【資安警訊】學校如有使用Forti設備韌體需升級。

威脅情報業者Bank Security揭露,駭客論壇有人宣稱握有一份未修補漏洞的SSL VPN設備名單,內有49,577個Fortinet SSL VPN系統的IP位址,這些設備的共通點,就是都存在去年公諸於世的CVE-2018-13379漏洞. CVE-2018-13379是未經驗證的任意讀檔漏洞(Arbitrary File Reading),駭客可以藉此解讀系統檔案,進而發現儲存的明文密碼,就能登入系統且存取企業內部網路環境。這個漏洞存在於執行FortiOS 6.0.4、5.6.7、5.4.12等舊版作業系統的Fortinet設備,該公司於去年5月下旬首度修補。

Impact

Information Disclosure

Affected Products

FortiOS 6.0 – 6.0.0 to 6.0.4

FortiOS 5.6 – 5.6.3 to 5.6.7

FortiOS 5.4 – 5.4.6 to 5.4.12

(other branches and versions than above are not impacted)

ONLY if the SSL VPN service (web-mode or tunnel-mode) is enabled.

Solutions

Upgrade to FortiOS 5.4.13, 5.6.8, 6.0.5 or 6.2.0 and above.

 

資料來源: https://www.ithome.com.tw/news/141261

資料來源: https://www.fortiguard.com/psirt/FG-IR-18-384

創想 CR-2020 3D印表機簡介

名稱:創想 CR-2020 3D印表機

用途:機械結構線性運動

規格:

  • 列印尺寸: 200x200x200mm。
  • 列印精度: ± 0.1mm。
  • 列印速度: ≦150mm/s。
  • 噴嘴孔徑: 0.4mm (可更換0.2/0.3mm等等)。
  • 使用耗材: PLA/ABS/HIPS/EVA/PET/PTEG/WOOD/PVA等等。
  • 耗材規格: 1.75mm。
  • 列印層高: 0.05mm~0.4mm可設定。
  • 檔案格式: STL/OBJ/OBJ/AMF/3D-Studio/JPG/PNG/GCODE等等。
  • 切片軟體 : Cura/Repetier-Host/Simplify3D/Kiss slicer等等。
  • 繪圖軟體: 無直接關係,無指定。
  • 連線介面: USB與電腦連線或SD卡離線列印。
  • 作業系統: Windows 10/Windows7/Windows XP/Mac OS/Linux。
  • 操作介面: 中文/英文。
  • 軟體介面: 中文/英文/其他國際語文。
  • 電源要求: AC110~240V。
  • 消耗功率: 190~200W。
  • 外觀尺寸: 370x370x521mm。
  • 機器淨重: 18kg。

相關網站:

切片軟體:

109年12月份三重區資訊組長會議暨成長研習:行動學習分享、D-Link AP教育訓練(1091215)

9月份三重區資訊組長會議】【高中職暨國中小資訊組長會議】【11月份三重區資訊組長會議

日期:109年12月15日(二)

地點:仁愛國小

公文:

工作報告:

D-Link AP教育訓練:

行動學習推動分享:

109年度新北市智慧學習領航學校期中成果報告

行動學習×科技教育×程式教育:

新北市資訊教育輔導團:

行動學習教學分享:

科技輔導自主學習×科技化學習扶助

110年智慧學習領航學校實施計畫說明:

碧華國小109學年度規劃承辦學習吧初階、認證課程…

【資安警訊】學校如果自採網路設備或如有自用時,別採購中國品牌Jetstream與Wavlink,有隱藏後門程式。

(轉知)學校如果自採網路設備或如有自用時,以下這兩款別採購,有隱藏後門程式。

中國品牌Jetstream與Wavlink。

————————————————————————————————-

內文擷取說明:

研究人員發現,不管是Wavlink或Jetstream品牌的路由器都有一個替後門設計的使用者介面,所使用的韌體則含有一個可用來遠端存取路由器的檔案,其中有個Javascript會檢查使用者所輸入的憑證,若自遠端監控此一Javascript即可取得用戶憑證,就算未於Javascript中存放憑證,亦可自遠端下載未加密的備份,同樣可取得憑證。

 

在確認後門之後,他們建立了一個誘捕系統,顯示相關漏洞已遭到積極的開採,開採目的是為了散布Mirai殭屍病毒,且攻擊IP位於中國。不僅如此,這類的漏洞也將允許駭客檢視使用者所有的網路活動,甚至是控制整個網路,危害連結該網路的各式裝置。

資料來源: https://www.ithome.com.tw/news/141278

【資安警訊】如有自管相關SIP主機,需詢問廠商,是否有定期更新hotfix。

如有自管相關SIP主機,需詢問廠商,是否有定期更新hotfix

因為將受害的網路電話系統拿來(撥打國際電話),牟取不法利益。

———————————————————————————–

內文:

廣受企業採用的網路電話(VoIP),駭客也濫用取得不法利益。例如,本月網路防火牆廠商Check Point,揭露一起發生在今年上半鎖定全球網路電話系統的INJ3CTOR3攻擊行動,駭客藉由系統軟體漏洞,取得對話啟動協定(Session initiation Protocol,SIP)伺服器的控制權,進而使用盜打高額國際費率電話來獲利,由於撥打電話是此種系統的合理用途,企業難以發現自己的系統被濫用。

該公司指出,駭客鎖定的目標,是Sangoma推出的舊版FreePBX軟體,所出現的重大漏洞CVE-2019-19006,它能夠讓攻擊者直接使用管理者權限來存取系統,CVSS風險評估3.1版的分數達到9.8分。上述漏洞存在於FreePBX 15.0.16.26、14.0.13.11,以及13.0.197.13等版本,Sangoma已於2019年11月修補。

Check Point指出,這樣的漏洞影響範圍很廣,因為許多財星500大企業都會採用網路電話交換機系統Asterisk,而FreePBX是與之可搭配運用的管理平臺,一旦企業沒有修補上述FreePBX漏洞,就有機會成為駭客下手的目標,而形成供應鏈攻擊。

由於Asterisk開放原始碼的特性,市面上也衍生出Elastix、Trixbox等版本,如果當中納入的FreePBX存在上述漏洞,可能會面臨同樣的資安風險。

以上資料來源: https://www.ithome.com.tw/news/141024