中華資安國際金融安全評估團隊發現國內知名跨平台數位簽章軟體具有不安全的API

中華資安國際金融安全評估團隊發現國內知名跨平台數位簽章軟體之弱點 (CVE-2020-3925、CVE-2020-3936、CVE-2020-3927),指出國內知名跨平台數位簽章軟體具有不安全的API,可被攻擊者利用導致任意函式庫執行、任意讀取檔案、與刪除檔案。


【風險等級】高度威脅


【影響範圍】ServiSign  Windows 版本,版本號 1.0.19.0617


【細節描述】

1.CVE-2020-3925:攻擊者可以在任意網站頁面部屬惡意JS代碼執行 ServiSign 提供之API的功能,其中 ServiSign 具有不安全的API,使得攻擊者可以任意執行使用者端指定路徑的動態連結函數庫 (DLL)。

2.CVE-2020-3926:攻擊者可以在任意網站頁面部屬惡意JS代碼執行 ServiSign 提供之API的功能,其中 ServiSign 具有不安全的API,使得攻擊者可以讀取使用者系統上任意的檔案的內容。

3.CVE-2020-3927:攻擊者可以在任意網站頁面部屬惡意JS代碼執行 ServiSign 提供之API的功能,其中 ServiSign 具有不安全的API,使得攻擊者可以刪除指定路徑的檔案。


開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用此數位簽章系統,建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施:

1.使用者:確認ServiSign 版本是否是最新版本,且不在影響範圍之內。

2.政府機關、企業:盡速聯絡軟體開發商修補,並通知使用者更新軟體。

3.軟體開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。


【參考資訊】

NIST(CVE-2020-3925)

NIST(CVE-2020-3926)

NIST(CVE-2020-3927)

TWCERT(TVN-201910005)

TWCERT(TVN-201910006)

TWCERT(TVN-201910007)