國家資通安全研究院 漏洞/資安訊息警訊
發布編號NICS-ANA-2024-0000561
發布時間Fri Sep 27 10:34:09 CST 2024
事件類型 攻擊活動預警
發現時間 Thu Sep 26 00:00:00 CST 2024
警訊名稱
組織型駭客利用物聯網設備建立大規模殭屍網路,恐對我國關鍵基礎設施構成威脅
內容說明
資安院依據美方所公布情資,與中國大陸相關之組織型駭客自2021年以來,透過入侵物聯網設備,建立了龐大的殭屍網路,其規模超過26萬台設備且遍布
全球,受影響設備包括家用或小型路由器、防火牆、網路儲存設備(NAS)等物聯網設備,攻擊者主要利用已知漏洞入侵這些設備,並植入Mirai變種惡意程式。依其攻擊手法、技術與相關基礎設施,推斷與知名網路威脅組織Flax Typhoon、RedJuliett及Ethereal Panda相關。
該殭屍網路可能被用於對我國關鍵基礎設施發動分散式阻斷服務(DDoS)攻擊或作為跳板進行進一步滲透,請各機關清查與阻斷附件所列相關威脅指標( [*].w8510.com ),並參考建議措施加強管控所轄之物聯網設備。
影響平台 無
影響等級 中
建議措施
1.請立即檢查轄下所有物聯網設備韌體,並更新至最新版本,特別注意修補附件中列出的已知漏洞。
2.加強對物聯網設備的安全管控,包括更改預設密碼、關閉不必要的服務與通訊埠、停用或加強管控遠端管理功能、汰換停產(End-of-life)設備及實施網路隔離等。
3.加強對異常網路流量的監控,及時發現並處置潛在殭屍網路活動。
4.依服務需求評估是否部署進階DDoS防禦方案,提升對大規模DDoS攻擊之防護能力。
參考資料
https://media.defense.gov/2024/Sep/18/2003547016/-1/-1/1/CSA-PRC-LINKED-ACTORS-BOTNET.PDF
2024-09-26
弱點通告:Adobe 發布PDF軟體Acrobat及Reader安全更新,建議請管理者儘速評估更新!
風險等級:高度威脅
摘 要:
弱點通告:Adobe 發布PDF軟體Acrobat及Reader安全更新,建議請管理者儘速評估更新!
影響系統:
受影響廠牌如下:
*Acrobat DC (Windows) 24.003.20054(含)之前版本
*Acrobat DC (MacOS) 24.002.21005 (含)之前版本
*Acrobat Reader DC(Windows) 24.003.20054 (含)之前版本
*Acrobat Reader DC(MacOS) 24.002.21005(含)之前版本
*Acrobat 2024 24.001.30159(含)之前版本
*Acrobat 2020 20.005.30655(含)之前版本
*Acrobat Reader 2020 20.005.30655(含)之前版本
解決辦法:
請參考 Adobe 官網下載更新檔 https://helpx.adobe.com/security/products/acrobat/apsb24-70.html 建議更新至Acrobat DC 24.003.20112(含)之後版本 建議更新至Acrobat Reader DC 24.003.20112(含)之後版本 建議更新至Acrobat 2024 24.001.30187(含)之後版本 建議更新至Acrobat 2020 20.005.30680(含)之後版本 建議更新至Acrobat Reader 2020 20.005.30680(含)之後版本
細節描述:
Adobe本周發布安全更新,修補PDF軟體Acrobat及Reader二項可允許執行任意程式碼的重大漏洞。
1.CVE-2024-41869為使用已釋放記憶體(Use After Free)漏洞
該漏洞可能導致在目前使用者的上下文中執行任意程式碼。利用此問題需要用戶交互,受害者必須打開惡意文件。
2.CVE-2024-45112為型態混淆(Type Confusion)漏洞
該漏洞可能導致在目前使用者的上下文中執行任意程式碼。當使用與實際物件類型不相容的類型存取資源時,就會出現此問題,從而導致攻擊者可以利用的邏輯錯誤。利用此問題需要用戶交互,受害者必須打開惡意文件。
其中CVE-2024-41869為資安研究人員Haifei Li發現。他創立的沙箱惡意程式偵測和分析系統Expmon今年稍早接到大量遭植入概念驗證攻擊程式的PDF樣本,意謂該軟體漏洞為零時差漏洞。CVE-2024-45112則由不知名的研究人員通報。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
iThome
Adobe
Tenable
Tenable2
CVE-2024-41869
CVE-2024-45112
2024-09-24
弱點通告:VMware 發布 vCenter Server 和 Cloud Foundation 安全更新,建議請管理者儘速評估更新!
風險等級:高度威脅
摘 要:
弱點通告:VMware 發布 vCenter Server 和 Cloud Foundation 安全更新,建議請管理者儘速評估更新!
影響系統:
受影響廠牌如下:
*VMware vCenter Server 8.0 U3b 之前版本
*VMware vCenter Server 7.0 U3s 之前版本
*VMware Cloud Foundation 5.x 版本
*VMware Cloud Foundation 4.x 版本
解決辦法:
請參考 VMware 官網下載更新檔 https://blogs.vmware.com/cloud-foundation/2024/09/17/vmsa-2024-0019-questions-answers/ 請更新至 VMware vCenter Server 8.0 U3b (含)之後版本 請更新至 VMware vCenter Server 7.0 U3s (含)之後版本 VMware Cloud Foundation 5.x、4.x 版本 請參考官網修復工具KB88287 https://knowledge.broadcom.com/external/article?legacyId=88287
細節描述:
VMware 發布了針對 VMware vCenter Server 的弱點(CVE-2024-38812、CVE-2024-38813)的安全性公告。遠端攻擊者可以利用其中的弱點來控制受影響的系統。
1.VMware vCenter Server 堆疊溢位弱點 (CVE-2024-38812)
已知的攻擊媒介
具有 vCenter Server 網路存取權限的惡意行為者可能會透過傳送特製的網路封包來觸發此弱點,這可能會導致遠端程式碼執行。
2.VMware vCenter 權限提升弱點 (CVE-2024-38813)
已知的攻擊媒介
具有 vCenter Server 網路存取權限的惡意行為者可能會觸發此弱點,透過傳送特製的網路封包將權限升級為 root。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
Broadcom https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968
2024-09-24
病毒通告:BAT.EMANSREPO.A 木馬病毒
風險等級:中度威脅
摘 要:
病毒通告:BAT.EMANSREPO.A 木馬病毒
解決辦法:
步驟1 在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須停用系統還原以允許對其電腦進行完整掃描。
步驟2 請注意,在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有檔案、資料夾以及登錄項目和條目都會安裝在您的電腦上。這可能是由於安裝不完整或其他作業系統條件造成的。如果您沒有找到相同的文件/資料夾/註冊表信息,請繼續執行下一步。
步驟3 搜尋並刪除該文件 %User Temp%\script.ps1
細節描述:
BAT.EMANSREPO.A 被視為一種木馬病毒,該特洛伊木馬間諜程式以其他惡意軟體丟棄的檔案或使用者在造訪惡意網站時無意中下載的檔案的形式到達系統。
該木馬添加了以下進程:
powershell -command "Start-Process powershell -ArgumentList '-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -File "%User Temp%\script.ps1"' -NoNewWindow -Wait"
該木馬會刪除以下檔案:
%User Temp%\script.ps1
該木馬連接到以下網站下載並執行惡意檔案:
http://{BLOCKED}.{BLOCKED}.{BLOCKED}.185/script.ps1
使用以下名稱保存下載的檔案:
%User Temp%\script.ps1 → detected as Trojan.PS1.EMANSREPO.A
該木馬會執行以下操作:
它檢查 %User Temp%\script.ps1 是否存在。
如果沒有,則連接http://{BLOCKED}.{BLOCKED}.{BLOCKED}.185/script.ps1下載惡意腳本,儲存為%User Temp%\script.ps1,執行並刪除之後。
如果存在,它會自行終止。
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
trendmicro https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojan.bat.emansrepo.a
113-09-13弱點通告:Cisco 發布 Smart Licensing Utility 弱點安全性更新,建議請管理者儘速評估更新!
風險等級:高度威脅
摘 要:
弱點通告:Cisco 發布 Smart Licensing Utility 弱點安全性更新,建議請管理者儘速評估更新!
影響系統:
受影響廠牌如下:
Cisco Smart License Utility 2.3.0之前版本
解決辦法:
Cisco Smart License Utility 建議更新至2.3.0或是各版本對應的修補版本。
細節描述:
思科發布了安全性更新,以解決Cisco Smart Licensing Utility中的兩個漏洞(CVE-2024-20439 和 CVE-2024-20440)。網路威脅行為者可以利用這些弱點來控制受影響的系統。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
cisa
cisco
CVE-2024-20440
CVE-2024-20439 https://nvd.nist.gov/vuln/detail/CVE-2024-20439
2024-09-12弱點通告:微軟發佈9月份安全性公告,建議請儘速更新!
風險等級:高度威脅
摘 要:
弱點通告:微軟發佈9月份安全性公告,建議請儘速更新!
影響系統:
受影響廠牌如下:
1.Windows 10 version 1809、Windows 10 version 21H2、Windows 10 version 22H2
2.Windows 11 version 21H2、Windows 11 version 22H2、Windows 11 version 23H2
3.Windows Server 2019、Windows Server 2022
4.Windows Server 2008 (Monthly Rollup)
5.Windows Server 2008 (Security-only update)
解決辦法:詳細資訊請參考微軟官方網站
細節描述:
Microsoft 發佈9月份安全性公告,並同時發布更新以解決 Microsoft 軟體中的多個弱點。攻擊者可以利用其中一些弱點來控制受影響的系統。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
CISA
Microsoft
2024-09-12
弱點通告:Citrix 發佈 Windows 的 Citrix Workspace 應用程式的安全性更新,建議請管理者儘速評估更新!
風險等級:高度威脅
摘 要:
弱點通告:Citrix 發佈 Windows 的 Citrix Workspace 應用程式的安全性更新,建議請管理者儘速評估更新!
影響系統:
受影響廠牌如下:
Windows 2405 之前的 Citrix Workspace 應用程式
Windows 2402 CU1 LTSR 之前的 Citrix Workspace 應用程式
解決辦法:
請參考 Citrix 官網並更新到以下建議版本 (1)Windows 2405 (含)及更高版本的 Citrix Workspace 應用程式 (2)Windows 2402 CU1 LTSR (含)及更高版本的 Citrix Workspace 應用程式
細節描述:適用於 Windows 的 Citrix Workspace 中發現兩個弱點
CVE-2024-7889:若該弱點遭利用,能使本機權限提升,使低權限的使用者獲得 SYSTEM 等級的權限。
CVE-2024-7890:若該弱點遭利用,能使本機權限提升,使低權限的使用者獲得 SYSTEM 等級的權限。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
cisa
Citrix
國家資通安全研究院 漏洞/資安訊息警訊
發布編號 NICS-ANA-2024-0000541
發布時間 Thu Sep 12 14:39:00 CST 2024
事件類型 漏洞預警
發現時間 Wed Sep 11 00:00:00 CST 2024
警訊名稱
SonicOS存在高風險安全漏洞(CVE-2024-40766),請儘速確認並進行修補。
內容說明
研究人員發現SonicOS存在不當存取控制(Improper Access Control)漏洞(CVE-2024-40766),允許未經授權資源存取或於特定條件下導致防火牆失效,該漏洞已遭駭客利用,請儘速確認並進行修補。
影響平台
SonicWall Firewall Gen 5: SonicOS 5.9.2.14-12o(含)以下版本
SonicWall Firewall Gen 6: SonicOS 6.5.4.14-109n(含)以下版本
SonicWall Firewall Gen 7: SonicOS 7.0.1-5035(含)以下版本
影響等級 高
建議措施
官方已針對漏洞釋出修復更新,請參考官方說明進行更新,網址如下:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015
國家資通安全研究院 漏洞/資安訊息警訊
發布編號 NICS-ANA-2024-0000531
發布時間 Tue Sep 10 16:54:02 CST 2024
事件類型 攻擊活動預警
發現時間 Tue Sep 10 00:00:00 CST 2024
警訊名稱
近期駭客針對政府機關網站發起DDoS攻擊,促請各政府機關注意防範
內容說明
資安院接獲外部情資,疑似俄羅斯駭客組織Noname057於網路上張貼攻擊宣言,聲稱已針對台灣多個政府機關網站進行DDoS攻擊,請各級政府機關持續強化分散式阻斷服務攻擊防護能量,並定期監看機關對外服務網站使用情形。
影響平台 所有平台
影響等級 中
建議措施
1.請各機關持續強化資安防護機制與人員資安意識,並觀察機關網站連線、帳號登入等網站使用情形,如有發生任何資安事件,請立即至通報應變網站(https://www.ncert.nat.gov.tw)進行通報。
2.建議可依通報應變網站提供之「政府機關分散式阻斷服務防禦與應變作業程序」進行
防禦作為,以強化機關網站DDoS防禦能力。
參考資料 無
此類通告發送對象為通報應變網站登記之資安人員。若貴 單位之資安人員有變更,可逕自登入通報應變網站(https://www.ncert.nat.gov.tw)進行修改。若您仍為貴單位之資安人員但非本事件之處理人員,請協助將此通告告知相關處理人員。
2024-09-09
弱點通告:Zyxel 近日發布 無線基地台和資安路由器的安全性更新,建議請管理者儘速評估更新!
風險等級:高度威脅
摘 要:
弱點通告:Zyxel 近日發布 無線基地台和資安路由器的安全性更新,建議請管理者儘速評估更新!
影響系統:
受影響廠牌如下:
*NWA50AX 7.00(ABYW.1) (含)之前版本
*NWA50AX PRO 7.00(ACGE.1) (含)之前版本
*NWA55AXE 7.00(ABZL.1) (含)之前版本
*NWA90AX 7.00(ACCV.1) (含)之前版本
*NWA90AX PRO 7.00(ACGF.1) (含)之前版本
*NWA110AX 7.00(ABTG.1) (含)之前版本
*NWA130BE 7.00(ACIL.1) (含)之前版本
*NWA210AX 7.00(ABTD.1) (含)之前版本
*NWA220AX-6E 7.00(ACCO.1) (含)之前版本
*NWA1123-AC PRO 6.28(ABHD.0) (含)之前版本
*NWA1123ACv3 6.70(ABVT.4) (含)之前版本
*WAC500 6.70(ABVS.4) (含)之前版本
*WAC500H 6.70(ABWA.4) (含)之前版本
*WAC6103D-I 6.28(AAXH.0) (含)之前版本
*WAC6502D-S 6.28(AASE.0) (含)之前版本
*WAC6503D-S 6.28(AASF.0) (含)之前版本
*WAC6552D-S 6.28(ABIO.0) (含)之前版本
*WAC6553D-E 6.28(AASG.2) (含)之前版本
*WAX300H 7.00(ACHF.1) (含)之前版本
*WAX510D 7.00(ABTF.1) (含)之前版本
*WAX620D-6E 7.00(ACCN.1) (含)之前版本
*WAX630S 7.00(ABZD.1) (含)之前版本
*WAX640S-6E 7.00(ACCM.1) (含)之前版本
*WAX650S 7.00(ABRM.1) (含)之前版本
*WAX655E 7.00(ACDO.1) (含)之前版本
*WBE530 7.00(ACLE.1) (含)之前版本
*WBE660S 7.00(ACGG.1) (含)之前版本
*USG LITE 60AX V2.00(ACIP.3) (含)之後版本
解決辦法:
請參考 Zyxel 官方網站的說明和處理建議: https://www.zyxel.com/tw/zh/support/security-advisories/zyxel-security-advisory-for-os-command-injection-vulnerability-in-aps-and-security-router-devices-09-03-
細節描述:
Zyxel 已針對部分無線基地台和資安路由器版本中的操作系統 (OS) 命令注入漏洞發布了更新檔。
部分無線基地台和資安路由器版本的 CGI 程式中,參數“host”中的特殊元素未經正確中和,未經身份驗證的攻擊者可能通過向易受攻擊的設備發送Cookie,執行操作系統 (OS) 命令。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
Zyxel
2024-09-09
弱點通告:Cisco 發布 Smart Licensing Utility 安全性更新,建議請管理者儘速評估更新!
風險等級:高度威脅
摘 要:
弱點通告:Cisco 發布 Smart Licensing Utility 安全性更新,建議請管理者儘速評估更新!
影響系統:
受影響廠牌如下:
*Cisco Smart Licensing Utility 2.2.0 (含)之前版本
解決辦法:
建議更新至 Cisco Smart Licensing Utility 2.3.0 (含)之後版本。
細節描述:
Cisco 近期發布更新,以解決授權管理公用程式 (Smart Licensing Utility) 的安全性弱點 (CVE-2024-20439、CVE-2024-20440),該弱點可能允許透過API取得管理員權限,進而取得相關事件記錄檔案、API的帳密資料等機敏資訊。
CVE-2024-20439,靜態憑證弱點。該弱點是由於管理帳戶的未記錄靜態使用者憑證造成的,攻擊者可以藉由使用靜態憑證登入受影響的系統,成功利用可能會允許攻擊者透過應用程式的 API,以管理權限登入受影響的系統。
CVE-2024-20440,資訊洩露弱點。該弱點是由於調試日誌檔案中的詳細資訊過多造成的,攻擊者可以藉由發送偽造 HTTP 請求來利用此弱點,成功利用可能會允許攻擊者取得機敏資訊(包含日誌文件,包括可用於存取 API 的憑證等等)。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊:
iThome
Cisco (sa-cslu) https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cslu-7gHMzWmw
