105年度公告

[1050429]【漏洞預警】特定版本Apache Struts 2允許攻擊者遠端執行任意程式碼

 

轉發教育機構資安通報應變小組公告-

 

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201604-0047

根據美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2016-3081。[1][2]

針對Apache 的Struts 2.3.20至Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本,攻擊者可透過DefaultAction.java的invokeAction弱點,將惡意攻擊程式碼夾帶於Request中,允許攻擊者遠端執行任意程式碼。[3]

請各機關檢視所支援的Apache Struts 2版本,儘速更新至最新版本。

 

影響平台:

Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外) [4]

 

建議措施:

Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本已發現存在安全漏洞,請各機關確認網站主機是否使用Apache Struts 2 Web應用框架。若有使用受影響之版本,請將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本。[5]

(1) 檢查是否使用Apache Struts 2 Web應用框架,可透過檢查網站主機目錄中的「WEB-INF\lib\」資料夾是否存有struts相關jar檔,若存有相關jar檔再進行版本確認。

(2) 若選擇不將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本,應於struts.xml設定檔中將「struts.enable.DynamicMethodInvocation」的值設定為「false」,以停用Dynamic Method Invocation。[6]

 

參考資料:

1. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3081

2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081

3. http://www.securitytracker.com/id/1035665

4. https://vuldb.com/?id.82790

5. http://struts.apache.org/download.cgi#struts-ga

6. https://struts.apache.org/docs/s2-032.html

 

[1050426]【轉知】臺南市政府教育局資訊中心核心網路設備更換

 

轉知TANet維運小組公告:

 

臺南市政府教育局資訊中心將於105年4月30日上午9:00時進行核心交換器更換工程,屆時將暫停所網路服務及學校對外連線服務。

影響時間: 2016-04-30(星期六) 09:00 ~ 16:00

影響範圍:臺南市政府教育局轄下所有公立中、小學對外網路及教育局所有服務將全部暫停服務。

 

TANet 維運小組

Tel:02-7712-9079

[1050321]【轉知】彰化縣網路中心搬遷作業

 

轉知TANet維運小組公告-

 

主旨:彰化縣網路中心預計於105年3月25日至27日進行搬遷作業。

說明:彰化縣教育網路中心預計於3月25日至27日

   由現址彰化縣永靖國小遷移至彰安國中,搬遷作業期間,

   網路服務及縣網機房的資訊系統(如OpenID認證服務等)將會暫停服務。

影響時間:起:2016-03-26 00:00:~

     迄:2016-03-27 24:00

     (註:3月25日為預備日,網路照常服務)

影響範圍:彰化線網路中心下游所有中、小學屆時實網路服務將完全中斷。

 

[1050411]【攻擊預警】近期勒索軟體 Locky 活動頻繁,請提高警覺

 

轉發教育機構資安通報應變小組訊息-

 

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201604-0025

近期加密勒索軟體活動異常活躍。其中名稱為Locky的勒索軟體自2016年2月開始肆虐,因把受害者的電腦資料和網絡共享資源加密且將副檔名改為 .Locky而得名。

Locky使用RSA-2048與AES-128 加密機制來加密檔案資料,所以遭到加密的檔案資料幾乎無法自行復原。Locky會根據被害者電腦的語言來顯示勒索信件內容,

勒索受害者0.5至1個比特幣(一個比特幣大約等於13600元新台幣)以換取解密金鑰。

 

Locky的常見傳播方法是透過夾帶附件的垃圾郵件,附件多為帶有惡意巨集的WORD 或EXCEL檔案或內有惡意的.js檔案的壓縮檔。受害者會被要求開啟巨集功能,

一旦開啟,Locky便會被安裝到受害者的電腦內。另外就是透過放置惡意程式在已被入侵的網站。該網站的訪客會被重新導向到另一個攻擊網站,

該網站會利用訪客的系統或己安裝程式的漏洞,來安裝Locky到受害者電腦內。目前新加坡、馬來西亞、香港和日本都有許多受害案例傳出,

建議所有電腦使用者應提高警覺,小心防範。

 

建議措施:

1.刪除收到的可疑電子郵件,特別是內含連結或附件的郵件。

2.針對要求啟動巨集以觀看其內容的微軟Office 檔案,必須提高警覺,必要時請與寄件者確認其檔案是否含有巨集。 

3.定期備份電腦上的檔案及演練資料還原程序。

4.確實持續更新電腦的作業系統、應用程式及防毒軟體等至最新版本。

5.如不幸受到感染,請立即將受害電腦的網路連線及外接儲存裝置拔除。建議在清除惡意軟體前不要開啟任何檔案。

6.我們不建議支付贖金,支付贖金只會助長勒索軟體更加猖獗。

 

參考資料:

1.https://www.hkcert.org/my_url/zh/blog/16031802

2.https://www.hkcert.org/my_url/zh/alert/16031701

3.http://www.symantec.com/connect/blogs/locky-ransomware-aggressive-hunt-victims

4.https://blog.avast.com/a-closer-look-at-the-locky-ransomware

5.http://blog.checkpoint.com/2016/03/02/locky-ransomware/

6.https://metrics.torproject.org/hidserv-dir-onions-seen.html

 

[1050318]【轉知】澎湖縣教育網路中心於3/18日17時至3/19日17時暫停網路服務

 

轉知澎湖縣教育網路中心公告 - 

 

澎湖縣教育網路中心於105年3月18日下午5時起進行核心路由器汰換及線路調整,屆時將暫停教育網路之一切服務,預計於105年3月19日下午5時恢復正常運作。

 

澎湖縣教育網路中心

電話:06-9264308 傳真:06-9264246

Additional information