2024-11-22
病毒通告:TrojanSpy.Win64.BASTRECON.A 木馬病毒
風險等級:中度威脅
影響系統:
解決辦法:
第 1 步:在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須停用系統還原以允許對其電腦進行完整掃描。 第 2 步:在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有檔案、資料夾以及登錄項目和條目都會安裝在您的電腦上。這可能是由於安裝不完整或其他作業系統條件造成的。如果您沒有找到相同的文件/資料夾/登錄檔資訊,請繼續執行下一步。 第 3 步:搜尋並刪除該檔案。 可能有一些檔案被隱藏。請確保選取「更多進階選項」選項中的搜尋隱藏檔案和資料夾複選框,以在搜尋結果中包含所有隱藏檔案和資料夾。 %User Temp%\qwertyuio.txt
細節描述:
TrojanSpy.Win64.BASTRECON.A ,這個木馬病毒會以檔案形式出現在系統中,可能是由其他惡意軟體感染,或是用戶在造訪惡意網站時不知情地下載的檔案。
該木馬病毒新增了以下流程:
cmd.exe /c systeminfo
cmd.exe /c route print
cmd.exe /c ipconfig /all
該木馬病毒會收集受影響電腦上的以下資訊:
User Credentials
Host Name
Domain
Logon Server
OS Information
System Manufacturer
System Model
System Type
Processor Information
BIOS Version
Total/Available Physical Memory
Total/Available/In Use Virtual Memory
Pagefile Location(s)
Hotfixes Installed
Network Card Information
IPv4 Route Table
IPv6 Route Table
Windows Directory
System Directory
Boot Device
System Locale
Input Locale
Time Zone
該木馬病毒將竊取的資訊保存在以下文件中:
%User Temp%\qwertyuio.txt
該木馬病毒會執行以下操作:
它會打開一個名為過濾器更新的視窗,並要求用戶提供憑證。
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
Trend Micro
2024-11-22弱點通告:Palo Alto 產品 PAN-OS 存在多個安全性弱點,建議請管理者儘速評估更新,以降低受駭風險!
風險等級:高度威脅
影響系統:
受影響廠牌如下:
*Palo Alto Networks PAN-OS 11.2.4-h1 之前版本
*Palo Alto Networks PAN-OS 11.1.5-h1 之前版本
*Palo Alto Networks PAN-OS 11.0.6-h1 之前版本
*Palo Alto Networks PAN-OS 10.2.12-h2 之前版本
*Palo Alto Networks PAN-OS 10.1.14-h6 之前版本
解決辦法:
請參考 PaloAlto 官網並依建議方式更新版本。 Palo Alto Networks PAN-OS 11.2.4-h1 (含)之後版本 Palo Alto Networks PAN-OS 11.1.5-h1 (含)之後版本 Palo Alto Networks PAN-OS 11.0.6-h1 (含)之後版本 Palo Alto Networks PAN-OS 10.2.12-h2 (含)之後版本 Palo Alto Networks PAN-OS 10.1.14-h6 (含)之後版本
細節描述:
Palo Alto 已發布安全性更新,以解決包括 PAN-OS 的多個安全性弱點:
1. Palo Alto Networks 產品 PAN-OS 軟體中存在權限提升弱點。該弱點可能允許有權存取管理 Web 介面的 PAN-OS 管理員以 root 權限在防火牆上執行操作。
2. Palo Alto Networks 產品 PAN-OS 軟體中存在驗證弱點。該弱點可能允許未經身份驗證的攻擊者能夠透過網路存取管理 Web 介面,從而獲得 PAN-OS 管理員權限來執行管理操作、異動配置或利用其它經過身份驗證的權限提升弱點。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
CVE-2024-0012
CVE-2024-9474
113.11.21國家資通安全研究院 漏洞/資安訊息警訊
發布編號 NICS-ANA-2024-0000661
發布時間 Thu Nov 21 12:04:54 CST 2024
事件類型 漏洞預警
發現時間 Wed Nov 20 00:00:00 CST2024
警訊名稱
WordPress外掛Really Simple Security存在安全漏洞(CVE-2024-10924),請儘速確認並進行修補
內容說明
WordPress外掛Really Simple Security存在身分鑑別繞過(Authentication Bypass)漏洞(CVE-2024-10924),在雙因子認證功能啟用狀態下,未經身分鑑別之遠端攻擊者可用任意使用者身分登入系統,請儘速確認並進行修補。
影響平台 WordPress外掛Really Simple Security 9.0.0至9.1.1.1版本
影響等級 高
建議措施
官方已針對漏洞釋出修復更新,請更新至以下版本:
WordPress外掛Really Simple Security 9.1.2(含)以後版本
參考資料
1.https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11388
2.https://nvd.nist.gov/vuln/detail/CVE-2024-10924
2024-11-15
弱點通告:Fortinet 發布多個產品的安全性更新,建議請管理者儘速評估更新!
風險等級:高度威脅
影響系統:
受影響廠牌如下:
*FortiClientWindows 6.4全部版本
*FortiClientWindows 7.0版本 7.0.0至7.0.12(含)
*FortiClientWindows 7.2版本 7.2.0至7.2.4(含)
*FortiClientWindows 7.4版本 7.4.0(含)
*FortiOS 7.0 版本 7.0.0至7.0.13(含)
*FortiOS 7.2 版本 7.2.0至7.2.7(含)
*FortiOS 7.4 版本 7.4.0至7.4.3(含)
*FortiManager 6.4版本 6.4.0至6.4.14(含)
*FortiManager 7.0版本 7.0.0至7.0.11(含)
*FortiManager 7.2版本 7.2.0至7.2.4(含)
*FortiManager 7.4版本 7.4.0至7.4.1(含)
*FortiAnalyzer 6.4版本 6.4.0至6.4.14(含)
*FortiAnalyzer 7.0版本 7.0.0至7.0.11(含)
*FortiAnalyzer 7.2版本 7.2.0至7.2.4(含)
*FortiAnalyzer 7.4版本 7.4.0至7.4.1(含)
*FortiAnalyzer-BigData 6.2 全部版本
*FortiAnalyzer-BigData 6.4 全部版本
*FortiAnalyzer-BigData 7.0 全部版本
*FortiAnalyzer-BigData 7.2 版本 7.2.0至7.2.6(含)
*FortiAnalyzer-BigData 7.4 版本 7.4.0(含)
解決辦法:
請參考 Fortinet官網並依建議方式處理更新至最新版本。 更詳細資訊請參考官網說明。 (1) FortiClientWindows 6.4版升版至已修補版本 (2) FortiClientWindows 7.0版更新至 7.0.13 (含) 之後的版本 (3) FortiClientWindows 7.2版更新至 7.2.5 (含) 之後的版本 (4) FortiClientWindows 7.4版更新至 7.4.1 (含) 之後的版本 (5) FortiOS 7.0 版更新至 7.0.14 (含) 之後的版本 (6) FortiOS 7.2 版更新至 7.2.8 (含) 之後的版本 (7) FortiOS 7.4 版更新至 7.4.4 (含) 之後的版本 (8) FortiManager 6.4 版更新至 6.4.15 (含) 之後的版本 (9) FortiManager 7.0 版更新至 7.0.13 (含) 之後的版本 (10) FortiManager 7.2 版更新至 7.2.6 (含) 之後的版本 (11) FortiManager 7.4 版更新至 7.4.3 (含) 之後的版本 (12) FortiAnalyzer 6.4 版更新至 6.4.15 (含) 之後的版本 (13) FortiAnalyzer 7.0 版更新至 7.0.13 (含) 之後的版本 (14) FortiAnalyzer 7.2 版更新至 7.2.6 (含) 之後的版本 (15) FortiAnalyzer 7.4 版更新至 7.4.3 (含) 之後的版本 (16) FortiAnalyzer-BigData 6.2 版升版至已修補版本 (17) FortiAnalyzer-BigData 6.4 版升版至已修補版本 (18) FortiAnalyzer-BigData 7.0 版升版至已修補版本 (19) FortiAnalyzer-BigData 7.2 版更新至 7.2.7 (含) 之後的版本 (20) FortiAnalyzer-BigData 7.4 版更新至 7.4.1 (含) 之後的版本
細節描述:
Fortinet 已發布安全性更新,以解決包括 FortiOS 在內的多個產品中的漏洞:
1. FortiClient Windows 中的權限上下文切換錯誤漏洞,可能允許經過驗證的使用者透過 lua 自動修補腳本升級其權限。
2. FortiOS 中的會話固定漏洞,可能允許未經身份驗證的攻擊者透過網路釣魚 SAML 身份驗證連結劫持使用者會話。
3. FortiAnalyzer 中伺服器端安全漏洞,用戶端強制執行可能允許至少具有唯讀權限的經過驗證的攻擊者透過精心設計的請求執行敏感操作。
4. 使用 FortiClient Windows 中的備用路徑或通道漏洞進行身份驗證繞過,可能允許低權限攻擊者透過欺騙性命名管道訊息以高權限執行任意程式碼。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
cisa
Fortinet1
Fortinet2
Fortinet3
Fortinet4
2024-11-14
弱點通告:Adobe 發布Photoshop 安全更新,建議請管理者儘速評估更新!
風險等級:高度威脅
影響系統:
受影響廠牌如下:
*Photoshop 2023-24.7.3(含)之前版本
*Photoshop 2024-25.11(含)之前版本
解決辦法:
請參考 Adobe 官網下載更新檔 https://helpx.adobe.com/security/products/photoshop/apsb24-89.html (1)Photoshop 2023-24.7.4(含)之後版本 (2)Photoshop 2024-25.12(含)之後版本
細節描述:
Adobe 發布了適用於 Windows 和 macOS 的 Photoshop 更新。此更新解決了嚴重漏洞。 成功利用可能會導致任意程式碼執行。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
adobe
2024-11-14
弱點通告:微軟發佈11月份安全性公告,建議請儘速更新!
風險等級:高度威脅
影響系統:
受影響廠牌如下:
*Windows Server 2012、Windows Server 2012 R2
*Windows Server 2016
*Windows Server 2019
*Windows Server 2022、Windows Server 2022
*23H2
*Windows Server 2025
解決辦法:詳細資訊請參考微軟官方網站
細節描述:
Microsoft 發佈11月份安全性公告,並同時發布更新以解決 Microsoft 軟體中的多個弱點。攻擊者可以利用其中一些弱點來控制受影響的系統。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
cisa
microsoft
2024-11-14
弱點通告:Citrix 發佈 NetScaler 和 Citrix Session Recording 的安全性更新,建議請管理者儘速評估更新!
風險等級:高度威脅
影響系統:
受影響廠牌如下:
*NetScaler ADC 和 NetScaler Gateway 14.1 14.1-29.72 之前的版本
*NetScaler ADC 和 NetScaler Gateway 13.1 13.1-55.34 之前的版本
*NetScaler ADC 13.1-FIPS 13.1-37.207 之前的版本
*NetScaler ADC 12.1-FIPS 12.1-55.321 之前的版本
*NetScaler ADC 12.1-NDcPP 12.1-55.321 之前的版本
*Citrix Virtual Apps and Desktops 2407 hotfix 24.5.200.8 之前的版本
*Citrix Virtual Apps and Desktops 1912 LTSR CU9 hotfix 19.12.9100.6 之前的版本
*Citrix Virtual Apps and Desktops 2203 LTSR CU5 hotfix 22.03.5100.11 之前的版本
*Citrix Virtual Apps and Desktops 2402 LTSR CU1 hotfix 24.02.1200.16 之前的版本
解決辦法:
請參考 Citrix 官網並更新到以下建議版本 (1)NetScaler ADC 和 NetScaler Gateway: NetScaler ADC 和 NetScaler Gateway 14.1-29.72 (含)之後的版本 NetScaler ADC 和 NetScaler Gateway 13.1-55.34 (含)之後的版本 NetScaler ADC 13.1-FIPS 13.1-37.207 (含)之後的版本 NetScaler ADC 12.1-FIPS 12.1-55.321 (含)之後的版本 NetScaler ADC 12.1-NDcPP 12.1-55.321 (含)之後的版本 (2)Citrix Session Recording: (CR)版本 Citrix Virtual Apps and Desktops 2407 修補程式 24.5.200.8 (含)之後的版本 (LTSR)版本 Citrix Virtual Apps and Desktops 1912 LTSR CU9 修補程式 19.12.9100.6 (含)之後的版本 Citrix Virtual Apps and Desktops 2203 LTSR CU5 修補程式 22.03.5100.11 (含)之後的版本 Citrix Virtual Apps and Desktops 2402 LTSR CU1 修補程式 24.02.1200.16 (含)之後的版本
細節描述:
Citrix 發布了安全性更新來解決 NetScaler 和 Citrix Session Recording 中的多個弱點。
攻擊者可能會利用其中一些弱點導致拒絕服務情況。
NetScaler ADC 和 NetScaler Gateway 已發現存在弱點
(CVE-2024-8534)該弱點屬於記憶體安全弱點,成功利用可導致記憶體損壞和阻斷服務。
(CVE-2024-8535)此弱點的出現是由於競爭條件導致經過身份驗證的用戶獲得非預期的用戶功能。
Citrix Session Recording 已發現存在弱點
(CVE-2024-8068)當攻擊者是與會話記錄伺服器網域位於相同 Windows Active Directory 網域中的經過驗證的使用者時,權限會升級為 Citrix Session Recording 中的 NetworkService 帳戶存取權限。
(CVE-2024-8068)如果攻擊者是與會話記錄伺服器位於同一 Intranet 上的經過驗證的用戶,則使用 Citrix Session Recording 中的 NetworkService 帳戶存取權進行有限的遠端程式碼執行。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
cisa
citrixCTX691608
citrixCTX691941 https://support.citrix.com/s/article/CTX691941-citrix-session-recording-security-bulletin-for-cve20248068-and-cve20248069?language=en_US
2024-11-08
弱點通告:Cisco 發布 Ultra-Reliable Wireless Backhaul(URWB) 軟體安全更新,建議請使用者儘速評估更新!
風險等級:高度威脅
影響系統:
受影響廠牌:Cisco Unified Industrial Wireless Software Release 17.15.1 之前版本
解決辦法:建議更新至 Cisco Unified Industrial Wireless Software Release 17.15.1(含)之後版本。
細節描述:
11月6日思科發布資安公告,在 Cisco Ultra-Reliable Wireless Backhaul (URWB) 接入點的 Cisco 統一工業無線軟體的基於網頁管理介面中存在一個弱點,攻擊者可在未經授權的情況下,遠端使用root權限在底層作業系統上以 root 權限執行指令注入攻擊。
該弱點是由於未正確驗證網頁管理介面輸入而引起的。攻擊者可以通過向受影響系統的網頁管理介面發送HTTP 請求來利用此弱點。成功利用此弱點的攻擊者可能在受影響設備的底層作業系統上執行任意命令,並擁有 root 權限。
若要利用這項弱點,目標路由器必須啟用URWB模式。未在 URWB 模式下運作的 Cisco 產品不受此弱點的影響。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
Cisco
iTome
113.11.07
國家資通安全研究院(事件編號:NICS-ANA-2024-0000651)
國家資通安全研究院 漏洞/資安訊息警訊
發布編號 NICS-ANA-2024-0000651
發布時間Thu Nov 07 17:59:18 CST 2024
事件類型 漏洞預警
發現時間 Thu Nov 07 00:00:00 CST2024
警訊名稱
葳橋資訊行政管理資訊系統存在安全漏洞(CVE-2024-10200、
CVE-2024-10201及CVE-2024-10202),請儘速確認並進行修補
內容說明
近期研究人員發現橋資訊行政管理資訊系統存在數個安全漏洞
(CVE-2024-10200、CVE-2024-10201及CVE-2024-10202),針對CVE-2024-10200,攻擊者在不需身分鑑別的情況下可讀取任意系統檔案;而針對CVE-2024-10201與CVE-2024-10202,攻擊者在取得一般權限後,可遠端執行任意程式碼,請儘速確認並進行修補。
影響平台 葳橋資訊行政管理資訊系統
影響等級 高
建議措施 官方已針對漏洞釋出修復更新,請聯繫廠商進行修補。
參考資料
1.https://www.twcert.org.tw/tw/cp-132-8159-0f7a2-1.html
2.https://www.twcert.org.tw/tw/cp-132-8160-756b6-1.html
3.https://www.twcert.org.tw/tw/cp-132-8162-dc491-1.html
4.https://nvd.nist.gov/vuln/detail/CVE-2024-10200
5.https://nvd.nist.gov/vuln/detail/CVE-2024-10201
6.https://nvd.nist.gov/vuln/detail/CVE-2024-10202
