【漏洞預警】京晨科技(NUUO Inc.)網路監控錄影系統存在安全漏洞

ANA事件單通知:TACERT-ANA-2019060601065858

【漏洞預警】京晨科技(NUUO Inc.)網路監控錄影系統(Network Video Recorder, NVR)存在安全漏洞(CVE-2019-9653),允許攻擊者遠端執行系統指令,請儘速確認並進行韌體版本升級

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019060601065858 發佈時間 2019-06-06 13:49:00
事故類型 ANA-漏洞預警 發現時間 2019-05-31 00:00:00
影響等級
[主旨說明:]【漏洞預警】京晨科技(NUUO Inc.)網路監控錄影系統(Network Video Recorder, NVR)存在安全漏洞(CVE-2019-9653),允許攻擊者遠端執行系統指令,請儘速確認並進行韌體版本升級
[內容說明:]

轉發國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201906-0027 NUUO NVR是一個以嵌入式Linux為基礎的網路監控錄影系統,可同時管理多個網路攝影機,並將影像回傳至儲存媒體或設備。本中心研究團隊發現多款NUUO NVR產品系統存在安全漏洞(CVE-2019-9653),攻擊者可繞過身分驗證於目標系統上執行任意程式碼。由於NVR系統之handle_load_config.php頁面缺少驗證與檢查機制,攻擊者可透過發送客製化惡意請求,利用此漏洞以管理者權限(root)遠端執行系統指令。 此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

NUUO NVR相關產品其韌體版本為1.7.x 至 3.3.x版本

[建議措施:]

目前京晨科技官方已有較新版本的韌體釋出,建議將韌體版本升級至最新版本:

  1. 使用官方提供之新版本韌體進行更新,下載連結:https://www.nuuo.com/DownloadMainpage.php
  2. 針對無法更新之NVR系統,請透過防護設備或系統內部設定限制存取來源,嚴格限制僅管理人員能夠存取系統之handle_load_config.php頁面,並禁止對該頁面發送任何系統指令與傳入特殊字元。
[參考資料:]

  1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9653
  2. https://www.nuuo.com/DownloadMainpage.php

【漏洞預警】校園數位學習平台 WMP 智慧大師含有 Command Injection 漏洞

ANA事件單通知:TACERT-ANA-2019060309060808

【漏洞預警】校園數位學習平台 WMP 智慧大師含有 Command Injection 漏洞

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019060309060808 發佈時間 2019-06-03 09:59:09
事故類型 ANA-漏洞預警 發現時間 2019-05-30 00:00:00
影響等級
[主旨說明:]【漏洞預警】校園數位學習平台 WMP 智慧大師含有 Command Injection 漏洞
[內容說明:]

轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201905-0007

本次通報的漏洞屬於Command Injection的高風險漏洞,如果管理者未在網站的輸入表單中過濾敏感字元,攻擊者則有可能透過這些進入點將指令傳送至伺服器端執行。以本次通報的漏洞而言,該漏洞可以上傳webshell,並取得主機管理者帳密、資料庫帳秘等機敏資訊,也可以執行未經授權的任意系統指令。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

WMP 智慧大師

[建議措施:]

1. 確認貴單位是否使用此軟體,連絡廠商協助進行更新修補作業2. 修補該程式漏洞,對輸入欄位進行惡意字元過濾作業

[參考資料:]

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

 

【漏洞預警】Synology-SA-19:25 Virtual Machine Manager存在安全漏洞,請儘速確認並進行更新(1080528)

ANA事件單通知:TACERT-ANA-2019052709053737

【漏洞預警】Synology-SA-19:25 Virtual Machine Manager存在安全漏洞,請儘速確認並進行更新。

 

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019052709053737 發佈時間 2019-05-27 09:18:39
事故類型 ANA-漏洞預警 發現時間 2019-05-24 17:18:18
影響等級
[主旨說明:]【漏洞預警】Synology-SA-19:25 Virtual Machine Manager存在安全漏洞,請儘速確認並進行更新。
[內容說明:]

轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-201905-0006

Synology Virtual Machine Manager是協助使用者集中管理多台 Synology NAS的軟體套件。 研究人員發現Synology-SA-19:25 Virtual Machine Manager存在安全漏洞,遠端攻擊者可利用此漏洞,繞過 Virtual Machine Manager 之安全限制。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

Virtual Machine Manager 2.4

Virtual Machine Manager 2.3

[建議措施:]

使用 Virtual Machine Manager 套件的單位盡快更新到最新版本

Virtual Machine Manager 2.4 升級到 2.4.1-9259 或更新版本

Virtual Machine Manager 2.3 升級到 2.3.5-9030 或更新版本

[參考資料:]

https://www.synology.com/zh-tw/security/advisory/Synology_SA_19_25

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

Synology NAS 網站維運(1080517)

Synology NAS Server 系統更新:

版本: 6.2.2-24922


(2019-04-29)

DSM 6.2.2 的新功能

  1. 新增智慧更新功能並調整 DSM 更新機制。
  2. IHM 現可支援 14TB IronWolf 和 IronWolf Pro。
  3. 新增特定 SAS 機種上的 SAS 控制器晶片韌體更新功能。
  4. 於技術支援中心中新增知識庫文章推薦,藉此幫助使用者進行簡易疑難排解。
  5. 若密碼過期,網域使用者將可在登入 DSM 時更換密碼。
  6. 新增支援整合式 Windows 驗證。
  7. 新增支援 Google LDAP 服務。
  8. 新增全新低容量寫入功能,能在儲存空間即將用盡時暫時解除 LUN 的唯讀狀態。
  9. 使用者將可在建立 iSCSI LUN 時,選擇欲啟用的進階功能項目。
  10. 調整 iSCSI Manager 在儲存空間容量不足時的警告機制。
  11. iSCSI Manager 現已可指定刪除舊快照的時間。
  12. 新增支援在個人帳號設定及控制台調整日期與時間的格式。
  13. 支援 XS 以及 FS 系列機種上的 SSD 相容性檢查。
  14. 調整壞軌通知機制。
  15. 提升 SSD 快取命中率計算準確性。
  16. 使用者可於新增 Synology DDNS 時同時取得 Let’s Encrypt 憑證。
  17. 將通知標記由數字改為紅點顯示並調整顯示規則。

問題修正

  1. 修正在特定機種上,歷史紀錄可能無法顯示於資源監控的問題。
  2. 修正在 macOS 10.13 上刪除檔案後可能無法重新上傳的問題。
  3. 修正無法在多台 macOS 裝置上同時使用 Microsoft Office 2016 開啟同一加密 Excel 檔案的問題。
  4. 縮短使用 AFP 連線時網域及 LDAP 認證所需時間。
  5. 提升掛載 exFAT 外接裝置的穩定性 (須安裝 exFAT 套件)。
  6. 提升 NFS 連線穩定性。
  7. 加強當使用者變動大量資料夾的位置時,Snapshot Replication 的穩定性。
  8. 加強 Btrfs 檔案系統在特定高 I/O 負載環境下的穩定性。
  9. 為提升安全性將安全修復選項由核心頁表隔離 (KPTI) 改為 Spectre 與 Meltdown 防護。適用於下列機種:
    • 18-系列 : DS218+, DS418play, DS718+, DS918+, DS1618+, DS3018xs, RS2418+, RS2418RP+, RS2818RP+, FS1018
    • 19-系列 : DS1019+, DS1819+, DS2419+, RS1619xs+
  10. 修正有關 Linux kernel 的多項安全性弱點 (CVE-2017-13168、CVE-2018-19824、CVE-2017-15649、CVE-2018-14634、CVE-2018-17182、CVE-2018-10853)。
  11. 修正有關 OpenSSL 的多項安全性弱點 (CVE-2018-0732、CVE-2018-0737、CVE-2019-1559、CVE-2018-0734、CVE-2018-5407)。
  12. 修正有關 Spectre & Meltdown 的多項安全性弱點 (Synology-SA-18:01)。
  13. 修正有關 OpenSSH 的多項安全性弱點 (CVE-2019-6109、CVE-2019-6110、CVE-2019-6111、CVE-2018-20685)。
  14. 修正有關 SQLite 的安全性弱點 (Synology-SA-18:61)。
  15. 修正有關 Samba 的多項安全性弱點 (Synology-SA-18:47Synology-SA-18:60)。
  16. 修正其他問題。

版本: 6.2.1-23824-6


(2019-02-19)

問題修正

  1. 修正當轉換 SHR 類型或擴充 SHR 時,若系統異常的重新啟動,可能造成儲存空間無法正確掛載的問題。
  2. 修正在系統高負載的環境下,快照複寫結束時可能導致系統異常重新啟動的問題。
  3. 修正其他問題。

【資安訊息】請各單位加強宣導個資管理,並防護保有個人資料檔案之網站系統,以防杜網站個資外洩

(ANA事件單通知:TACERT-ANA-2019051309052222)

(【資安訊息】請各單位加強宣導個資管理,並防護保有個人資料檔案之網站系統,以防杜網站個資外洩)

教育機構ANA通報平台

發佈編號 TACERT-ANA-2019051309052222 發佈時間 2019-05-13 09:04:22
事故類型 ANA-資安訊息 發現時間 2019-05-10 00:00:00
影響等級
[主旨說明:]【資安訊息】請各單位加強宣導個資管理,並防護保有個人資料檔案之網站系統,以防杜網站個資外洩
[內容說明:]

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-201905-0089。

有鑑於個資外洩威脅日增,請加強向各自所屬單位宣導個資管理,並針對保有個人資料之網站 (如活動報名系統、專案型系統等),強化個資安全防護措施,宣導個資保護意識。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

N/A

[建議措施:]

1.規劃與落實個資保護安全控制措施。

參考「105年個人資料保護參考指引(V2.0)」中之安全控制措施規劃(3.1.8)與建立安全控制措施(3.2.3)說明,針對個資保護技術安全控制項目進行妥適規劃、評估與量測,以強化個人資料之安全防護。

2.強化委外管理。

如將個人資料委託第三方廠商處理,可參考「107年政府資訊作業委外服務參考指引(修訂)(V5.1)」之個人資料委外管理風險與注意事項(2.5.3),落實個資保護要求與管理。

3.加強管控網站安全。

針對保有個資之網站應納入管理範圍,妥善保護網站儲存之個人資料。若為短期活動或專案性質,應於活動或專案終止後立即離線關閉,而所包含之個人資料應限制存取,並於個資期限屆滿後落實刪除。

4.重新檢視依法公開之個人資料。

如有因應法規要求而需公開於網站之個人資料,請重新檢視公開內容之妥適性,並增加其上線公布之審查程序,以避免洩露不適當的個人資料。

[參考資料:]

https://www.nccst.nat.gov.tw/CommonSpecification?lang=zh

1.107年政府資訊作業委外服務參考指引(修訂)(V5.1)

2.105年個人資料保護參考指引(V2.0)

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw