國家資通安全研究院
漏洞/資安訊息警訊
發布編號:NICS-ANA-2024-0000363
發布時間:113.06.25
警訊名稱:VMware vCenter Server存在高風險安全漏洞(CVE-2024-37079與CVE-2024-37080),請儘速確認並進行修補
內容說明:研究人員發現VMware vCenter Server存在堆積緩衝區溢位(HeapBuffer Overflow)漏洞(CVE-2024-37079與CVE-2024-37080),未經身分鑑別之遠端攻擊者可藉由發送偽造封包觸發此漏洞,進而利用此漏洞遠端執行任意程式碼,請儘速確認
並進行修補。
影響平台:
* vCenter Server 7.0
*vCenter Server 8.0
*Cloud Foundation (vCenter Server) 4.x
*Cloud Foundation (vCenter Server) 5.x
影響等級:高
建議措施:官方已針對漏洞釋出修復更新,請參考官方說明進行更新,網址如下:
https://support.broadcom.com/web/ecx/support-content-notification/-/external
/content/SecurityAdvisories/0/24453
參考資料:
1.https://nvd.nist.gov/vuln/detail/CVE-2024-37079
2.https://nvd.nist.gov/vuln/detail/CVE-2024-37080
3.https://support.broadcom.com/web/ecx/support-content-notification/-/extern
al/content/SecurityAdvisories/0/24453
國家資通安全研究院
漏洞/資安訊息警訊
發布編號:NICS-ANA-2024-0000362
發布時間:113.06.25
警訊名稱:Windows Error Reporting Service存在高風險安全漏洞(CVE-2024-26169),請儘速確認並進行修補
內容說明:研究人員發現Windows Error Reporting Service存在本地提權(Local Privilege Escalation)漏洞(CVE-2024-26169),已取得一般權限之本機端攻擊
者可利用此漏洞提升至管理者權限。該漏洞已遭駭客利用,請儘速確認並進行修補。
影響平台:
*Windows 10 for 32-bit Systems
*Windows 10 for x64-based Systems
*Windows 10 Version 1607 for 32-bit Systems
*Windows 10 Version 1607 for x64-based Systems
*Windows 10 Version 1809 for 32-bit Systems
*Windows 10 Version 1809 for ARM64-based Systems
*Windows 10 Version 1809 for x64-based Systems
*Windows 10 Version 21H2 for 32-bit Systems
*Windows 10 Version 21H2 for ARM64-based Systems
*Windows 10 Version 21H2 for x64-based Systems
*Windows 10 Version 22H2 for 32-bit Systems
*Windows 10 Version 22H2 for ARM64-based Systems
*Windows 10 Version 22H2 for x64-based Systems
*Windows 11 version 21H2 for ARM64-based Systems
*Windows 11 version 21H2 for x64-based Systems
*Windows 11 Version 22H2 for ARM64-based Systems
*Windows 11 Version 22H2 for x64-based Systems
*Windows 11 Version 23H2 for ARM64-based Systems
*Windows 11 Version 23H2 for x64-based Systems
*Windows Server 2012 R2
*Windows Server 2012 R2 (Server Core installation)
*Windows Server 2016
*Windows Server 2016 (Server Core installation)
*Windows Server 2019
*Windows Server 2019 (Server Core installation)
*Windows Server 2022
*Windows Server 2022 (Server Core installation)
*Windows Server 2022, 23H2 Edition (Server Core installation)
影響等級:高
建議措施:官方已針對漏洞釋出修復更新,請參考官方說明進行更新,網址如下:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26169
參考資料:
1.https://nvd.nist.gov/vuln/detail/CVE-2024-26169
2.https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26169
3.https://vulcan.io/blog/how-to-fix-cve-2024-26169/
病毒通告:Backdoor.ASP.WEBSHELL.X 惡意病毒
發布日期:113.06.21
風險等級:低度威脅
解決辦法:
步驟1: 在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須停用系統還原以允許對其電腦進行全面掃描。
第2步 : 使用防毒軟體掃描您的主機,刪除偵測為 Backdoor.ASP.WEBSHELL.X 的檔案。如果偵測到的檔案已被防毒軟體清理、刪除或隔離,則無需執行進一步的步驟。您可以選擇只刪除隔離的檔案。
細節描述:Backdoor.ASP.WEBSHELL.X 被視為一種惡意病毒,該後門程式以其他惡意軟體丟棄的檔案或使用者在存取惡意網站時無意中下載的檔案的形式進入受影響系統。它執行來自遠端惡意使用者的指令,有效地損害受影響的系統。
*該後門程式執行來自遠端惡意使用者的以下命令:
1.執行任意指令
2.執行SQL指令
3.瀏覽 Web 伺服器上的檔案和目錄。
4.將檔案上傳到伺服器。
5.從伺服器下載檔案。
6.建立新檔案和目錄。
7.編輯現有檔案。
8.刪除檔案和目錄。
9.更改檔案屬性(唯讀、隱藏、系統、存檔)。
*此後門程式收集以下資訊:
1.伺服器的IP位址
2.設備主機名稱
3.網路名稱
4.執行帳戶名稱
5.作業系統版本
6.伺服器正常運作時間和當前時間
7.IIS(網頁伺服器)版本
8.HTTPS 狀態
9.存取路徑
10.伺服器連接埠
11.Seesion ID
*此後門程式執行以下操作:
它接收透過其請求參數傳遞的任意指令。
它需要登入憑證才能存取其功能。
當點擊“lake”超連結時,它會轉址到指定的網站。
http://{BLOCKED}2.0x54.org
參考資訊:
trendmicro
弱點通告:微軟發佈6月份安全性公告,建議請儘速更新!
發布時間:113.6.13
風險等級:高度威脅
影響系統:
受影響廠牌如下:
*Windows 10 version 21H2、Windows 10 version 22H2
*Windows 11 version 21H2
*Windows Server 2022
*Windows Server 2008 (Monthly Rollup)
*Windows Server 2008 (Security-only update)
解決辦法:詳細資訊請參考微軟官方網站
細節描述:Microsoft 發佈6月份安全性公告,並同時發布更新以解決 Microsoft 軟體中的多個弱點。攻擊者可以利用其中一些弱點來控制受影響的系統。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
CISA
Microsoft
弱點通告:Fortinet 發布 FortiOS 安全更新,建議請管理者儘速評估更新!
發布時間:113.6.13
風險等級:高度威脅
影響系統:
受影響廠牌如下:
*FortiOS 版本 7.4.0 至 7.4.2(含)
*FortiOS 版本 7.2.0 至 7.2.6(含)
*FortiOS 版本 7.0.0 至 7.0.13(含)
*FortiOS 版本 6.4.0 至 6.4.14(含)
*FortiOS 版本 6.2.0 至 6.2.15(含)
*FortiOS 6.0 全部版本
解決辦法:請參考 Fortinet官網並依建議方式處理更新至最新版本。 更詳細資訊請參考官網說明。
(1) FortiOS 7.4 版更新至 7.4.3 (含) 之後的版本
(2) FortiOS 7.2 版更新至 7.2.7 (含) 之後的版本
(3) FortiOS 7.0 版更新至 7.0.14 (含) 之後的版本
(4) FortiOS 6.4 版更新至 6.4.15 (含) 之後的版本
(5) FortiOS 6.2 版更新至 6.2.16 (含) 之後的版本
(6) FortiOS 6.0 版建議轉移到其它已修復版本號上
細節描述:FortiOS 的命令列解譯器中有多個基於堆疊的緩衝區溢位弱點 [CWE-121],可能會讓已驗證的攻擊者透過特製的命令列參數執行未經授權的程式碼或命令。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:FG-IR-23-460
國家資通安全研究院
漏洞/資安訊息警訊
發布編號:NICS-ANA-2024-0000342
發布時間:113.06.13
警訊名稱: Linux Kernel存在高風險安全漏洞(CVE-2024-1086),請儘速確認並進行修補
內容說明: 研究人員發現Linux Kernel存在記憶體釋放後使用(Use AfterFree)漏洞(CVE-2024-1086),已取得一般權限之本機攻擊者可利用此漏洞提升至管理者
權限。該漏洞已遭駭客利用,請儘速確認並進行更新。
影響平台:多個Linux作業系統皆有受到影響,如Redhat、Ubuntu、Debian及CentOS等
以下Linux Kernel版本存在漏洞:
3.15至5.15.149(不含)版本
6.1至6.1.76(不含)版本
6.2至6.6.15(不含)版本
6.7至6.7.3(不含)版本
6.8-rc1
影響等級:高
建議措施:官方已針對漏洞釋出更新,請參考以下官方說明:
*Redhat: https://access.redhat.com/security/cve/CVE-2024-1086
*Ubuntu: https://ubuntu.com/security/CVE-2024-1086
*Debian: https://security-tracker.debian.org/tracker/CVE-2024-1086
*CentOS:https://lists.centos.org/pipermail/centos-announce/2024-March/099235.html
*Uniontech:https://src.uniontech.com/#/security_advisory_detail?utsa_id=UTSA-2024-00063
3
*Kylinos: https://kylinos.cn/support/loophole/patch/5561.html
*Fedora:https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorap
roject.org/message/7LSPIOMIJYTLZB6QKPQVVAYSUETUWKPF/
參考資料:
1.https://nvd.nist.gov/vuln/detail/CVE-2024-1086
2.https://access.redhat.com/security/cve/CVE-2024-1086
3.https://ubuntu.com/security/CVE-2024-1086
4.https://security-tracker.debian.org/tracker/CVE-2024-1086
5.https://lists.centos.org/pipermail/centos-announce/2024-March/099235.html
6.https://src.uniontech.com/#/security_advisory_detail?utsa_id=UTSA-2024-000
633
7.https://kylinos.cn/support/loophole/patch/5561.html
8.https://lists.fedoraproject.org/archives/list/package-announce@lists.fedor
aproject.org/message/7LSPIOMIJYTLZB6QKPQVVAYSUETUWKPF/
國家資通安全研究院
漏洞/資安訊息警訊
發布編號:NICS-ANA-2024-0000341
發布時間:113.06.13
警訊名稱:Check Point VPN Gateway存在高風險安全漏洞(CVE-2024-24919),請儘速確認並進行修補
內容說明 研究人員發現Check Point VPN Gateway存在路徑遍歷(PathTraversal)漏洞(CVE-2024-24919),未經身分鑑別之遠端攻擊者可發送偽造請求取得任意系統檔案。該漏洞已遭駭客利用,請儘速確認並進行修補。
影響平台:
*CloudGuard Network、Quantum Maestro、Quantum *Scalable Chassis、Quantum
*Security Gateways及Quantum Spark Appliances
影響版本:
*R77.20(EOL)、R77.30(EOL)、R80.10(EOL)、*R80.20(EOL)、R80.20.x、
*R80.20SP(EOL)、R80.30(EOL)、R80.30SP(EOL)、*R80.40(EOL)、R81、R81.10、R81.10.x及R81.20
影響等級:高
建議措施: 官方已針對漏洞釋出修補程式,請參考官方說明進行修補,網址如下: https://support.checkpoint.com/results/sk/sk182336
參考資料:
1.https://nvd.nist.gov/vuln/detail/CVE-2024-24919
2.https://support.checkpoint.com/results/sk/sk182336
3.https://www.truesec.com/hub/blog/check-point-ssl-vpn-cve-2024-24919-from-a
n-incident-response-perspective
4.https://www.greynoise.io/blog/whats-going-on-with-checkpoint-cve-2024-24919
弱點通告:PHP 遠端程式碼執行 (CVE-2024-4577) - PHP CGI 參數注入漏洞,建議請管理者儘速評估更新!
發布時間:103.6.11
風險等級: 高度威脅
摘 要: 弱點通告:PHP 遠端程式碼執行 (CVE-2024-4577) - PHP CGI 參數注入漏洞,建議請管理者儘速評估更新!
影響系統:
*PHP 8.3.8 之前版本
*PHP 8.2.20 之前版本
*PHP 8.1.29 之前版本
解決辦法:建議所有使用者請依照 PHP 官網更新至以下建議版本 PHP 8.3.8 (含)之後版本 PHP 8.2.20 (含)之後版本 PHP 8.1.29 (含)之後版本
細節描述:Devcore研究團隊在進行前瞻攻擊研究期間,發現 PHP 程式語言存在遠端程式碼執行弱點,基於 PHP 在網站生態使用的廣泛性以及此弱點之易重現性,研究團隊將此弱點標記為嚴重、並在第一時間回報給 PHP 官方。
弱點描述:PHP 程式語言在設計時忽略 Windows 作業系統內部對字元編碼轉換的 Best-Fit 特性,導致未認證的攻擊者可透過特定的字元序列繞過舊有 CVE-2012-1823 的保護;透過參數注入等攻擊在遠端 PHP 伺服器上執行任意程式碼。
如何確認自己易遭受攻擊?
1.將 PHP 設定於 CGI 模式下執行
在 Apache Httpd 設定檔中透過 Action 語法將對應的 HTTP 請求交給 PHP-CGI 執行檔處理時,受此弱點影響
2.將 PHP 執行檔暴露在外 (XAMPP 預設安裝設定)
即使未設定 PHP 於 CGI 模式下執行,僅將 PHP 執行檔暴露在 CGI 目錄下也受此弱點影響
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊: devcore
事件通告:中華資安國際發現CVE弱點,國內某身分認證系統具有多項漏洞
發布時間:113.06.07
風險等級: 中度威脅
事件通告:中華資安國際發現CVE弱點,國內某身分認證系統具有多項漏洞
【影響範圍】:IDEXPERT身分認證系統2.7.3.231030前的版本
【細節描述】:中華資安國際Red Team團隊發現,國內某身分認證系統具有多項漏洞(N/A、N/A),包括LFI、XSS弱點,影響範圍包含部分國內外知名大型科技業、金融業、政府單位、醫療產業、中小企業…等。 漏洞1:未考量機敏檔案的存取控制,經由操弄特定參數,可取得伺服器主機上的任意檔案,包含JSP檔原始碼、設定檔、甚至binary檔...等機敏資訊。恐無法維護資訊的機敏性,可能使產品用戶蒙受損失。 漏洞2:未於server端驗證輸入值是否存在不合規字元(例如角括號),且使用字串組合的方式來建立HTML原始碼,所引發的弱點。恐造成client端瀏覽器陷入威脅,可能使產品用戶蒙受損失。 開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用此身分認證系統,建議儘快聯繫廠商進行修補更新。 HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。 https://hisecure.hinet.net/secureinfo/hotnews.php
【建議措施】:聯繫廠商盡速安裝修補更新檔。
參考資訊: 中華資安國際
事件通告:中華資安國際發現CVE弱點,國內某身分認證系統具有多項漏洞
發布時間:2024-06-07
風險等級:中度威脅
事件通告:中華資安國際發現CVE弱點,國內某身分認證系統具有多項漏洞
【影響範圍】:IDEXPERT身分認證系統2.7.3.231030前的版本
【細節描述】:中華資安國際Red Team團隊發現,國內某身分認證系統具有多項漏洞(N/A、N/A),包括LFI、XSS弱點,影響範圍包含部分國內外知名大型科技業、金融業、政府單位、醫療產業、中小企業…等。 漏洞1:未考量機敏檔案的存取控制,經由操弄特定參數,可取得伺服器主機上的任意檔案,包含JSP檔原始碼、設定檔、甚至binary檔...等機敏資訊。恐無法維護資訊的機敏性,可能使產品用戶蒙受損失。 漏洞2:未於server端驗證輸入值是否存在不合規字元(例如角括號),且使用字串組合的方式來建立HTML原始碼,所引發的弱點。恐造成client端瀏覽器陷入威脅,可能使產品用戶蒙受損失。 開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用此身分認證系統,建議儘快聯繫廠商進行修補更新。 HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。 https://hisecure.hinet.net/secureinfo/hotnews.php
【建議措施】使用者:聯繫廠商盡速安裝修補更新檔。
參考資訊:中華資安國際
國家資通安全研究院
漏洞/資安訊息警訊
發布編號:NICS-ANA-2024-0000331
發布時間:113.06.07
警訊名稱:PHP存在高風險安全漏洞(CVE-2024-4577),請儘速確認並進行修補
內容說明: 研究人員發現PHP存在引數注入(Argument Injection)漏洞(CVE-2024-4577),未經身分鑑別之遠端攻擊者可透過特定字元序列繞過舊有CVE-2012-1823弱點修補後之保護,並透過引數注入等攻擊於遠端PHP伺服器上執行任意程式碼,請儘速確認並進行修補。
影響平台:
*PHP 8.3分支:8.3.8(不含)以下版本
*PHP 8.2分支:8.2.20(不含)以下版本
*PHP 8.1分支:8.1.29(不含)以下版本
*PHP 8.0分支所有版本
*PHP 7所有版本
*PHP 5所有版本
影響等級:高
建議措施:官方已針對漏洞釋出修復更新,請更新至以下版本:
*PHP 8.3分支請更新至8.3.8(含)以上版本
*PHP 8.2分支請更新至8.2.20(含)以上版本
*PHP 8.1分支請更新至8.1.29(含)以上版本
針對PHP 8.0、7及5 官方已不再維護,建議更換至仍在維護之版本
*若無法更新PHP,可參考以下緩解方式:
https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argume
nt-injection-vulnerability/#1-對無法更新-
php-的使用者
*如使用XAMPP for Windows版本,可參考以下說明:
https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argume
nt-injection-vulnerability/#2-對-xampp-for-windows-使用
者
參考資料:
1.https://github.com/php/php-src/security/advisories/GHSA-3qgc-jrrr-25jv
2.https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argume
nt-injection-vulnerability/
國家資通安全研究院 漏洞/資安訊息警訊
發布編號:NICS-ANA-2024-0000322
發布時間:113.06.04
警訊名稱: 以Chromium為基礎之瀏覽器存在安全漏洞(CVE-2024-5274),請儘速確認並進行修補。
內容說明:研究人員發現Google Chrome、Microsoft Edge、Vivaldi、Brave及Opera等以Chromium為基礎之瀏覽器存在類型混淆(Type Confusion)漏洞(CVE-2024-5274),遠端攻擊者可藉由利用此漏洞於沙箱內執行任意程式碼,該漏洞已遭駭客利用,請儘速確認並進行修補。
影響平台:
*Google Chrome 125.0.6422.112(不含)以下版本
*Microsoft Edge(Based on Chromium) 125.0.2535.67(不含)以下版本
*Vivaldi 6.7.3329.35(不含)以下版本
*Brave 1.66.115(不含)以下版本
*Opera stable 110.0.5130.39(不含)以下版本
影響等級:高
建議措施:
1.請更新Google Chrome瀏覽器至125.0.6422.112(含)以上版本
https://support.google.com/chrome/answer/95414?hl=zh-Hant
2.請更新Microsoft Edge瀏覽器至125.0.2535.67(含)以上版本
https://support.microsoft.com/zh-tw/topic/microsoft-edge-更新%
E8定-af8aaca2-1b69-4870-94fe-18822dbb7ef1
3.請更新Vivaldi瀏覽器至6.7.3329.35(含)以上版本
https://help.vivaldi.com/desktop/install-update/update-vivaldi/
4.請更新Brave瀏覽器至1.66.115(含)以上版本
https://community.brave.com/t/how-to-update-brave/384780
5.請更新Opera stable瀏覽器至110.0.5130.39(含)以上版本
https://help.opera.com/en/latest/crashes-and-issues/
參考資料:
1.https://nvd.nist.gov/vuln/detail/CVE-2024-5274
2.https://support.microsoft.com/zh-tw/topic/microsoft-edge-更新設定-af8aaca2-1b69-4870-94fe-18822dbb7ef1
3.https://support.google.com/chrome/answer/95414?hl=zh-Hant
4.https://help.vivaldi.com/desktop/install-update/update-vivaldi/
5.https://community.brave.com/t/how-to-update-brave/384780
6.https://help.opera.com/en/latest/crashes-and-issues/
7.https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-de
sktop_23.html
8.https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-5274
9.https://vivaldi.com/blog/desktop/minor-update-seven-6-7/
10.https://community.brave.com/t/release-channel-1-66-115/550022
11.https://blogs.opera.com/desktop/2024/05/opera-110-0-5130-39-stable-update/
