2020/10/14

Juniper SRX系列設備之Junos OS存在安全漏洞(CVE-2020-1647與CVE-2020-1654)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新

內容說明：

研究人員發現Juniper SRX系列設備在有開啟ICAP (Internet Content Adaptation Protocol) Redirect服務的狀態下存在安全漏洞(CVE-2020-1647與CVE-2020-1654)。遠端攻擊者可對目標設備發送特製請求，利用此漏洞進而執行任意程式碼或造成阻斷服務攻擊。

目前已知影響平台如下：

若設備之Junos OS符合以下版本號碼且開啟ICAP Redirect服務，則受CVE-2020-1647影響：
18.1：18.1R3-S9以前版本
18.2：18.2R3-S3以前版本
18.3：18.3R2-S4與18.3R3-S1以前版本
18.4：18.4R2-S5與18.4R3以前版本
19.1：19.1R2以前版本
19.2：19.2R1-S2與19.2R2以前版本
19.3：19.3R2以前版本
若設備之Junos OS符合以下版本號碼且開啟ICAP Redirect服務，則受CVE-2020-1654影響：
18.1：18.1R3-S9以前版本
18.2：18.2R2-S7與18.2R3-S3以前版本
18.3：18.3R1-S7、18.3R2-S4及18.3R3-S1以前版本
18.4：18.4R1-S7、18.4R2-S4及18.4R3以前版本
19.1：19.1R1-S5、19.1R2以前版本
19.2：19.2R1-S2、19.2R2以前版本
19.3：19.3R2以前版本

建議措施：

目前Juniper官方已針對此弱點釋出更新程式，請各機關聯絡設備維護廠商進行版本確認，並更新Junos OS至下列對應版本：
CVE-2020-1647：
18.1：18.1R3-S9
18.2：18.2R3-S3
18.3：18.3R2-S4與18.3R3-S1
18.4：18.4R2-S5與18.4R3
19.1：19.1R2
19.2：19.2R1-S2與19.2R2
19.3：19.3R2
19.4：19.4R1
CVE-2020-1654：
18.1：18.1R3-S9
18.2：18.2R2-S7與18.2R3-S3
18.3：18.3R1-S7、18.3R2-S4及18.3R3-S1
18.4：18.4R1-S7、18.4R2-S4及18.4R3
19.1：19.1R1-S5與19.1R2
19.2：19.2R1-S2與19.2R2
19.3：19.3R2
19.4：19.4R1

參考資料：

1. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11034
2. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11031
3. https://www.ithome.com.tw/news/138793

2020/09/15

PAN-OS之Captive Portal或多因素驗證(Multi-Factor Authentication, MFA)介面存在安全漏洞(CVE-2020-2040)，允許攻擊者以root權限執行任意程式碼，請儘速確認並進行更新！

內容說明：轉發 行政院國家資通安全會報技術服務中心 資安訊息警訊 NISAC-ANA-202009-0552 PAN-OS為運行於Palo Alto Networks新世代防火牆之作業系統，研究人員發現PAN-OS之Captive Portal或多因素驗證(Multi-Factor Authentication, MFA)介面存在緩衝區溢位漏洞(CVE-2020-2040)，未經身分驗證的攻擊者可藉由發送惡意請求，利用此漏洞進而以root權限執行任意程式碼。

受影響PAN-OS版本如下:

PAN-OS 9.1：PAN-OS 9.1.3以前版本

PAN-OS 9.0：PAN-OS 9.0.9以前版本

PAN-OS 8.1：PAN-OS 8.1.15以前版本

PAN-OS 8.0：所有版本

 

建議措施:

目前Palo Alto Networks官方已針對此漏洞釋出更新程式，請各機關聯絡設備維護廠商或參考以下建議進行更新：

1. 請登入設備並檢視Dashboard資訊，或於指令介面輸入「show system info」指令，確認當前使用之PAN-OS版本，並於Web介面中確認是否啟用Captive Portal或多因素驗證功能。

2. 如使用受影響之PAN-OS版本，且啟用Captive Portal或多因素驗證功能，請瀏覽官方公告網頁(https://security.paloaltonetworks.com/CVE-2020-2040)進行PAN-OS版本更新。

 

參考資料:

1.https://securitypaloaltonetworks.com/CVE-2020-2040;

2.https://nvd.nist.gov/vuln/detail/CVE-2020-2040;

3.https://docs.paloaltonetworks.com/pan-os/10-0/pan-os-admin/authentication/configure-multi-factor-authentication.html

 

 

2020/07/15

Juniper SRX系列設備之Junos OS存在安全漏洞(CVE-2020-1647與CVE-2020-1654)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新

內容說明：

微軟Windows DNS伺服器存在安全漏洞(CVE-2020-1350)，未經身分驗證的攻擊者可對DNS伺服器發送惡意請求，利用此漏洞進而執行任意程式碼。

受影響Windows版本如下:
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

 建議措施：

目前微軟官方已針對此漏洞釋出更新程式，請各機關聯絡設備維護廠商或參考以下建議進行更新：
1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
2. https://support.microsoft.com/zh-tw/help/4569509/windows-dns-server-remote-code-execution-vulnerability

 參考資料：

1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
2. https://support.microsoft.com/zh-tw/help/4569509/windows-dns-server-remote-code-execution-vulnerability
3. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1350

2020/06/18

近期利用PORT 445加密勒索軟體活動頻繁，請加強系統/應用程式更新與資料備份作業

內容說明：

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202006-0095

近期勒索軟體攻擊活動情資顯示，此波勒索軟體攻擊是利用微軟伺服器訊息區塊(SMB,PORT 445)協定進行攻擊，使用者電腦一旦遭植入該惡意程式，將導致該電腦可存取的檔案(含網路磁碟機、共用資料夾等)全數加密無法開啟讀取，藉以勒索使用者支付贖金換取檔案解密。

建議措施:

1. 建議機關儘速進行作業系統更新，如無特殊需求，建議關閉Port 445服務。

2. 清查重要資料，並參考下列做法定期進行備份作業：
- 定期執行重要的資料備份。
- 備份資料應有適當的實體及環境保護。
- 應定期測試備份資料，以確保備份資料之可用性。
- 資料的保存時間與檔案永久保存的需求，應由資料擁有者研提。
- 重要機密的資料備份，應使用加密方式來保護。

3. 檢視網路硬碟與共用資料夾之使用者存取權限，避免非必要使用存取。

4. 確認作業系統、防毒軟體，及應用程式(如Adobe Flash Player、Java)更新情況，並定期檢視系統/應用程式更新紀錄，避免駭客利用系統/應用程式安全性漏洞進行入侵行為。

5. 若使用隨身碟傳輸資料，應先檢查隨身碟是否感染病毒或惡意程式。

6. 若疑似遭受感染時，可參考下列做法：
- 應立即關閉電腦並切斷網路，避免災情擴大。
- 通知機關資訊人員或廠商協助搶救還沒被加密的檔案。
- 建議重新安裝作業系統與應用程式，且確認已安裝至最新修補程式後，再還原備份的資料。
- 備份資料在還原至電腦之前，應以防毒軟體檢查，確保沒有殘存的惡意程式。

7. 加強教育訓練，請使用者留意相關電子郵件，注意郵件之來源的正確性，不要開啟不明來源信件的附檔或連結，以防被植入後門程式。

2020/06/19

AWS Shield今年第一季擋下2.3 Tbps的DDoS攻擊

內容說明：

根據AWS Shield的統計，今年第一季他們緩解了逾31萬次的分散式阻斷服務（DDoS）攻擊，比去年同期增加了22.8%，比上一季增加10%，不只是攻擊次數增加了，攻擊流量也增加了，去年同期最大的攻擊流量為0.8 Tbps，上一季為0.6 Tbps，但今年第一季卻出現2.3 Tbps的攻擊流量

Amazon Web Services（AWS）近日公布了旗下DDoS防護服務AWS Shield在今年第一季的威脅報告，指出該服務在第一季擋下了流量高達2.3 Tbps的DDoS攻擊，而這是前所未見的。

根據AWS Shield的統計，今年第一季他們緩解了逾31萬次的分散式阻斷服務（DDoS）攻擊，比去年同期增加了22.8%，比上一季增加10%，不只是攻擊次數增加了，攻擊流量也增加了，去年同期最大的攻擊流量為0.8 Tbps，上一季為0.6 Tbps，但今年第一季卻出現2.3 Tbps的攻擊流量。

AWS Shield指出，流量龐大的DDoS攻擊通常源自UDP（User Datagram Protocol ，用戶資料包協定）反射攻擊，包括DNS反射、NTP反射，或SSDP反射等，它們全都利用了網路上不需要執行握手驗證的大量UDP，針對受害系統傳送封包，進而造成受害系統超載而無法運作。

而他們在第一季所緩解的龐大攻擊，則是屬於CLDAP（Connection-less Lightweight Directory Access Protocol）反射放大攻擊，利用UDP port 389傳送請求，由於回應的封包通常大於請求封包，差異可能達到50倍，因而形成放大效果，企圖癱瘓受害系統。

AWS Shield表示，2.3 Tbps的攻擊流量出現在今年2月，比AWS上曾經見過的最大攻擊流量還多了44%，而且維繫了3天。

這很可能締造了全球DDoS攻擊流量的新紀錄，同為DDoS防禦服務供應商的Netscout Arbor在2018年3月，曾經擋下流量達1.7Tbps的反射放大攻擊，在此之前的紀錄保持人則是Github，該平台在2018年的2月遭到1.3Tbps流量的DDoS攻擊。

不過，龐大流量的DDoS攻擊畢竟還是少數，AWS Shield的統計顯示，該季第99個百分位數攻擊事件的流量只有43 Gbps。