資安公告

112.09.25

112.04.26有關大屏內建大陸廠牌軟體-說明及注意事項

一、日前教育部來函表示WPS Office文書作業系統屬大陸廠牌資通訊產品,應儘速移除

二、若屬本局統購之觸控式螢幕,本局已請得標廠商-盛源於5月底前陸續至各校移除,並請廠商入校前,至少提前3日先行聯繫學校入校時間。

三、若為自行採購者,煩請學校盤點設備是否有大陸廠牌資通訊產品。若有,請洽廠商儘速移除。

四、倘有疑問,請聯繫素燕(8072-3456分機621)或是各分區窗口,謝謝!

110.09.03.教育局宣導若需使用Google表單時,應注意權限設定,以防止個人資料或機敏資料外洩。

[內容說明:]

近期教育部接獲通報,發現某單位使用Google表單進行資料調查時,因不熟悉操作設定,發生權限設定錯誤或開啟不當設定選項功能,導致個人資料外洩的情形。

 請各單位加強宣導,若需使用Google表單時,應加強並留意表單設計所開啟的功能是否會造成機敏資料或個人資料外洩情事發生,並請於上線使用前,預先進行完整的測試,以確認沒有任何個資外洩疑慮。

[建議措施:]

1.詳閱Google表單設定內容

2.了解Google表單設定選項的確實用法

例如:某單位於Google表單設計時,誤勾選功能選項,於設定中一般選項內的[顯示摘要圖表及其他作答內容],致使填答者將資料提交後,可經[查看先前的回應]選項,看到先前其他填寫者的填寫內容,因而造成個資外洩。

3.Google表單製作完成發送前,請確實做好相關設定檢查,並實際操作檢驗,確認無風險疑慮再行送出。

 

109.05.25關於QNAP NAS,要更新韌體,有些學校是用這個牌子,還有群暉品牌。

行政院國家資通安全會報技術服務中心

漏洞/資安訊息警訊

發布編號

NCCST-ANA-2020-0050

發布時間

Fri May 22 10:32:23 CST 2020

事件類型

漏洞預警

發現時間

Thu May 21 00:00:00 CST 2020

警訊名稱

QNAP NAS設備存在安全漏洞(CVE-2019-7192、CVE-2019-7193、CVE-2019-7194及CVE-2019-7195),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新

內容說明

研究人員發現QNAP NAS設備使用之Photo Station應用程式,存在任意檔案讀取與程式碼注入等安全漏洞(CVE-2019-7192、CVE-2019-7193、CVE-2019-7194及CVE-2019-7195)。遠端攻擊者可對目標設備發送特製請求,利用此漏洞進而執行任意程式碼。

影響平台

啟用Photo Station應用程式之QNAP設備皆受此漏洞影響

影響等級

建議措施

目前QNAP官方已針對此漏洞釋出更新程式,請各機關聯絡設備維護廠商進行版本確認並將設備更新至以下版本:

QTS:

QTS 4.4.1:build 20190918(含)以後版本

QTS 4.3.6:build 20190919(含)以後版本

Photo Station:

QTS 4.4.1:Photo Station 6.0.3(含)以後版本

QTS 4.3.4 ~ QTS 4.4.0:Photo Station 5.7.10(含)以後版本

QTS 4.3.0 ~ QTS 4.3.3:Photo Station 5.4.9(含)以後版本

QTS 4.2.6:Photo Station 5.2.11(含)以後版本

官方公告連結如下:https://www.qnap.com/zh-tw/security-advisory/nas-201911-25

參考資料

1. https://www.qnap.com/zh-tw/security-advisory/nas-201911-25

2. https://www.ithome.com.tw/news/137748

 

109.03.13(轉知) 如學校有採用中興保全的服務,請盡快更新!!

From: service <service@cert.tanet.edu.tw> Sent: Wednesday, February 12, 2020 1:59 PM To: service@cert.tanet.edu.tw Subject: (ANA事件單通知:TACERT-ANA-2020021201021010)(【漏洞預警】中興保全Dr.ID 門禁考勤系統存在安全漏洞,煩請儘速確認並進行更新)

 

教育機構ANA通報平台

 

發佈編號

 

TACERT-ANA-2020021201021010

 

發佈時間

 

2020-02-12 13:29:11

 

 

事故類型

 

ANA-漏洞預警

 

發現時間

 

2020-02-12 01:26:06

 

 

影響等級

 

     

 

[主旨說明:]【漏洞預警】中興保全Dr.ID 門禁考勤系統存在安全漏洞,煩請儘速確認並進行更新

 

 

[內容說明:]

 


轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202002-0002


 


1、中興保全Dr.ID 門禁考勤系統 - Pre-auth SQL Injection漏洞

 


影響產品:門禁 Ver 3.3.2 考勤 Ver 3.3.0.3_20160517 

 


CVSS3.1:9.8(Critical(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

 


連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910016

 


TVN ID:TVN-201910017  CVE ID:CVE-2020-3933

  


2、中興保全Dr.ID 門禁考勤系統 - 帳號列舉漏洞

 


影響產品:門禁 Ver 3.3.2 考勤 Ver 3.3.0.3_20160517

 


CVSS3.1:5.3(Medium) (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

 


連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910017

 


TVN ID:TVN-201910018

 


CVE ID:CVE-2020-3935



3、中興保全Dr.ID 門禁考勤系統 - 明文儲存密碼

 


影響產品:門禁 Ver 3.3.2 考勤 Ver 3.3.0.3_20160517

 


CVSS3.1:7.5(High) (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

 


連結:https://tvn.twcert.org.tw/taiwanvn/TVN-201910018



此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發。

 

 

[影響平台:]

 


中興保全Dr.ID 門禁考勤系統之門禁 Ver 3.3.2 

 


考勤 Ver 3.3.0.3_20160517

 

 

[建議措施:]

 


請檢視相關產品之版本,並更新到最新版。

 

 

[參考資料:]

 

 

109.03.13(轉知) 微軟遠端桌面有資訊漏洞,恐造成危害,煩請評估是否關閉或以資訊設備協助過濾 

[內容說明:]

轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202002-0558

近期學術網路內發現仍有大量電腦疑似開啟Microsoft Windows遠端桌面服務(Remote Desktop Services,簡稱RDP),預設埠「3389」,因去年遠端桌面服務(RDP)已被通報存在下述安全漏洞,故建議各單位勿開啟遠端桌面協定(RDP),以避免系統遭到入侵。

1、[TACERT-ANA-2019092008094646]研究人員發現遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226),可讓未經身分驗證的遠端攻擊者,透過對目標系統的遠端桌面服務發送特製請求,在不需使用者進行任何操作互動之情況下,達到遠端執行任意程式碼之危害。

2、[TACERT-ANA-2019051502053333]研究人員發現遠端桌面服務存在安全漏洞(CVE-2019-0708),遠端攻擊者可對目標系統之遠端桌面服務發送特製請求,利用此漏洞進而遠端執行任意程式碼。

Microsoft Windows遠端桌面服務(Remote Desktop Services),亦即在Windows Server 2008及更早版本中所稱之終端服務(Terminal Services),該服務允許使用者透過網路連線來遠端操作電腦或虛擬機。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

開啟遠端桌面服務的系統

[建議措施:]

1、建議單位關閉遠端桌面(RDP)服務。

2、定期修補作業系統漏洞。

3、如果確實需要開啟此項服務,建議利用防火牆來限制來源端,設定僅允許管理者的主機可登入,而不要對外完全開放。

[參考資料:]

1. https://thehackernews.com/2019/08/windows-rdp-wormable-flaws.html

2. https://www.ithome.com.tw/news/132413

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222

4. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

5. https://www.nccst.nat.gov.tw/VulnerabilityNewsDetail?lang=zh&seq=1441

6. https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

7. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

108.12.26_Subject: (ANA事件單通知:TACERT-ANA-2019121202121717)(【漏洞預警】Adobe Acrobat與Reader應用程式存在多個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新)

 

教育機構ANA通報平台

發佈編號

TACERT-ANA-2019121202121717

發佈時間

2019-12-12 14:13:18

事故類型

ANA-漏洞預警

發現時間

2019-12-12 01:17:44

影響等級

 

 

[主旨說明:]【漏洞預警】Adobe Acrobat與Reader應用程式存在多個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新

[內容說明:]

轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201912-0362。

 

Adobe釋出的安全性公告中提出Adobe Acrobat與Reader存在越界寫入(Out-of-Bounds Write)、使用釋放後記憶體(Use After Free)、堆積溢位(Heap Overflow)、緩衝區錯誤(Buffer Error)、不可靠的指標反參考(Untrusted Pointer Dereference)及繞過安全性機制(Security Bypass)等漏洞,攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結或檔案,進而導致攻擊者執行任意程式碼。

 

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

以下所有程式的Windows與macOS版本:

1.Continuous track versions:

•Acrobat DC Continuous track versions 2019.021.20056(含)以前版本

•Acrobat Reader DC Continuous track versions 2019.021.20056(含)以前的版本

2.Classic 2017 versions:

•Acrobat 2017 Classic 2017:

 •Windows:versions 2017.011.30152(含)以前版本

 •macOS:versions 2017.011.30155(含)以前版本

•Acrobat Reader 2017 Classic 2017 versions 2017.011.30152(含)以前版本

3.Classic 2015 versions:

•Acrobat DC Classic 2015 versions 2015.006.30505(含)以前版本

•Acrobat Reader DC Classic 2015 versions 2015.006.30505(含)以前版本

[建議措施:]

1.請確認電腦目前使用的版本。若為上述影響版本,請儘速更新至以下版本,檢查方式:啟動Acrobat或Reader程式,點選「說明」→「關於」,確認版本後可點選「說明」→「檢查更新」安裝更新程式。

2.亦可至下列網址進行更新:

(1)Continuous track version更新至2019.021.20058以後版本:

Acrobat DC:

Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6813

macOS User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6819

Acrobat Reader DC:

Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6815

macOS User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6821

(2)Classic 2017 versions更新至2017.011.30156以後版本:

Acrobat 2017:

Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6823

macOS User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6827

Acrobat Reader 2017:

Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6825

macOS User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6829

(3)Classic 2015 versions更新至2015.006.30508以後版本:

Acrobat 2015:

Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6831

macOS User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6835

Acrobat Reader 2015:

Windows User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6833

macOS User:https://supportdownloads.adobe.com/detail.jsp?ftpID=6837

[參考資料:]

1. https://helpx.adobe.com/security/products/acrobat/apsb19-55html

2. https://thehackernews.com/2019/12/adobe-software-update.html

108.12.26【攻擊預警】駭客利用惡意檔案竊取臉書帳號資訊 


教育機構ANA通報平台

發佈編號

TACERT-ANA-2019122610123434

發佈時間

2019-12-26 10:40:35

事故類型

ANA-攻擊預警

發現時間

2019-12-25 01:09:49

影響等級

 

 

[主旨說明:]【攻擊預警】駭客利用惡意檔案竊取臉書帳號資訊

[內容說明:]

轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201912-0001


 

駭客散佈含有木馬的惡意PDF reader檔案,引誘使用者下載執行後,會從瀏覽器的SQL Lite DB中竊取使用者的Facebook sessions cookies,並利用此sessions cookies連線至臉書,獲取使用者Ads Manager 帳戶的敏感資訊,藉以散佈廣告或不實訊息等惡意攻擊。


 

IOCs:


可疑網址與IP:


- smartpdfreader.com, pdfaide.com, pdfguidance.com, ytbticket.com, videossources.com


- www.ipcode.pw, www.gaintt.pw


- 185.130.215.118, 155.138.226.36


 

可疑檔案:


- d56e00af1562ee3890a132cde6a9b8f8a7b68d73c1532ab5dad046c7cf5c20f3

- ede475db32026a207a54ed924aa6e2230911dc1cce95fb0aa3efbdfd5f4de9e1

- a415624fe4fbce9ba381f83573d74f760197ad2371d4e4a390ea5722fad755cb

- 25c60987a0148c19477196257478f14c584600acd742369cb8859256ff005400


 

 

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發。

[影響平台:]

Windows

[建議措施:]

1. 勿隨意點擊下載/執行 來源不明的檔案

2. 防毒軟體定期掃描更新

3. 根據 IOCs 阻擋/偵測異常連線,並檢查電腦系統是否存在惡意程式

[參考資料:]

1. https://www.bleepingcomputer.com/news/security/facebook-ads-manager-targeted-by-new-info-stealing-trojan

2. https://twitter.com/malwrhunterteam/status/1201552349715673088

 

108.06.21【漏洞預警】

Toshiba 和 Brother 印表機Web Services列印存在安全漏洞,攻擊者可利用進行反射放大DDos攻擊。

教育機構ANA通報平台

發佈編號

TACERT-ANA-2019051502053838

發佈時間

2019-05-15 14:38:39

事故類型

ANA-漏洞預警

發現時間

2019-05-08 00:00:00

影響等級

[主旨說明:]【漏洞預警】Toshiba 和 Brother 印表機Web Services列印存在安全漏洞,攻擊者可利用進行反射放大DDos攻擊。

[內容說明:]

轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201905-0001

 

TWCERT/CC接獲國外通報,Toshiba 和 Brother 印表機Web Services列印存在安全漏洞,攻擊者可利用進行反射放大DDos攻擊。 

 

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

Toshiba 和 Brother 印表機

[建議措施:]

建議停用Web Services列印功能,步驟如下: 

Toshiba (TopAccess example): 

1) Log into Web Interface 

2) Go to Administration > Setup > Network 

3) Disable Web Services Print 

4) Click Save and allow the copiers web server to restart

Brother (HL-5470DW model example): 

1) Log into Web interface 

2) Go to Network > Protocol 

3) Uncheck Web Services 

4) Click Submit and allow the copiers web server to restart

[參考資料:]

https://cert.tanet.edu.tw/pdf/TWCERTCC-ANA-201905-0001.txt

...

 

108.06.21【 漏洞預警】

微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新。 

教育機構ANA通報平台

發佈編號

TACERT-ANA-2019051502053333

發佈時間

2019-05-15 14:30:35

事故類型

ANA-漏洞預警

發現時間

2019-05-15 00:00:00

影響等級

[主旨說明:]【漏洞預警】微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新。

[內容說明:]

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201905-0199

 

微軟Windows遠端桌面服務(Remote Desktop Services),在Windows Server 2008前之作業系統中稱為終端服務(Terminal Services),該服務允許使用者透過網路連線進行遠端操作電腦。

研究人員發現遠端桌面服務存在安全漏洞(CVE-2019-0708),遠端攻擊者可對目標系統之遠端桌面服務發送特製請求,利用此漏洞進而遠端執行任意程式碼。

 

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

Windows XP

Windows 7

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

[建議措施:]

目前微軟官方已針對此弱點釋出更新程式,請儘速進行更新:

1.Windows XP與Windows Server 2003作業系統雖已停止支援安全性更新,但微軟仍針對此漏洞釋出更新程式,請至下列連結進行更新:https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

2.作業系統如為Windows 7、Windows Server 2008及Windows Server 2008 R2,請至下列連結進行更新:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

[參考資料:]

1. https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

2. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

...

108.06.10 【漏洞預警】 

Subject: (ANA事件單通知:TACERT-ANA-2019060601065858)(【漏洞預警】京晨科技(NUUO Inc.)網路監控錄影系統(Network Video Recorder, NVR)存在安全漏洞(CVE-2019-9653),允許攻擊者遠端執行系統指令,請儘速確認並進行韌體版本升級)

 

教育機構ANA通報平台

發佈編號

TACERT-ANA-2019060601065858

發佈時間

2019-06-06 13:49:00

事故類型

ANA-漏洞預警

發現時間

2019-05-31 00:00:00

影響等級

[主旨說明:]【漏洞預警】京晨科技(NUUO Inc.)網路監控錄影系統(Network Video Recorder, NVR)存在安全漏洞(CVE-2019-9653),允許攻擊者遠端執行系統指令,請儘速確認並進行韌體版本升級

[內容說明:]

轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201906-0027

 

NUUO NVR是一個以嵌入式Linux為基礎的網路監控錄影系統,可同時管理多個網路攝影機,並將影像回傳至儲存媒體或設備。本中心研究團隊發現多款NUUO NVR產品系統存在安全漏洞(CVE-2019-9653),攻擊者可繞過身分驗證於目標系統上執行任意程式碼。由於NVR系統之handle_load_config.php頁面缺少驗證與檢查機制,攻擊者可透過發送客製化惡意請求,利用此漏洞以管理者權限(root)遠端執行系統指令。

 

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

NUUO NVR相關產品其韌體版本為1.7.x 至 3.3.x版本

[建議措施:]

目前京晨科技官方已有較新版本的韌體釋出,建議將韌體版本升級至最新版本: 

1.使用官方提供之新版本韌體進行更新,下載連結:

https://www.nuuo.com/DownloadMainpage.php

2.針對無法更新之NVR系統,請透過防護設備或系統內部設定限制存取來源,嚴格限制僅管理人員能夠存取系統之handle_load_config.php頁面,並禁止對該頁面發送任何系統指令與傳入特殊字元。

[參考資料:]

1.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9653

2.https://www.nuuo.com/DownloadMainpage.php