2019/10/18

【攻擊預警】惡Adobe Acrobat與Reader應用程式存在多個安全漏洞，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新

內容說明：

Adobe釋出的安全性公告中提出Adobe Acrobat與Reader存在越界寫入(Out-of-Bounds Write)、使用釋放後記憶體(Use After Free)、堆積溢位(Heap Overflow)、緩衝區溢位(Buffer Overrun)、競爭條件(Race Condition)、類型混亂(Type Confusion)及不可靠的指標反參考(Untrusted Pointer Dereference)等漏洞，攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結或檔案，進而導致可執行任意程式碼。

目前已知影響平台如下：

以下所有程式的Windows與MacOS版本：
1.Continuous track versions：
•Acrobat DC Continuous track versions 2019.012.20040(含)以前版本
•Acrobat Reader DC Continuous track versions 2019.012.20040(含)以前的版本
2.Classic 2017 versions：
•Acrobat 2017 Classic 2017 versions 2017.011.30148(含)以前版本
•Acrobat Reader 2017 Classic 2017 versions 2017.011.30148(含)以前版本
3.Classic 2015 versions：
•Acrobat DC Classic 2015 versions 2015.006.30503(含)以前版本
•Acrobat Reader DC Classic 2015 versions 2015.006.30503(含)以前版本

建議措施：

1.請確認電腦目前使用的版本。若為上述影響版本，請儘速更新至以下版本，檢查方式：啟動Acrobat或Reader程式，點選「說明」→「關於」，確認版本後可點選「說明」→「檢查更新」安裝更新程式。
2.亦可至下列網址進行更新：
(1)Continuous track version更新至2019.021.20047以後版本：
Acrobat DC：
Windows User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6751
Macintosh User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6757
Acrobat Reader DC：
Windows User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6753
Macintosh User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6759
(2)Classic 2017 versions更新至2017.011.30150以後版本：
Acrobat 2017：
Windows User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6761
Macintosh User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6765
Acrobat Reader 2017：
Windows User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6763
Macintosh User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6767
(3)Classic 2015 versions更新至2015.006.30504以後版本：
Acrobat 2015：
Windows User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6769
Macintosh User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6773
Acrobat Reader 2015：
Windows User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6771
Macintosh User：https://supportdownloads.adobe.com/detail.jsp?ftpID=6775

參考資料：

1. https://helpx.adobe.com/security/products/acrobat/apsb19-49.html
2. https://thehackernews.com/2019/10/adobe-software-patches.html
3. https://www.ithome.com.tw/news/133637

2019/09/20

【漏洞預警】Microsoft Windows遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新

[內容說明:]

轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201909-0110

Microsoft Windows遠端桌面服務(Remote Desktop Services)，亦即在Windows Server 2008及更早版本中所稱之終端服務(Terminal Services)，該服務允許使用者透過網路連線來遠端操作電腦或虛擬機。

研究人員發現遠端桌面服務存在安全漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222及CVE-2019-1226)，可讓未經身分驗證的遠端攻擊者，透過對目標系統的遠端桌面服務發送特製請求，在不需使用者進行任何操作互動之情況下，達到遠端執行任意程式碼之危害。

[影響平台:]

● Windows 7
● Windows 8.1
● Windows 10
● Windows Server 2008 R2
● Windows Server 2012
● Windows Server 2012 R2
● Windows Server 2016
● Windows Server 2019

[建議措施:]

Microsoft官方已針對此弱點釋出修補程式，並包含於8月份例行性累積更新中，各機關可聯絡設備維護廠商或參考各CVE對應的安全性公告，進行Windows更新。

[參考資料:]

1. https://thehackernews.com/2019/08/windows-rdp-wormable-flaws.html
2. https://www.ithome.com.tw/news/132413
3. https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/312890cc-3673-e911-a991-000d3a33a34d
4. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
5. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226
6. https://www.nccst.nat.gov.tw/VulnerabilityNewsDetail?lang=zh&seq=1441

2019/09/06

今年7月開始中國APT集團開始瞄準SSL VPN漏洞進行攻擊

新聞來源：DataBreach

安全專家警告一個名為APT-5的駭客組織，據信隸屬於中國政府，已鎖定Pulse Secure和Fortinet SSL VPN的嚴重缺陷長達六周。

研究人員表示，之所以會發現疑似有APT集團在進行SSL VPN攻擊，是因為發現駭客正在持續增加在安全漏洞上的掃描數量，若駭客成功利用這些漏洞，駭客可以從SSL vpn竊取使用者的帳戶和密碼，而無需進行身份驗證，從而使他們能夠完全地遠端存取企業內部網路。網路威脅情報分析師特Troy Mursch在推特上以@bad_packet的身份發文表示，攻擊者最近幾週一直在調查這兩種類型的SSL vpn是否存在漏洞，他說，最容易受到攻擊的Pulse安全系統都集中在美國。

儘管這兩家VPN廠商在幾個月前都發布關鍵更新，Pulse Secure在4月份發布了針對Pulse Connect Secure(之前稱為Juniper SSL虛擬私人網路)的修補程式，而Fortinet則在4月和5月發布了FortiOS的修補程式。兩家公司都發布韌體更新，並繼續敦促客戶進行更新。Pulse Secure表示，它將幫助任何需要幫助的客戶。

8月初，在拉斯維加斯舉行的Black Hat和Def Con大會上，台灣資安公司Devcore的研究人員Meh Chang (@mehqq_)和Orange Tsai (@orange_8361)針對SSL VPN的漏洞進行更深入的研究，他們發現這些漏洞成因，並將其報告給供應商。上個月晚些時候，針對這些缺陷的概念漏洞開始出現。

漏洞攻擊最早可以追朔到七月

ZDNet週四首先報導APT5將這些漏洞作為攻擊目標的事實，ZDNet引用未具名業內人士的話說，這些攻擊是在漏洞發布後的上個月開始的。8月22日，微軟威脅情報中心的分析員Benjamin Koehl透過Twitter警告說，APT5被微軟稱為Manganese，被其他安全公司稱為PittyTiger和Pitty Panda正在積極利用最少一個SSL VPN漏洞。

週四，同為微軟威脅情報中心分析師Mark Parsons在Twitter上表示，“自7月中旬以來，APT5已經針對最少一個SSL VPN漏洞進行攻擊，幾乎是在一個月後才發布了一個公開POC。”但研究人員警告稱，其他駭客和駭客組織也將目標瞄準於這些漏洞上。

APT5的攻擊目標為東南亞國家

網路安全公司FireEye表示，APT5自2007年以來一直很活躍，主要針對東南亞的國家，包括電信公司，特別是衛星通訊供應商，以及高科技製造商和開發軍用技術的公司。FireEye表示:“這似乎是一個由多個子集團組成的大型威脅集團，通常擁有不同的策略和基礎設施。”“該組織使用具有鍵盤記錄功能的惡意軟體，專門針對電信公司的企業網路、員工和主管。”

FireEye報導指出，在某些情況下，攻擊者有時使用Leouncia惡意軟體來監視目標，例如，收集有關“投標策略和競爭對手定價資訊”，以及目標公司的商業機會和投標計劃。FireEye沒有將APT5的活動歸咎於任何國家。但許多安全專家懷疑該組織與中國政府有關聯。

Pulse Secure發表修復此漏洞的策略

物聯網連線設備搜索引擎Shodan統計43,457個物聯網的Pulse安全SSL VPN伺服器。截至8月31日，Bad packet表示，PulseAAA安全SSL VPN伺服器仍有10471台設備未修補程式。

“報告中最嚴重的問題之一是CVE-2019-11510，這是一個任意檔案揭漏漏洞，” Tenable的研究工程經理Scott Caveza在一篇部落格文章中說表示“這個漏洞可能會讓未經身份驗證的遠端攻擊者讀取在易受攻擊的設備上發現的檔案內容，包括配置和設置等敏感資訊。”

Tenable安全供應商表示，它一直在敦促客戶修補這些漏洞，並建議用戶在需要幫助時直接聯繫Pulse Secure，Pulse Secure於2019年4月發布針對該漏洞的修補程式。

Pulse Secure的CMO Gordon表示，該公司無法給出仍處於風險中伺服器數量的確切數字。 Gordon說:“我們無法驗證所描述的脆弱伺服器計數是否存在風險，但我們可以確認，我們的大多數客戶都使用修補程式。”“例如，發現的一些未使用修補程式的設備是測試設備和實驗室設備，它們通常是不聯網的，也沒有投入生產。然而，Pulse Secure強烈建議客戶盡快將修補程式應用到他們所有的設備上。”

“我們也在為客戶提供幫助，幫助他們修補這些漏洞，即使他們沒有簽訂有效的維護合約。”
—Scott Gordon, Pulse Secure

Pulse Secure表示，它們將繼續敦促任何尚未使用修補程式的客戶立即聯繫公司尋求幫助。Gordon說:“Pulse Secure 支援工程師將提供全天候服務，包括週末和節慶假日，幫助需要的客戶使用修補程式。”“我們也在為任何客戶提供幫助，幫助他們修補這些漏洞，即使他們沒有簽訂有效的維護合約。”

Fortinet詳細介紹FortiOS的更新資訊

Fortinet對於客戶拖延的修補程序不予置評。相反，Fortinet指出ISMG在8月28日發布的一篇部落格文章中，描述它修補的三個漏洞，以及這些漏洞給組織帶來的風險。

今年5月，FortiGuard Labs發布針對CVE-2018-13379、CVE-2018-13383和CVE-2018-13382的修補程式。值得注意的是，CVE-2018-13379“可能會允許未經身份驗證的攻擊者透過特別設計的HTTP資源請求下載檔案”，而CVE-2018-13383“也可能允許由於無法正確處理JavaScript Href內容而在FortiOS上執行遠端代碼。”它也指出，要成功攻擊系統，社會工程的步驟將是必要的，因為它將需要一個經過認證的用戶並存取一個特殊設計和代理的網頁。

Fortinet表示，它還在打造“FortiGuard簽章”，尋找已知的攻擊代碼字串，以便能夠被具有入侵防禦系統功能的Fortinet產品所阻止。

“Magic String”已從FortiOS中移除

Fortinet指出，5月份也修補“Magic String”的漏洞，研究人員已經發現，涉及CVE-2018-13382，可以使任何用戶與本地身份驗證，但不是遠端SSL VPN用戶，去改變任何SSL VPN網站用戶的密碼，沒有任何進一步的憑證是必需的。

Fortinet表示這個功能被意外地捆綁到通用FortiOS的發行版中，Fortinet補充說，此功能以前是應客戶的要求創建的，目的是讓用戶在密碼到期時實現密碼更改過程。

參考網址:

https://www.databreachtoday.com/chinese-apt-group-began-targeting-ssl-vpn-flaws-in-july-a-13037

2019/08/20

Unix管理工具Webmin爆有遠端程式碼執行漏洞

新聞來源：iThome

摘要：

廣受歡迎的Unix類伺服器Web化管理工具Webmin被發現有遠端程式碼執行（RCE）漏洞，可讓遠端駭客以根權限執行惡意指令。

Webmin是許多Unix作業系統如Linux、FreeBSD、OpenBSD等遠端系統管理員愛用的Web app，可用以修改OS設定、建立用戶帳號、管理磁碟容量、檔案或服務，以及管理遠端伺服器上的軟體如Apache HTTP Server、BIND DNS Server、MySQL、PHP、Exim等等。Webmin官方GitHub網頁宣稱其全球用戶超過百萬。

詳情請參閱上方參考連結！

參考位址：https://www.ithome.com.tw/news/132511

2019/07/31

新勒索軟體利用Android 手機簡訊傳給通訊錄友人

新聞來源：iThome

摘要：

安全廠商ESET研究人員Lukas Stefanko 7月中發現這款名為Android/Filecoder.C的新型勒索軟體，出現在Reddit和Android 開發者論壇XDA Developer上，再透過受害者手機大量散佈。一開始，駭客在前述二個網站張貼色情或技術主題的內容連結、QR code或短網址，引誘使用者連到兩個由攻擊者控制的網域以下載惡意程式。一旦下載到Android手機上，Filecoder.C就會加密手機上大部份的用戶檔案要求贖金，同時發送大宗簡訊將惡意連結給受害者手機內的聯絡人資料，以便進一步散佈。

參考位址：https://www.ithome.com.tw/news/132144