105年度公告

[1051129]【漏洞預警】部分網路設備存在對於網路控制訊息協定(ICMP)封包處理弱點

 

轉發教育機構ANA通報平台公告-

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201611-0046

2016年11月8日,丹麥的資安業者TDC Security Operations Center公開一項名為黑護士(BlackNurse)的網路攻擊手法,根據報告指出,該攻擊只需透過少量「無法到達目的地且無法存取傳輸埠」(ICMP Type 3 Code 3)之ICMP封包,即可造成部分防火牆或網路設備CPU過載,持續攻擊將造成服務中斷,導致內部使用者無法存取外部網路。

 

影響平台:

目前已知受影響的網路設備廠牌與型號如下:

1. Cisco ASA 5505、5506、5515、5525及5540 

2. Cisco 6500 routers with SUP2T與Netflow v9 on the inbound interface

3. Cisco ASA 5550與5515各系列

4. Cisco Router 897

5. SonicWall 

6. Palo Alto 5050

7. Zyxel NWA3560-N

8. Zyxel Zywall USG50

9. Fortinet v5.4.1

10. Fortigate units 60c與100D

 

建議措施:

各單位可自行或聯絡設備維護廠商,利用ICMP工具,例如hping3工具,執行「hping3 -1 -C 3 -K 3 -i u20 」或「hping3 -1 -C 3 -K 3 --flood 」指令進行測試,其中為受測之網路設備。若在測試過程中,造成內部使用者無法連線到外部網路,即代表網路設備受此漏洞影響。請參考以下建議:

1.建議機關評估於防火牆或閘道器設備對外界面網卡(WAN端)設定阻擋所有ICMP Type 3封包,若此影響IPsec或PPTP連線時,僅再額外開放ICMP Type 3 code 4 (fragmentation needed)之封包。

 

2.若設備廠牌為Palo Alto,則請參考Palo Alto官方網頁

(http://researchcenter.paloaltonetworks.com/2016/11/note-customers-regarding-blacknurse-report/)之建議措施。

 

3.其餘設備廠牌目前尚未發布建議措施,所以仍請各機關密切注意各廠牌官方網頁之更新資訊。

 

參考資料:

1. http://researchcenter.paloaltonetworks.com/2016/11/note-customers-regarding-blacknurse-report/

2. http://www.ithome.com.tw/news/109565

3. http://soc.tdc.dk/blacknurse/blacknurse.pdf

4. https://tools.cisco.com/security/center/publicationListing.x

5. https://www.zyxel.com/us/en/products_services/smb-security_appliances_and_services.shtml

6. https://support.sonicwall.com/

7. https://blog.fortinet.com/2016/11/14/black-nurse-ddos-attack-power-of-granular-packet-inspection-of-fortiddos-with-unpredictable-ddos-attacks

8. http://www.hping.org/download.html

9. http://www.zyxel.com/tw/zh/support/announcement_blacknurse_attack.shtml

[1051110]【攻擊預警】多款物聯網裝置存在感染「Mirai」惡意程式的風險

 

轉發教育機構ANA通報平台公告-

 

物聯網(Internet of Thing,簡稱IoT)是指具網路連結與計算能力的物件、感測器或嵌入式裝置(例如網路攝影機、網路印表機或智慧家電等),可透過網路與其它裝置溝通,並自動化的傳送與接收資料。

今年9月30日,一隻名為「Mirai」的惡意程式其原始碼被公開釋出在網路上,現今已有多種變形的版本(例如名為「Hajime」的惡意程式),目前已知該惡意程式是鎖定在嵌入式裝置,或以Linux為架構的物聯網裝置進行攻擊。而近期發現該惡意程式已被利用在針對多款網路攝/錄影裝置的Telnet服務埠(Port 23或2323)進行預設密碼攻擊,當攻擊者成功取得這些裝置權限後,則可利用裝置組成殭屍網路大軍或造成機敏資訊外洩。

目前已確認受影響的產品是由中國與台灣廠商所生產之網路攝/錄影裝置,其中,部分中國廠商所生產的裝置會在韌體中預設寫入固定的帳號密碼,且使用者無法自行變更。

 

影響平台:

多款物聯網裝置

 

建議措施:

可自行檢視或聯絡設備維護廠商,確認是否採用已知受影響廠商所生產之裝置,並持續注意相關訊息,以及可參考下列建議措施降低IoT裝置風險:

1. 關閉或監控IoT裝置的Telnet服務埠(Port 23或2323)。

2. 修改IoT裝置預設密碼,變更為符合複雜度要求之密碼。

3. 購買具口碑與信譽良好之廠商所生產的IoT裝置。

4. 隨時留意IoT裝置是否有安全性更新檔。

5. 避免IoT裝置運行在不用密碼或密碼強度不足的公開無線網路中。

 

參考資料:

1. https://www.us-cert.gov/ncas/alerts/TA16-288A

2. http://www.hackread.com/iot-devices-with-mirai-ddos-malware/

3. http://blog.level3.com/security/grinch-stole-iot/

4. https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/

5. https://security.rapiditynetworks.com/publications/2016-10-16/hajime.pdf

6. http://www.ithome.com.tw/news/109163

7. http://www.ithome.com.tw/news/108954

8. http://www.internetsociety.org/sites/default/files/ISOC-IoT-Overview-20151022.pdf

[1050801]【漏洞預警】Apache Tomcat伺服器8.5.4(含)前的版本存在漏洞(CVE-2016-5388),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正

 

轉發教育機構ANA通報平台公告-

 

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201608-0030

Apache Tomcat是Apache軟體基金會旗下的一款輕量級Web伺服器,8.5.4(含)前的版本如啟用CGI Servlet執行CGI腳本(預設是關閉),其HTTP_PROXY環境變數未能有效過濾客戶端請求,造成HTTP_PROXY的變數內容,可被攻擊者發送的變數內容給覆蓋掉,造成攻擊者可利用此漏洞遠端執行中間人攻擊,以及將目標的HTTP流量重新導向至任意的伺服器。

請檢視是否安裝受影響之Apache Tomcat伺服器,如啟用CGI Servlet執行CGI腳本,請儘速參考官方網頁所提供的臨時性解決方案進行修正。

 

影響平台:

Apache Tomcat伺服器8.5.4(含)前的版本

 

建議措施:

1. 請於已安裝Apache Tomcat伺服器之電腦,依據不同平台使用「version.bat」或「version.sh」指令確認目前所使用之Apache Tomcat版本是否為8.5.4(含)前的版本。

2. 請於已安裝Apache Tomcat伺服器8.5.4(含)前版本之電腦,檢視conf/web.xml設定檔,確認Servlet與Servlet-mapping區段是否為「註解」的狀態(代表停用CGI Servlet機制,範例如附件一與附件二),若已「取消註解」,則表示已啟用CGI Servlet機制。

3. 若已啟用CGI Servlet機制,且仍有使用之需求,目前可透過官方所發布之臨時性解決方案進行修正,例如重新編譯tomcat/lib目錄內的catalina.jar檔,或是自行編譯一個拒絕PROXY Header請求的jar檔等方法,詳細內容可參考官方網頁資訊(https://www.apache.org/security/asf-httpoxy-response.txt)。

4. 現階段因官方尚未正式釋出修正後的版本,所以仍請密切注意Apache Tomcat官方網頁(http://tomcat.apache.org/)之更新訊息。

 

參考資料:

1. https://httpoxy.org/

2. https://www.apache.org/security/

3. https://ci.apache.org/projects/tomcat/tomcat85/docs/apr.html

[1051005]【漏洞預警】Cisco IOS系列軟體與PIX防火牆存在零時差漏洞

 

轉發教育機構ANA通報平台公告-

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201609-0021

美國思科(Cisco)公司今年8月得知國際名為影子掮客(The Shadow Brokers)駭客團體所釋出的網路攻擊工具後,開始調查相關攻擊工具所利用的安全漏洞,於2016年9月16日公布發現一個波及Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體及Cisco PIX防火牆的零時差漏洞(CVE-2016-6415)。

該漏洞主要是因為Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體及Cisco PIX防火牆中,負責處理網路密鑰交換(Internet Key Exchange version 1,IKEv1)協商請求(Negotiation Requests)的程式碼未能充分的進行條件檢查,因此當遠端攻擊者發送一個惡意的IEKv1封包到可接受IEKv1協商請求的裝置上,便能獲取記憶體內容,進而導致裝置上的機敏資訊外洩。 

 

影響平台:

1.Cisco PIX Firewall:

-5.2(9)至6.3(4)(含)版

2.Cisco IOS:

-12.2至12.4(含)版

-15.0至15.6(含)版

3.Cisco IOS XE:

-3.1S版

-3.2S版

-3.3S版、3.3SG版、3.3XO版

-3.4S版、3.4SG版

-3.5E版、3.5S版

-3.6E版、3.6S版

-3.7E版、3.7S版

-3.8E版、3.8S版

-3.9E版、3.9S版

-3.12S至3.18S(含)版

-16.1至16.3(含)版

4.Cisco IOS XR:

-所有4.3.x(含)版

-所有5.0.x(含)版

-所有5.1.x(含)版

-所有5.2.x(含)版

 

建議措施:

請聯絡設備維護廠商或利用「show version」指令確認當前使用的軟體版本,若版本為受影響之Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體版本,則請參考以下建議資訊:

1.目前因Cisco官方尚未針對Cisco IOS、Cisco IOS XE、Cisco IOS XR釋出修復版本,所以仍請密切注意Cisco官方網頁(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1)之更新訊息。

2.使用Cisco官方網頁(https://toolscisco.com/security/center/viewIpsSignature.x?signatureId=7699&signatureSubId=0&softwareVersion=6.0&releaseVersion=S942)所提供的入侵防禦系統(IPS)特徵檔7699-0,或Sourcefire官方網頁(https://support.sourcefire.com/supplemental/sf-rules-2016-09-16-seu.html)所提供的Snort入侵規則檔SID 40220(1)、SID 40221(1)、SID 40222(1),以協助偵測與阻止嘗試利用此漏洞之攻擊。

其它事項:

Cisco PIX Firewalls設備,因產品過舊,目前已無相關的修復程式。

 

參考資料:

1.http://www.ithome.com.tw/news/108639

2.http://www.securityfocus.com/bid/93003

3.http://thehackernews.com/2016/09/cisco-nsa-exploit.html

4.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6415

5.https://tools.cisco.com/security/center/selectIOSVersion.x

 

[1050901]【漏洞預警】Cisco與Fortinet防火牆產品存在多個安全漏洞

 

轉發教育機構ANA通報平台公告-

 

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201608-0055

2016年8月15日,國際上名為影子掮客(The Shadow Brokers)的駭客團體,公開販售及釋出多款網路攻擊工具,影響Cisco與Fortinet等多款防火牆設備,部分漏洞允許攻擊者以管理者權限進行遠端存取或執行任意程式碼,漏洞說明如下:

1. Cisco

Cisco Adaptive Security Appliances(ASA)軟體是美國Cisco公司所開發的一套運行在防火牆中的操作系統,目前已知受影響的相關漏洞編號為CVE-2016-6366與CVE-2016-6367。

(1) CVE-2016-6366漏洞

主要是ASA軟體在9.4.2.3(含)之前版本的SNMP程式碼存在緩衝區溢位漏洞(Buffer overflow),當遠端攻擊者發送特製的SNMP封包到受影響的系統上,就能造成重載(Reload)作業系統或遠端執行任意程式碼,甚至取得系統的控制權限。

(2) CVE-2016-6367漏洞

ASA軟體8.4(1)之前版本的Command-line Interface(CLI)語法分析器(Parser)存在安全漏洞,該漏洞可讓本地端未經身分驗證的攻擊者在受影響的設備上,調用(Invoking)某些特定無效的命令造成阻斷服務攻擊(DoS),或是執行任意程式碼。

 

2. Fortinet

FortiGate防火牆是美國Fortinet公司生產的防火牆設備,FortiGate韌體版本為4.3.8、4.2.12、4.1.10(含)之前的防火牆設備存在緩衝區溢位漏洞(Buffer overflow),當攻擊者發送特製的HTTP封包請求時,由於程式未能對攻擊者輸入的內容長度執行正確的檢查,造成攻擊者可利用此漏洞以管理者權限進行遠端存取或執行任意程式碼。

請檢視防火牆設備是否採用受影響之軟體或韌體版本,並儘速更新至最新版本。

 

影響平台:

1.Cisco已知受影響ASA軟體版本 - 

(1)ASA 8.7(含)版以下。

(2)ASA 9.4.2.3(含)版以下。

  

Cisco已知受影響設備如下 -

(3)Cisco ASA 5500 Series Adaptive Security Appliances。

(4)Cisco ASA 5500-X Series Next-Generation Firewalls。

(5)Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers。

(6)Cisco ASA 1000V Cloud Firewall。

(7)Cisco Adaptive Security Virtual Appliance (ASAv) 。

(8)Cisco Firepower 4100 Series。

(9)Cisco Firepower 9300 ASA Security Module。

(10)Cisco Firepower Threat Defense Software。

(11)Cisco Firewall Services Module (FWSM)。

(12)Cisco Industrial Security Appliance 3000。

(13)Cisco PIX Firewalls。

 

2.FortiGate已知受影響韌體版本如下:

(1)FortiGate 4.3.8(含)版以下。

(2)FortiGate 4.2.12(含)版以下。

(3)FortiGate 4.1.10(含)版以下。

 

建議措施:

請聯絡設備維護廠商或原廠確認防火牆設備所採用之ASA版本或FortiGate韌體版本,若使用版本為受影響之ASA版本或FortiGate韌體版本,則請參考以下建議修復資訊 - 

1.針對漏洞為CVE-2016-6366之漏洞:

(1)ASA 8.7(含)之前版本,請更新至9.1.7(9)或更高的版本。

(2)ASA 9.0版本,請更新至9.0.4(40)版本。

(3)ASA 9.1版本,請更新至9.1.7(9)版本。

(4)ASA 9.2版本,請更新至9.2.4(14)版本。

(5)ASA 9.3版本,請更新至9.3.3(10)版本。

(6)ASA 9.4版本,請更新至9.4.3(8)版本。

 

2.針對漏洞為CVE-2016-6367之漏洞

(1)ASA 8.4(含)之前的版本,請更新至8.4(3)或更高的版本。

(2)ASA 8.5~9.0(含)之間的版本,請更新至9.0(1)或更高的版本。

 

3.針對FortiGate韌體為4.3.8、4.2.12、4.1.10(含)之前的版本,則請更新至5.x版本,若設備無法相容5.x版本,請至少升級至4.3.9(含)以上的版本。

 

4.其它建議事項 - 

(1)其餘未列在上述修復資訊之ASA版本,請密切注意Cisco官方網頁

(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli)之更新資訊。

(2)Cisco Firewall Services Module (FWSM)與Cisco PIX Firewalls設備,因產品過舊,目前已無相關的修復程式。

 

參考資料:

1. http://fortiguard.com/advisory/FG-IR-16-023

2. http://thehackernews.com/2016/08/nsa-hack-exploit.html

3. http://thehackernews.com/2016/08/nsa-hack-russia-leak.html

4. https://cxsecurity.com/cveshow/CVE-2016-6366/

5. http://www.ithome.com.tw/news/107916

6. http://www.ithome.com.tw/news/107826

Additional information