十一月 2020
 1
2345678
9101112131415
16171819202122
23242526272829
30  

彙整

【資安警訊】學校如有使用Forti設備韌體需升級。

威脅情報業者Bank Security揭露,駭客論壇有人宣稱握有一份未修補漏洞的SSL VPN設備名單,內有49,577個Fortinet SSL VPN系統的IP位址,這些設備的共通點,就是都存在去年公諸於世的CVE-2018-13379漏洞. CVE-2018-13379是未經驗證的任意讀檔漏洞(Arbitrary File Reading),駭客可以藉此解讀系統檔案,進而發現儲存的明文密碼,就能登入系統且存取企業內部網路環境。這個漏洞存在於執行FortiOS 6.0.4、5.6.7、5.4.12等舊版作業系統的Fortinet設備,該公司於去年5月下旬首度修補。

Impact

Information Disclosure

Affected Products

FortiOS 6.0 – 6.0.0 to 6.0.4

FortiOS 5.6 – 5.6.3 to 5.6.7

FortiOS 5.4 – 5.4.6 to 5.4.12

(other branches and versions than above are not impacted)

ONLY if the SSL VPN service (web-mode or tunnel-mode) is enabled.

Solutions

Upgrade to […]

創想 CR-2020 3D印表機簡介

名稱:創想 CR-2020 3D印表機 用途:機械結構線性運動 規格: 列印尺寸: 200x200x200mm。 列印精度: ± 0.1mm。 列印速度: ≦150mm/s。 噴嘴孔徑: 0.4mm (可更換0.2/0.3mm等等)。 使用耗材: PLA/ABS/HIPS/EVA/PET/PTEG/WOOD/PVA等等。 耗材規格: 1.75mm。 列印層高: 0.05mm~0.4mm可設定。 檔案格式: STL/OBJ/OBJ/AMF/3D-Studio/JPG/PNG/GCODE等等。 切片軟體 : Cura/Repetier-Host/Simplify3D/Kiss slicer等等。 繪圖軟體: 無直接關係,無指定。 連線介面: USB與電腦連線或SD卡離線列印。 作業系統: Windows 10/Windows7/Windows XP/Mac OS/Linux。 操作介面: 中文/英文。 軟體介面: 中文/英文/其他國際語文。 電源要求: AC110~240V。 消耗功率: 190~200W。 外觀尺寸: 370x370x521mm。 機器淨重: 18kg。 相關網站: Creality 3D列印機官方網站 創想CR-2020 3D列印機| 3DPW祥貿科技 [3DPW] […]

109年12月份三重區資訊組長會議暨成長研習:行動學習分享、D-Link AP教育訓練(1091215)

【9月份三重區資訊組長會議】【高中職暨國中小資訊組長會議】【11月份三重區資訊組長會議】

日期:109年12月15日(二) 地點:仁愛國小 公文: 公文109E0004209 新北市109學年度國民中小學行政人員共同不排課時間一覽表 新北市109學年度國民中學各學習領域教師共同不排課時段與教學研究會時間表 工作報告: 新北市九大分區資訊組長專業社群召集學校109年度12月份聯席會議紀錄 EZSchool Ez Recovery 系統介紹 新北學校運用範本專區 親師生平台線上學習點數即日起可換全家點數:https://www.facebook.com/1839278099650322/posts/2859575490953906/?d=n

D-Link AP教育訓練: 講義:Smart_room_DNC_教育訓練_ver2 Nuclias Connect 新北市親師生平台 → (身份:資訊組長) → 智慧教室無線網路管理系統 行動學習推動分享: 持續經營本校智慧學習網,網站中詳細記錄下行動學習團隊每次工作會議、教授到校指導、課程共備、資訊相關進修研習、課程設計、課程實施過程意見交流和成果發表資料,除了記錄成長歷程,也讓更多團隊成員和校內老師可以自發性且持續性的學習成長。 碧華國小109年度智慧學習領航學校工作會議暨成長研習時間表 碧華國小智慧學習網-專家指導與研習推廣 留下完整行動(智慧)學習歷程紀錄: 碧華國小資訊中心工作日誌 智慧學習領航學校工作日誌 建置資訊教育、程式教育、創客教育網站,與行動學習、科技教育整合。 碧華國小資訊教育中心 碧華國小程式教育中心 碧華國小創客教育中心 鼓勵本校行動學習團隊成員能積極參與新北市資訊教育成果發表會。 中山國中:新北市105年度資訊教育成果發表會(1051118) 中山國中:新北市106年度資訊教育成果發表會(1061020-21) 新莊體育館:新北市107年度資訊科技教育成果展(1071019-20) 新莊體育館:新北市108年度資訊科技教育成果展(1081018-19) 新莊體育館:新北市109年度資訊科技教育成果展(1091120-21) 本校行動(智慧)學習工作會議曁成長研習重點: 以能實際應用在行動學習的軟硬體教學為主。 109年度第1次智慧學習領航學校工作會議暨成長研習:停課不停學 109年度第2次智慧學習領航學校工作會議暨成長研習:Google Classroom+Google Meet 109年度第3次智慧學習領航學校工作會議暨成長研習:Google教室和Quizlet、Quizizz整合應用 109年度第4次智慧學習領航學校工作會議暨成長研習:科技輔助自主學習、因材網 109年度第5次智慧學習領航學校工作會議暨成長研習:Google Classroom、學習吧、均一教育平台 109年度第7次智慧學習領航學校工作會議暨成長研習:盛源觸控螢幕操作教學 分享校外研習心得。 […]

【資安警訊】學校如果自採網路設備或如有自用時,別採購中國品牌Jetstream與Wavlink,有隱藏後門程式。

(轉知)學校如果自採網路設備或如有自用時,以下這兩款別採購,有隱藏後門程式。 中國品牌Jetstream與Wavlink。

————————————————————————————————-

內文擷取說明:

研究人員發現,不管是Wavlink或Jetstream品牌的路由器都有一個替後門設計的使用者介面,所使用的韌體則含有一個可用來遠端存取路由器的檔案,其中有個Javascript會檢查使用者所輸入的憑證,若自遠端監控此一Javascript即可取得用戶憑證,就算未於Javascript中存放憑證,亦可自遠端下載未加密的備份,同樣可取得憑證。

 

在確認後門之後,他們建立了一個誘捕系統,顯示相關漏洞已遭到積極的開採,開採目的是為了散布Mirai殭屍病毒,且攻擊IP位於中國。不僅如此,這類的漏洞也將允許駭客檢視使用者所有的網路活動,甚至是控制整個網路,危害連結該網路的各式裝置。

資料來源: https://www.ithome.com.tw/news/141278

【資安警訊】如有自管相關SIP主機,需詢問廠商,是否有定期更新hotfix。

如有自管相關SIP主機,需詢問廠商,是否有定期更新hotfix 因為將受害的網路電話系統拿來(撥打國際電話),牟取不法利益。

———————————————————————————–

內文:

廣受企業採用的網路電話(VoIP),駭客也濫用取得不法利益。例如,本月網路防火牆廠商Check Point,揭露一起發生在今年上半鎖定全球網路電話系統的INJ3CTOR3攻擊行動,駭客藉由系統軟體漏洞,取得對話啟動協定(Session initiation Protocol,SIP)伺服器的控制權,進而使用盜打高額國際費率電話來獲利,由於撥打電話是此種系統的合理用途,企業難以發現自己的系統被濫用。

該公司指出,駭客鎖定的目標,是Sangoma推出的舊版FreePBX軟體,所出現的重大漏洞CVE-2019-19006,它能夠讓攻擊者直接使用管理者權限來存取系統,CVSS風險評估3.1版的分數達到9.8分。上述漏洞存在於FreePBX 15.0.16.26、14.0.13.11,以及13.0.197.13等版本,Sangoma已於2019年11月修補。

Check Point指出,這樣的漏洞影響範圍很廣,因為許多財星500大企業都會採用網路電話交換機系統Asterisk,而FreePBX是與之可搭配運用的管理平臺,一旦企業沒有修補上述FreePBX漏洞,就有機會成為駭客下手的目標,而形成供應鏈攻擊。

由於Asterisk開放原始碼的特性,市面上也衍生出Elastix、Trixbox等版本,如果當中納入的FreePBX存在上述漏洞,可能會面臨同樣的資安風險。

以上資料來源: https://www.ithome.com.tw/news/141024