平台
發佈編號 TACERT-ANA-2018022102021919 發佈時間 2018-02-21 14:10:22
事故類型 ANA-漏洞預警 發現時間 2018-02-13 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】多款Adobe程式存在可能導致遠端執行任意程式碼及提權攻擊漏洞,請儘速確認並進行修正
[內容說明:]
轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201802-0051

Adobe釋出的二月份更新中提出Adobe Acrobat及Reader含有約40個可繞過安全機制(security mitigation bypass)、堆疊溢出(heap overflow)、釋放後記憶體重新引用(use-after-free)、溢位讀寫(out-of-bound read and write)漏洞。攻擊者可藉由誘騙使用者點擊含有惡意程式碼的檔案,進行遠端程式碼執行或提權攻擊

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
以下所有程式的Windows及Mac版本:

‧Acrobat Reader DC Continuous track versions 2018.009.20050(含)以前的版本

‧Acrobat Reader DC Classic track versions 2015.006.30394(含)以前版本

‧Acrobat DC Continuous track versions 2018.009.20050(含)以前版本

‧Acrobat DC Classic track versions 2015.006.30394(含)以前版本

‧Acrobat Reader 2017 versions 2017.011.30070(含)以前版本

‧Acrobat 2017 versions 2017.011.30070(含)以前版本

[建議措施:]
1.請確認電腦目前使用的版本。若為上述影響版本,請儘速更新至以下版本,檢查方式:啟動Acrobat程式,點選「說明」>「關於」

2.Acrobat Reader DC請至以下網址進行更新至以下版本,網址:https://get.adobe.com/reader/,

(1)Acrobat Reader DC Continuous track version 更新至2018.011.20035 for Windows以後版本

(2)Acrobat Reader DC Continuous track version 更新至2018.011.20035 for Mac以後版本

(3)Acrobat Reader DC Classic track version 更新至2015.006.30413 for Windows以後版本

(4)Acrobat Reader DC Classic track version 更新至2015.006.30416 for Mac以後版本

3.Windows平台之Acrobat DC、Acrobat 2017及Acrobat Reader 2017請至以下網址進行更新至以下版本。更新網址:

http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

(1)Acrobat DC Continuous track version更新至2018.011.20035以後版本

(2)Acrobat DC Classic track version更新至2015.006.30413以後版本

(3)Acrobat Reader 2017 version更新至2017.011.30078以後版本

(4)Acrobat 2017 version 更新至2017.011.30078以後版本

4.MAC平台之Acrobat DC、Acrobat 2017及Acrobat Reader 2017請至以下網址進行更新至以下版本。更新網址:

http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Mac

(1)Acrobat DC Continuous track version 更新至2018.011.20035以後版本

(2)Acrobat DC Classic track version 更新至2015.006.30416以後版本

(3)Acrobat Reader 2017 version 更新至2017.011.30078以後版本

(4)Acrobat 2017 version 更新至2017.011.30078以後版本

[參考資料:]
1.https://tools.cisco.com/security/center/viewAlert.x?alertId=56809

2.https://helpx.adobe.com/security/products/acrobat/apsb18-02.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【漏洞預警】Firefox瀏覽器的Chrome UI元件存在安全漏洞(CVE-2018-5124)

發佈編號

TACERT-ANA-2018020909020202

發佈時間

2018-02-09 09:48:03

事故類型

ANA-漏洞預警

發現時間

2018-02-02 00:00:00

影響等級

[主旨說明:]【漏洞預警】Firefox瀏覽器的Chrome UI元件存在安全漏洞(CVE-2018-5124),允許攻擊者遠端執行任意程式碼,請儘速評估確認與進行修正

[內容說明:]

轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201802-0010

Mozilla研究人員發現Firefox瀏覽器的Chrome UI元件在處理HTML片段存在安全過濾 (sanitization)不足的安全漏洞(CVE-2018-5124),導致攻擊者可透過惡意連結或檔案誘騙受害者點擊,進而造成攻擊者可遠端執行任意程式碼。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]

Firefox 56.0 至 Firefox 56.0.2

Firefox 57.0 至 Firefox 57.0.4
Firefox 58.0
[建議措施:]

1.請將Mozilla Firefox瀏覽器更新至最新58.0.1版本(https://wwwmozilla.org/zh-TW/firefox/)
2.保持良好使用習慣,請勿點擊來入不明的網址連結
[參考資料:]

1.https://thehackernews.com/2018/01/firefox-browser-update.html
2.https://www.mozilla.org/en-US/firefox/58.0.1/releasenotes/
3.https://www.ithome.com.tw/news/121036

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

【漏洞預警】多款CPU處理器存在Meltdown與Spectre漏洞,允許攻擊者在受害系統上讀取記憶體內的機敏資訊,請儘速評估確認與進行修正

教育機構ANA通報平台

發佈編號

TACERT-ANA-2018011208012323

發佈時間

2018-01-12 08:39:24

事故類型

ANA-漏洞預警

發現時間

2018-01-10 00:00:00

影響等級

[主旨說明:]【漏洞預警】多款CPU處理器存在Meltdown與Spectre漏洞,允許攻擊者在受害系統上讀取記憶體內的機敏資訊,請儘速評估確認與進行修正

[內容說明:]

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201801-0017

Google Project Zero等研究團隊於1月3日揭露Meltdown與Spectre兩種透過推測執行(Speculative execution)的攻擊方式,目前已知該攻擊方式至少須具備受害系統的一般使用者權限,或是誘騙受害者去觸發惡意程式等方式。

若具以上前提條件,則其中Meltdown(CVE-2017-5754)漏洞,有機會允許攻擊者以系統權限讀取應用程式與作業系統所用到的部分記憶體,而Spectre(CVE-2017-5753)與(CVE-2017-5715)漏洞,則允許攻擊者讀取CPU核心內的快取檔資料,或有機會取得執行中的應用程式儲存在記憶體內的機敏資訊。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]

Intel處理器:
-Intel Core i3 processor (45nm and 32nm)
-Intel Core i5 processor (45nm and 32nm)
-Intel Core i7 processor (45nm and 32nm)
-Intel Core M processor family (45nm and 32nm)

-2nd generation Intel Core processors
-3rd generation Intel Core processors
-4th generation Intel Core processors
-5th generation Intel Core processors
-6th generation Intel Core processors
-7th generation Intel Core processors
-8th generation Intel Core processors
-Intel Core X-series Processor Family for Intel X99 platforms
-Intel Core X-series Processor Family for Intel X299 platforms
-Intel Xeon processor 3400 series
-Intel Xeon processor 3600 series
-Intel Xeon processor 5500 series
-Intel Xeon processor 5600 series
-Intel Xeon processor 6500 series
-Intel Xeon processor 7500 series
-Intel Xeon Processor E3 Family
-Intel Xeon Processor E3 v2 Family
-Intel Xeon Processor E3 v3 Family
-Intel Xeon Processor E3 v4 Family
-Intel Xeon Processor E3 v5 Family
-Intel Xeon Processor E3 v6 Family
-Intel Xeon Processor E5 Family
-Intel Xeon Processor E5 v2 Family
-Intel Xeon Processor E5 v3 Family
-Intel Xeon Processor E5 v4 Family
-Intel Xeon Processor E7 Family
-Intel Xeon Processor E7 v2 Family
-Intel Xeon Processor E7 v3 Family
-Intel Xeon Processor E7 v4 Family
-Intel Xeon Processor Scalable Family
-Intel Xeon Phi Processor 3200, 5200, 7200 Series
-Intel Atom Processor C Series
-Intel Atom Processor E Series
-Intel Atom Processor A Series
-Intel Atom Processor x3 Series
-Intel Atom Processor Z Series
-Intel Celeron Processor J Series
-Intel Celeron Processor N Series
-Intel Pentium Processor J Series
-Intel Pentium Processor N Series

ARM:

-Cortex-R7
-Cortex-R8
-Cortex-A8
-Cortex-A9
-Cortex-A15
-Cortex-A17
-Cortex-A57
-Cort Windows 10ex-A72
-Cortex-A73
-Cortex-A75
[建議措施:]

1. Windows 7/8/10與Server 2008/2008R2/2012/2012R2作業系統,適用以下方法確認是否使用的CPU處理器易遭受Meltdown與Spectre漏洞的攻擊:
(1)首先透過微軟官方

(https://gallery.technet.microsoft.com/scriptcenter/Speculation-Control-e36f0050#content)網址下載檔案,並將「SpeculationControl.zip」檔案解壓縮。
(2)透過搜尋列表搜尋Windows PowerShell,然後以系統管理員權限執行。
(3)在Windows PowerShell視窗切換到檔案解壓縮的位置。
(4)輸入「$SaveExecutionPolicy=Get-ExecutionPolicy」。
(5)輸入「Set-ExecutionPolicy RemoteSigned -Scope Currentuser」→按下Enter→按下Y。
(6)輸入「Import-Module .\SpeculationControl.psm1」→按下Enter→按下R。
(7)輸入「Get-SpeculationControlSettings」→按下Enter。
(8)視窗顯示紅字的部分代表可能易遭受攻擊的方式,綠字的部分則代表不受該攻擊方式的影響。
(9)最後確認完畢後,輸入「Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser」→Enter→按下Y,將PowerShell模式復原。

2. Ubuntu/Debian的Linux作業系統可透過以下方法,確認是否使用的CPU處理器易遭受Meltdown與Spectre漏洞的攻擊,其餘開源或商業Linux系統則請洽詢維運廠商。
(1)首先可至(https://github.com/speed47/spectre-meltdown-checker)網址下載Linux的檢查檔案。
(2)下載方式,打開終端視窗,輸入「git clone https://github.com/speed47/
spectre-meltdown-checker.git」或「wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/
spectre-meltdown-checker.sh」。
(3)接著切換到下載檔案的位址,並以管理者模式運行檢查檔案「sudo spectre-meltdown-checker.sh」。
(4)可檢視結果中的STATUS狀態(VULNERABLE或NOT VULNERABLE),確認當前是否易遭受Meltdown與Spectre漏洞的影響。

3.目前部分廠商已針對部分產品或設備釋出更新,可參考或持續關注以下各家廠商的專區進行確認:
作業系統更新:

-Microsoft Windows:
(1)確認作業系統版本。
(2)下載作業系統的更新檔: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

-APPLE:https://support.apple.com/en-us/HT201222
(1)macOS High Sierra: 至 App Store,點選更新項目,更新macOS High Sierra 10.13.2 Supplemental Update。
(2)OS X El Capitan 10.11.6 and macOS Sierra 10.12.6: 更新Safari至11.0.2。

-iOS: 更新至 iOS 11.2.2。

-VMware:
(1)確認 ESXi、Workstation、Fusion版本。
(2)至官網下載更新檔:

https://www.vmware.com/tw/security/advisories/VMSA-2018-0002.html

-Ubuntu:

(1)確認作業系統版本。
(2)更新核心與套件如網站表格: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/

-RedHat:
(1)確認作業系統版本。
(2)至下列網站:

https://access.redhatcom/security/vulnerabilities/speculativeexecution ,切換標籤至Resolve。
(3)更新核心與套件如網站表格。

-SUSE:

(1)確認作業系統版本。
(2)更新核心與套件: https://www.suse.com/support/kb/doc/?id=7022512

-Android:確認Android Security Patch為一月(等候各原廠系統OTA更新檔釋出)

瀏覽器更新:

-Edge and IE:同Microsoft Windows作業系統更新項目
-Google:https://support.google.com/faqs/answer/7622138
(1)Google chrome Desktop: 更新版本至63以上
(2)Google chrome Android: 開啟Chrome app於網址列輸入 chrome://flags,確認”Strict site isolation”項目為“Enable”
(3)Google chrome iOS: 將iOS更新至11.2.2以上

-Mozilla Firefox:更新版本至57.0.4以上
[參考資料:]

1.https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
2.https://www.ithome.com.tw/news/120312
3.https://www.bleepingcomputer.com/news/microsoft/how-to-check-and-update-windows-systems-for-the-meltdown-and-spectre-cpu-flaws/
4.http://www.kb.cert.org/vuls/id/584653
5.http://technews.tw/2018/01/05/about-intel-meltdown-spectre/

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw