2021/06/18

主旨:

我國能源領域關鍵基礎設施資安事件防護資訊，請各會員參考並加強防範！

說明:

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202106-0176

近期於國內能源領域關鍵基礎設施發現惡意程式「SALTYGHOST」，為Gh0st RAT木馬程式之變種，針對此事件相關惡意程式分析報告與受駭偵測指標(Indicator of Compromise, IoC)資訊提供如附件，建議各會員應提高警覺，落實加強監控防護與異常連線阻擋，若於監控日誌發現相關異常連線或警示，應深入釐清事件原因與影響範圍，避免錯失調查時機。

附件「我國能源領域關鍵基礎設施之惡意程式分析」已上傳至教育機構資安通報平台，所有單位人員登入後，於「情資資料下載」可下載此份檔案，提供各單位參考。

解決方法：

1.部署黑名單於防護設備進行偵測，監控是否有資訊設備已遭入侵，網路位址與網域名稱黑名單如附件。

2.依「我國能源領域關鍵基礎設施之惡意程式分析」檔案中之惡意程式名稱與雜湊值，偵測系統是否存在相關惡意程式，若確認資訊設備已遭入侵，建議立即進行必要處理措施：
(1)針對受駭電腦進行資安事件應變處理。
(2)重新安裝作業系統，並更新作業系統及相關應用軟體。
(3)更換系統使用者密碼。

資料來源：https://cert.tanet.edu.tw/prog/showrpt.php?id=3628

2021/06/15

主旨:

VMware 5月底修補的軟體重大漏洞疑似發生開採行為

說明:

美國資訊安全暨基礎架構安全管理署（CISA）呼籲VMware vCenter Server以及VMware Cloud Foundation用戶儘速升級到最新版本軟體

安全廠商Bad Packet近日發現該公司搭載VMware伺服器管理軟體vCenter誘捕系統偵測到CVE-2021-21985的開採活動。活動來源是分別代管於香港、中國、新加坡及德國IP多台伺服器上的概念驗證程式。

遭到開採的CVE-2021-21985是VMware上個月底（5/25）才發出安全公告及修補程式漏洞之一（另一為CVE-2021-21986）。前者是一個遠端程式碼執行漏洞，出在預設開啟的vSphere用戶端軟體（Virtual SAN Check外掛程式）對輸入連線的驗證不足，讓可連上port 443的攻擊者在代管vCenter Server的主機OS上，以最高權限執行指令。

根據CVSS 3.1風險層級表，這項漏洞高達9.8，屬於重大風險。受影響的產品包括vCenter Server（6.5、6.7、7.0）及VMware Cloud Foundation（3.x、4.x）。

美國資訊安全暨基礎架構安全管理署（CISA）本周也發出公告，警告未修補的產品可能曝險，而讓攻擊者取得控制權，呼籲用戶儘速升級到最新版本軟體。

參考資料（如需詳細資訊請洽廠商）

影響VMware vCenter Server (vCenter Server)、VMware Cloud Foundation (Cloud Foundation)的CVE-2021-21985, CVE-2021-21986官方修補資訊（2021-05-25公告）：https://www.vmware.com/security/advisories/VMSA-2021-0010.html、https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html

資料來源https://www.ithome.com.tw/news/144895

2021/06/12

主旨:

麥當勞驚傳全球系統遭駭，臺、韓部分歡樂送資料外洩，臺灣麥當勞表示將通知受影響者，並提醒慎防詐騙

說明:

麥當勞全球網路系統在11日傳出遭未經授權第三方入侵，初步調查顯示，臺灣與韓國歡樂送的部分顧客個資外洩，臺灣麥當勞也已接獲通知並發布資料外洩公告，說明評估外洩風險並將陸續通知受影響者。

關於本次資料外洩事件具體的影響範圍，臺灣麥當勞公告提出更詳細的說明。他們表示，這次遭第三方未經授權存取的內容，主要是麥當勞歡樂送在臺灣與南韓的部分個人資料，同時，也有臺灣麥當勞內部的少數人事資料，以及管理資料。

在外洩的麥當勞歡樂送訂餐資料方面，其中的個人資訊包含電子郵件、聯絡電話與送餐地址，但不包含銀行帳號、信用卡卡號與密碼，也就是說，遭竊資料不含顧客財務資訊。

在後續對外的事件因應上，根據臺灣個資法第12條的規定，通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。臺灣麥當勞表示，向外界公告說明此次資料外洩事件的同時，他們也已經通報相關司法及行政機關，同時也將陸續以適當方式通知受影響的顧客。至於日後民眾在個資法的求償，則有待關注。

這起資料外洩事件，對於受影響的人有什麼樣的風險？臺灣麥當勞表示，客戶可能收到垃圾郵件、不明簡訊，或成為詐騙對象。因此，他們也提醒，若接獲自稱臺灣麥當勞客服人員的來電，或是不明的來電，要詢問你的個人財務資訊，都務必要提高警覺、不要上當。

資料來源 https://www.ithome.com.tw/news/145009

2021/06/11

主旨:

暨南大學校園高壓電年度維護保養作業,將暫
停供應市電,作業期間應不影響南投區網連外網路服務。

預計施工時間:

7月11日 08:00 ~ 17:00

影響範圍:

作業期間,暨南大學全校停電,停電期間改由發電機供電,南投區網正常運作,不影響網路服務和機房溫度。

說明:

南投區域網路中心另行租用發電機,不影響南投區網連外網路服 務。

相關資訊請詳洽:
聯絡人:049-2910960#4048 陳彥良先生

2021/06/03

【漏洞預警】SonicWall網路安全管理員(NSM)軟體存在安全漏洞(CVE-2021-20026)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新！

內容說明:

轉發 國家資安資訊分享與分析中心 資安訊息警訊

研究人員發現SonicWall安裝於本地設備之網路安全管理員(Network Security Manager, NSM)軟體存在安全漏洞(CVE-2021-20026)，攻擊者可藉由特製封包，利用此漏洞取得管理員權限，進而可遠端執行任意程式碼。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

此訊息僅發送到「區縣市網路中心」，煩請貴單位協助公告或轉發

影響平台:
安裝於本地設備之Network Security Manager (NSM) On-Prem 2.2.0-R10(含)以前版本

[建議措施:]
目前SonicWall官方已針對此漏洞釋出更新程式，請各機關聯絡設備維護廠商參考下方網址進行版本更新：
https://www.sonicwall.com/support/product-notification/security-advisory-on-prem-sonicwall-network-security-manager-nsm-command-injection-vulnerability/210525121534120/

[參考資料:]
1. https://www.ithome.com.tw/news/144743
2. https://www.sonicwall.com/support/product-notification/security-advisory-on-prem-sonicwall-network-security-manager-nsm-command-injection-vulnerability/210525121534120/
3. https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0014