碧華國小資訊中心

威脅情報業者Bank Security揭露，駭客論壇有人宣稱握有一份未修補漏洞的SSL VPN設備名單，內有49,577個Fortinet SSL VPN系統的IP位址，這些設備的共通點，就是都存在去年公諸於世的CVE-2018-13379漏洞. CVE-2018-13379是未經驗證的任意讀檔漏洞（Arbitrary File Reading），駭客可以藉此解讀系統檔案，進而發現儲存的明文密碼，就能登入系統且存取企業內部網路環境。這個漏洞存在於執行FortiOS 6.0.4、5.6.7、5.4.12等舊版作業系統的Fortinet設備，該公司於去年5月下旬首度修補。

Impact

Information Disclosure

Affected Products

FortiOS 6.0 – 6.0.0 to 6.0.4

FortiOS 5.6 – 5.6.3 to 5.6.7

FortiOS 5.4 – 5.4.6 to 5.4.12

(other branches and versions than above are not impacted)

ONLY if the SSL VPN service (web-mode or tunnel-mode) is enabled.

Solutions

Upgrade to FortiOS 5.4.13, 5.6.8, 6.0.5 or 6.2.0 and above.

資料來源: https://www.ithome.com.tw/news/141261

資料來源: https://www.fortiguard.com/psirt/FG-IR-18-384

【9月份三重區資訊組長會議】【高中職暨國中小資訊組長會議】【11月份三重區資訊組長會議】

日期：109年12月15日(二)

地點：仁愛國小

公文：

• 公文109E0004209
• 新北市109學年度國民中小學行政人員共同不排課時間一覽表
• 新北市109學年度國民中學各學習領域教師共同不排課時段與教學研究會時間表

工作報告：

• 新北市九大分區資訊組長專業社群召集學校109年度12月份聯席會議紀錄
• EZSchool
  • Ez Recovery 系統介紹
  • 新北學校運用範本專區
• 親師生平台線上學習點數即日起可換全家點數：https://www.facebook.com/1839278099650322/posts/2859575490953906/?d=n

D-Link AP教育訓練：

• 講義：Smart_room_DNC_教育訓練_ver2
• Nuclias Connect
  • 新北市親師生平台 → (身份：資訊組長) → 智慧教室無線網路管理系統

行動學習推動分享：

• 持續經營本校智慧學習網，網站中詳細記錄下行動學習團隊每次工作會議、教授到校指導、課程共備、資訊相關進修研習、課程設計、課程實施過程意見交流和成果發表資料，除了記錄成長歷程，也讓更多團隊成員和校內老師可以自發性且持續性的學習成長。
  • 碧華國小109年度智慧學習領航學校工作會議暨成長研習時間表
  • 碧華國小智慧學習網－專家指導與研習推廣
• 留下完整行動(智慧)學習歷程紀錄：
  • 碧華國小資訊中心工作日誌
  • 智慧學習領航學校工作日誌
• 建置資訊教育、程式教育、創客教育網站，與行動學習、科技教育整合。
  • 碧華國小資訊教育中心
  • 碧華國小程式教育中心
  • 碧華國小創客教育中心
• 鼓勵本校行動學習團隊成員能積極參與新北市資訊教育成果發表會。
  • 中山國中：新北市105年度資訊教育成果發表會(1051118)
  • 中山國中：新北市106年度資訊教育成果發表會(1061020-21)
  • 新莊體育館：新北市107年度資訊科技教育成果展(1071019-20)
  • 新莊體育館：新北市108年度資訊科技教育成果展(1081018-19)
  • 新莊體育館：新北市109年度資訊科技教育成果展(1091120-21)
• 本校行動(智慧)學習工作會議曁成長研習重點：
  • 以能實際應用在行動學習的軟硬體教學為主。
    • 109年度第1次智慧學習領航學校工作會議暨成長研習：停課不停學
    • 109年度第2次智慧學習領航學校工作會議暨成長研習：Google Classroom+Google Meet
    • 109年度第3次智慧學習領航學校工作會議暨成長研習：Google教室和Quizlet、Quizizz整合應用
    • 109年度第4次智慧學習領航學校工作會議暨成長研習：科技輔助自主學習、因材網
    • 109年度第5次智慧學習領航學校工作會議暨成長研習：Google Classroom、學習吧、均一教育平台
    • 109年度第7次智慧學習領航學校工作會議暨成長研習：盛源觸控螢幕操作教學
  • 分享校外研習心得。
    • 教研中心：新北市親師生平台應用
    • 教研中心：教育雲「教學設計增能研習」
    • 教研中心：新北市智慧學習種子教師必修課程:邁向2030的未來教室:新北智慧學習發展
    • 新北市資訊教育輔導團
    • 高師大數位自造教育
    • 教師教學科技增能研習
    • 創客教育研習
    • 程式教育研習
  • 指導、協助老師製作教育部教育雲教案，參加徵選，並上傳至教育大市集。
    • 109年度第6次智慧學習領航學校工作會議暨成長研習：教育部教育雲教案設計
    • 109年度第8次智慧學習領航學校工作會議暨成長研習：教育大市集資源上傳
  • 請教授指導本校行動學習教學策略。
    • 109年度智慧學習領航學校第1次校內主題跨域課程培訓(教授到校輔導)
    • 109年度智慧學習領航學校第2次校內主題跨域課程培訓(教授到校輔導)
    • 109年度智慧學習領航學校第1次市級「智慧學習跨領域課程」教學分享會(1090619)(教授到校輔導)
    • 109年度智慧學習領航學校第2次市級「智慧學習跨領域課程」教學分享會(1091218)(教授到校輔導)
  • 分享智慧學習領航學校月例會參與心得、觀摩其他學校行動學習的推展情形：
    • 視訊會議：109年度第1次月例會
    • 明志國小：109年度第2次月例會暨市級「智慧學習跨領域課程」教學分享會
    • 天生國小：109年度第3次月例會：iPad MDM教學應用
    • 鷺江國小：109年度第4次月例會：四年級藝文暨英文跨領域課程公開授課
    • 義學國小：109年度第5次月例會：盛源觸控螢幕操作教學
    • 碧華國小：109年度第6次月例會：科技化扶助學習×自主學習
• 科技輔導自主學習-數位學習工作坊：
  • 109年度數位學習教師增能工作坊-數位學習工作坊(一)：科技輔助自主學習-數位學習資源及平台
  • 109年度數位學習教師增能工作坊-數位學習工作坊(二)：Cool English
• 本校暑假辦理教師集中培訓：
  • 105年度：運算思維 – App Inventor 2 程式設計
  • 106年度：Google 應用服務教學應用
  • 107年度：Micro:bit
  • 108年度：校園影片製作-威力導演17
  • 109年度：智高學習實驗室實作課程
• 問題排解：
  • iPad 與 MDM 失聯排解：Apple Configurator 2 使用手冊- Apple 支援
  • 3台前瞻計畫智慧教室無線基地台安裝後，網路連同1台網路交換器的電腦全都無法上網。：
    • 網路VLAN設定錯誤：先了解問題，找出解決方案，然後請教研中心大同駐點工程師協助設定。
  • 解決本校 NTPC-Mobile 無法連線問題，與教研中心大同駐點工程師研究解決方法，將全校所有教育局配發之 Dlink 6610 AP設定如下：
    • 原 Dlink 6610 AP 使用端連線數為 60，調降為 40。
    • 2.4GHz頻段功率設為 20%。
    • 5GHz頻段功率設為 100%。
    • 原本校 L3 網路交換器 NTPC-Mobile 認證連線數上限為 128 個，調為 1024 個。(本校 NTPC-Mobile 網段已設為 4 個 Class C)
  • 發現透過學校網路，無論是有線或無線，教育雲、教育大市集的登入身份常會跑掉的問題，在教研中心上網，卻是一切正常，已向教研中心大同駐點工程師反應此問題，並經下列步驟排解。
    1. 從學校上網無法正常使用，關閉 IPv6，僅使用 IPv4 上網，恢復正常，研判 IPv6 連網有狀況。
    2. 從教研中心上網可正常使用，關閉 IPv4，僅使用 IPv6 上網，無法連入本校校園網站，經調整教網路由器設定後，恢復正常。
    3. 從學校上網，重新開啟 IPv6，一切恢復正常。

109年度新北市智慧學習領航學校期中成果報告

• • 各校期中成果分享簡報

行動學習×科技教育×程式教育：

• 108學年度第一學期科技教育教學與學習及探索活動：程式桌遊海霸
• 108學年度第一學期科技教育教學與學習及探索活動：ScratchJr
• 108學年度第一學期科技教育教學與學習及探索活動：Sphero BOLT入門教學與手機遙控
• 108學年度第一學期科技教育教學與學習及探索活動：mBot入門教學與手機遙控
• 108學年度第一學期科技教育教學與學習及探索活動：Swift Playgrounds
• 108學年度第一學期科技教育教學與學習及探索活動：Swift Playgrounds與科技教育

新北市資訊教育輔導團：

• 109年10月份團務會議：micro:bit v2.0、看藝術學思考
• 三鶯分區輔導暨增能研習：AI人工智慧教學
• 三重分區輔導暨增能研習：國際運算思維歷屆挑戰賽題本教學
• 淡水分區輔導暨12月份團務會議：密室逃脫教學演示：IPAD 基礎操作、相機掃 QRcode、運用 AR 教具搜尋答案、解出運算思維題目。
• 新北市AI種子教師培訓工作坊-AI概念導讀
• 新北市AI種子教師培訓工作坊-AI教學設計元素暨國小科技議題融入國小資教課程設計
• 新北市AI種子教師培訓工作坊-AI工具普及應用
• 新北市AI種子教師培訓工作坊-AI課程設計與實作

行動學習教學分享：

• 105年度行動學習期中成果發表會
  • 105學年度行動學習學校團隊成果報告(鄭佑津)
• 105年度行動學習期末成果發表會
  • 105年度310執行成果分享：行動載具使用成果分享(鄭佑津)
• 106年度行動學習期中成果發表會
  • 三下行動學習期末成果報告–校園新亮點 行動五星級(鄭佑津)
• 106年度行動學習期末成果發表會
  • 107學年度行動學習教學實施紀錄：行動載具~帶孩子去旅行(鄭佑津)
• 107年度行動學習期中成果發表會
  • 410下行動學習成果報告：請到我的家鄉來(鄭佑津)
• 107年度行動學習期末成果發表會
  • 行動新視野 碧華不一樣 成果報告(鄭佑津)
• 108年度行動學習期中成果發表會
  • 五下行動學習課程紀錄–戶外教育行動趣(鄭佑津)
• 108年度行動學習期末成果發表會
  • 108學年度行動學習學校團隊成果：一粒種子一個故事-小六生的職涯探索課程(鄭佑津)
• 109年度智慧學習領航學校第1次市級「智慧學習跨領域課程」教學分享會(1090619)
  • 109年度新北市智慧學習領航學校團隊期中成果報告：延續經典與傳承-我們青春不一樣(鄭佑津)
• 109年度智慧學習領航學校第2次市級「智慧學習跨領域課程」教學分享會(1091218)

科技輔導自主學習×科技化學習扶助

• 1091023科技扶助學習x自主學習
• 1091211科技扶助學習X自主學習（修正）
• 新北市邁向2030的未來教室精簡版
• 本校承辦科技化學習扶助-新北親師生平台暨學習吧初階研習(1091113)
• (109上)學習吧X新北認證課程研習資訊

110年智慧學習領航學校實施計畫說明：

• 110年度智慧學習領航學校計畫期程規劃
• 1091104智慧學習輔導小組說明

碧華國小109學年度規劃承辦學習吧初階、認證課程…

如有自管相關SIP主機，需詢問廠商，是否有定期更新hotfix

因為將受害的網路電話系統拿來(撥打國際電話)，牟取不法利益。

———————————————————————————–

內文:

廣受企業採用的網路電話（VoIP），駭客也濫用取得不法利益。例如，本月網路防火牆廠商Check Point，揭露一起發生在今年上半鎖定全球網路電話系統的INJ3CTOR3攻擊行動，駭客藉由系統軟體漏洞，取得對話啟動協定（Session initiation Protocol，SIP）伺服器的控制權，進而使用盜打高額國際費率電話來獲利，由於撥打電話是此種系統的合理用途，企業難以發現自己的系統被濫用。

該公司指出，駭客鎖定的目標，是Sangoma推出的舊版FreePBX軟體，所出現的重大漏洞CVE-2019-19006，它能夠讓攻擊者直接使用管理者權限來存取系統，CVSS風險評估3.1版的分數達到9.8分。上述漏洞存在於FreePBX 15.0.16.26、14.0.13.11，以及13.0.197.13等版本，Sangoma已於2019年11月修補。

Check Point指出，這樣的漏洞影響範圍很廣，因為許多財星500大企業都會採用網路電話交換機系統Asterisk，而FreePBX是與之可搭配運用的管理平臺，一旦企業沒有修補上述FreePBX漏洞，就有機會成為駭客下手的目標，而形成供應鏈攻擊。

由於Asterisk開放原始碼的特性，市面上也衍生出Elastix、Trixbox等版本，如果當中納入的FreePBX存在上述漏洞，可能會面臨同樣的資安風險。

以上資料來源: https://www.ithome.com.tw/news/141024