中心公告

微軟Windows TCP/IP堆疊存在安全漏洞

2020/10/16

微軟Windows TCP/IP堆疊存在安全漏洞(CVE-2020-16898)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新！

內容說明：轉發行政院國家資通安全會報技術服務中心資安訊息警訊 NISAC-ANA-202010-0502

研究人員發現微軟Windows TCP/IP堆疊(TCP/IP stack)未能正確處理ICMPv6之路由器公告(Router Advertisement)封包，導致存在安全漏洞(CVE-2020-16898)，遠端攻擊者可藉由發送特製的ICMPv6路由器公告封包，利用此漏洞進而執行任意程式碼。

影響平台:

Windows版本如下:

Windows 10 Version 1709 for 32-bit Systems; Windows 10 Version 1709 for ARM64-based Systems;

Windows 10 Version 1709 for x64-based Systems; Windows 10 Version 1803 for 32-bit Systems;

Windows 10 Version 1803 for ARM64-based Systems; Windows 10 Version 1803 for x64-based Systems;

Windows 10 Version 1809 for 32-bit Systems; Windows 10 Version 1809 for ARM64-based Systems;

Windows 10 Version 1809 for x64-based Systems; Windows 10 Version 1903 for 32-bit Systems;

Windows 10 Version 1903 for ARM64-based Systems; Windows 10 Version 1903 for x64-based Systems;

Windows 10 Version 1909 for 32-bit Systems; Windows 10 Version 1909 for ARM64-based Systems;

Windows 10 Version 1909 for x64-based Systems; Windows 10 Version 2004 for 32-bit Systems;

Windows 10 Version 2004 for ARM64-based Systems; Windows 10 Version 2004 for x64-based Systems;

Windows Server 2019; Windows Server 2019 (Server Core installation);

Windows Server, version 1903 (Server Core installation); Windows Server, version 1909 (Server Core installation);

Windows Server, version 2004 (Server Core installation)

建議措施:

1.目前微軟官方已針對此漏洞釋出更新程式，請各機關聯絡設備維護廠商或參考以下建議進行更新：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

2.如無法更新，亦可於Windows 1709以上版本環境中，執行「netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable」之PowerShell指令，藉由停用ICMPv6 RDNSS功能，防止攻擊者進行弱點利用。

參考資料:

1. https://portalmsrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

2. https://vuldb.com/?id.162598

更多公告

Juniper SRX系列設備之Junos OS存在安全漏洞

2020/10/14

Juniper SRX系列設備之Junos OS存在安全漏洞(CVE-2020-1647與CVE-2020-1654)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新

內容說明：

研究人員發現Juniper SRX系列設備在有開啟ICAP (Internet Content Adaptation Protocol) Redirect服務的狀態下存在安全漏洞(CVE-2020-1647與CVE-2020-1654)。遠端攻擊者可對目標設備發送特製請求，利用此漏洞進而執行任意程式碼或造成阻斷服務攻擊。

目前已知影響平台如下：

若設備之Junos OS符合以下版本號碼且開啟ICAP Redirect服務，則受CVE-2020-1647影響：
18.1：18.1R3-S9以前版本
18.2：18.2R3-S3以前版本
18.3：18.3R2-S4與18.3R3-S1以前版本
18.4：18.4R2-S5與18.4R3以前版本
19.1：19.1R2以前版本
19.2：19.2R1-S2與19.2R2以前版本
19.3：19.3R2以前版本
若設備之Junos OS符合以下版本號碼且開啟ICAP Redirect服務，則受CVE-2020-1654影響：
18.1：18.1R3-S9以前版本
18.2：18.2R2-S7與18.2R3-S3以前版本
18.3：18.3R1-S7、18.3R2-S4及18.3R3-S1以前版本
18.4：18.4R1-S7、18.4R2-S4及18.4R3以前版本
19.1：19.1R1-S5、19.1R2以前版本
19.2：19.2R1-S2、19.2R2以前版本
19.3：19.3R2以前版本

建議措施：

目前Juniper官方已針對此弱點釋出更新程式，請各機關聯絡設備維護廠商進行版本確認，並更新Junos OS至下列對應版本：
CVE-2020-1647：
18.1：18.1R3-S9
18.2：18.2R3-S3
18.3：18.3R2-S4與18.3R3-S1
18.4：18.4R2-S5與18.4R3
19.1：19.1R2
19.2：19.2R1-S2與19.2R2
19.3：19.3R2
19.4：19.4R1
CVE-2020-1654：
18.1：18.1R3-S9
18.2：18.2R2-S7與18.2R3-S3
18.3：18.3R1-S7、18.3R2-S4及18.3R3-S1
18.4：18.4R1-S7、18.4R2-S4及18.4R3
19.1：19.1R1-S5與19.1R2
19.2：19.2R1-S2與19.2R2
19.3：19.3R2
19.4：19.4R1

參考資料：

1. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11034
2. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11031
3. https://www.ithome.com.tw/news/138793

PAN-OS之Captive Portal或多因素驗證介面存在安全漏洞

2020/09/15

PAN-OS之Captive Portal或多因素驗證(Multi-Factor Authentication, MFA)介面存在安全漏洞(CVE-2020-2040)，允許攻擊者以root權限執行任意程式碼，請儘速確認並進行更新！

內容說明：轉發行政院國家資通安全會報技術服務中心資安訊息警訊 NISAC-ANA-202009-0552 PAN-OS為運行於Palo Alto Networks新世代防火牆之作業系統，研究人員發現PAN-OS之Captive Portal或多因素驗證(Multi-Factor Authentication, MFA)介面存在緩衝區溢位漏洞(CVE-2020-2040)，未經身分驗證的攻擊者可藉由發送惡意請求，利用此漏洞進而以root權限執行任意程式碼。

受影響PAN-OS版本如下:

PAN-OS 9.1：PAN-OS 9.1.3以前版本

PAN-OS 9.0：PAN-OS 9.0.9以前版本

PAN-OS 8.1：PAN-OS 8.1.15以前版本

PAN-OS 8.0：所有版本

建議措施:

目前Palo Alto Networks官方已針對此漏洞釋出更新程式，請各機關聯絡設備維護廠商或參考以下建議進行更新：

1. 請登入設備並檢視Dashboard資訊，或於指令介面輸入「show system info」指令，確認當前使用之PAN-OS版本，並於Web介面中確認是否啟用Captive Portal或多因素驗證功能。

2. 如使用受影響之PAN-OS版本，且啟用Captive Portal或多因素驗證功能，請瀏覽官方公告網頁(https://security.paloaltonetworks.com/CVE-2020-2040)進行PAN-OS版本更新。

參考資料:

1.https://securitypaloaltonetworks.com/CVE-2020-2040;

2.https://nvd.nist.gov/vuln/detail/CVE-2020-2040;

3.https://docs.paloaltonetworks.com/pan-os/10-0/pan-os-admin/authentication/configure-multi-factor-authentication.html

微軟Windows DNS伺服器存在安全漏洞

2020/07/15

Juniper SRX系列設備之Junos OS存在安全漏洞(CVE-2020-1647與CVE-2020-1654)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新

內容說明：

微軟Windows DNS伺服器存在安全漏洞(CVE-2020-1350)，未經身分驗證的攻擊者可對DNS伺服器發送惡意請求，利用此漏洞進而執行任意程式碼。

受影響Windows版本如下:
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

建議措施：

目前微軟官方已針對此漏洞釋出更新程式，請各機關聯絡設備維護廠商或參考以下建議進行更新：
1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
2. https://support.microsoft.com/zh-tw/help/4569509/windows-dns-server-remote-code-execution-vulnerability

參考資料：

1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
2. https://support.microsoft.com/zh-tw/help/4569509/windows-dns-server-remote-code-execution-vulnerability
3. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1350

近期利用PORT 445加密勒索軟體活動頻繁，請加強系統/應用程式更新與資料備份作業

2020/06/18

近期利用PORT 445加密勒索軟體活動頻繁，請加強系統/應用程式更新與資料備份作業

內容說明：

轉發國家資安資訊分享與分析中心資安訊息警訊 NISAC-ANA-202006-0095

近期勒索軟體攻擊活動情資顯示，此波勒索軟體攻擊是利用微軟伺服器訊息區塊(SMB,PORT 445)協定進行攻擊，使用者電腦一旦遭植入該惡意程式，將導致該電腦可存取的檔案(含網路磁碟機、共用資料夾等)全數加密無法開啟讀取，藉以勒索使用者支付贖金換取檔案解密。

建議措施:

1. 建議機關儘速進行作業系統更新，如無特殊需求，建議關閉Port 445服務。

2. 清查重要資料，並參考下列做法定期進行備份作業：
- 定期執行重要的資料備份。
- 備份資料應有適當的實體及環境保護。
- 應定期測試備份資料，以確保備份資料之可用性。
- 資料的保存時間與檔案永久保存的需求，應由資料擁有者研提。
- 重要機密的資料備份，應使用加密方式來保護。

3. 檢視網路硬碟與共用資料夾之使用者存取權限，避免非必要使用存取。

4. 確認作業系統、防毒軟體，及應用程式(如Adobe Flash Player、Java)更新情況，並定期檢視系統/應用程式更新紀錄，避免駭客利用系統/應用程式安全性漏洞進行入侵行為。

5. 若使用隨身碟傳輸資料，應先檢查隨身碟是否感染病毒或惡意程式。

6. 若疑似遭受感染時，可參考下列做法：
- 應立即關閉電腦並切斷網路，避免災情擴大。
- 通知機關資訊人員或廠商協助搶救還沒被加密的檔案。
- 建議重新安裝作業系統與應用程式，且確認已安裝至最新修補程式後，再還原備份的資料。
- 備份資料在還原至電腦之前，應以防毒軟體檢查，確保沒有殘存的惡意程式。

7. 加強教育訓練，請使用者留意相關電子郵件，注意郵件之來源的正確性，不要開啟不明來源信件的附檔或連結，以防被植入後門程式。