訊息專區

中華資安國際資安檢測團隊，去年在執行金融機構電腦系統資訊安全評估的過程中，找出SWIFT系統具有Log注入的高風險（CVE-2018-16386），SWIFT平台是環球銀行金融電信協會(Society for Worldwide Interbank Financial Transfers)的全球金融銀行機構交易資料交換系統，超過200個國家與地區的11,000多家銀行與證券商使用，也是駭客的重要攻擊目標之一，過去三年間，就有包含台灣在內的多家銀行，因為相關系統遭駭客入侵而損失超過25億元。該弱點不需要登入即可遠端Log注入，CVSS v3.0風險評分為7.5 High，簡述如下：CVE-2018-16386：中華資安國際白帽駭客獨家挖掘出SWIFT Alliance Web Platform 7.1.23存在Log Injection漏洞，攻擊者可利用系統Error log功能,寫入任意字串到任意log檔案中，若搭配其他的任意檔案引入弱點一起使用，就可能達成遠端執行指令碼攻擊例如：攻擊者可以將攻擊指令寫入到log中,再載入該log內容，即可達成cmd injection之攻擊。一旦攻擊成功，攻擊者將可取得受害主機所有控制權。開發廠商接獲通報後已配合儘速釋出相關更新，SWIFT系統敏感性較高，漏洞情資在去年通報後，直到今年才公開發佈，建議仍在使用SWIFT 7.1.23(含)以前版本的金融機關或企業，儘快聯繫廠商進行系統更新。若無法立刻更新，建議採取以下減緩措施與檢查：1.定期檢查Log內容是否有特殊寫入資訊。2.在程式開發過程中應確保每個功能在執行前皆進行權限檢查，若權限不足則不允許存取。3.程式開發人員應運用白名單或正規表示式進行參數檢查，以避免遭到惡意語法注入，建議開發廠商導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

中華資安國際Red Team團隊發現，國內知名數位學習平台具有系統指令注入的重大風險（CVE-2019-11062），由於影響範圍包含政府、教育與金融等至少約50個機構，且不需要登入即可遠端執行指令，CVSS v3.0風險評分為9.8 Critical，簡述如下：CVE-2019-11062：具有系統指令注入漏洞，攻擊者可在不經過任何身分認證情況下，在注入頁面的basePath參數放入任意系統指令，且參數檢查機制可遭到繞過。一旦攻擊成功，攻擊者將可取得受害主機控制權，或上傳網頁木馬（Webshell）取得主機管理者帳密、資料庫帳密等資訊。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用數位學習平台者，建議儘快聯繫廠商進行修補更新。若無法立刻更新，建議採取以下減緩措施與檢查：1.關閉/teach/course/doajaxfileupload.php連線路徑，使其無法進行作業。2.開啟WAF設備檢查basePath欄位，阻擋任何OS指令(包括編碼之後的版本)。3.檢查是否有其他新建立的檔案(未知檔案)已被上傳成功，如發現檔案應立即進行事件處理。4.網路連線設備單一session連線至/teach/course/doajaxfileupload.php頁面而未有認證session id之紀錄，應立即進行封鎖或阻斷連線。5.在程式開發過程中應確保每個功能在執行前皆進行權限檢查，若權限不足則不允許存取。6.程式開發人員應運用白名單或正規表示式進行參數檢查，以避免遭到惡意語法注入，建議開發廠商導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

中華資安國際Red Team團隊發現CVE-2019-11232及CVE-2019-11233，指出國內知名公文編輯系統具有兩個敏感資訊洩漏的重大風險，可歸類在OWASP TOP 10 2017A3-Sensitive Data Exposure類型中，由於波及範圍廣泛，CVSS v3.0風險評分為9.8 Critical及7.5 High，簡述如下：CVE-2019-11232：洩漏用戶在該系統中的密碼，且該密碼使用不安全的儲存方式，攻擊者相對易於破解加密的內容，進而獲取明文。CVE-2019-11233：洩漏如員工編號、員工信箱、部門資訊等內部機敏資訊。攻擊者可在未登入的情況下，串聯以上兩項漏洞以直接取得使用者的帳號密碼，登入系統存取公文等機敏內容，或是在獲取員工的組織資訊後，透過社交工程或APT攻擊來竊取內部更機敏的資料。目前開發廠商已釋出相關更新程式，若機關或企業有使用公文編輯系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：在開發過程中確保每個功能在執行前皆進行權限檢查，若權限不足則不允許存取。密碼的儲存應採取加鹽雜湊，即在欲保存的原始密碼加上長字串(salt)，再透過強度較高的雜湊演算法(例如SHA-256)多次運算後才存入資料庫。近幾年惡意程式數量與變化更是大幅增加，駭客手法也日新月異，企業可以經過系統化的資安檢測與專家經驗的輔助來降低風險指數，建議企業需定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保企業資訊安全的有效性。

3/19~3/21於台灣資安大會的台灣資安館展出：Secure Element身分安全晶片與加密通訊應用、「「SecuTex」網路威脅偵測系統、「資安事件應變夥伴協議」等自主研發產品與服務，並對總統簡介產品功能及應用。應用於「事前防範」的身分確認產品Secure Element：此為本公司與本土晶片廠商合作研發的安全晶片產品，不僅可搭配手機或電腦提供對人的身分識別，也適合整合在IoT裝置中提供對設備的身分識別，並且提供通訊加密的保護。應用於「事中監控」的封包側錄分析產品SecuTex：此為本公司自主開發之產品，可以將網路上流量完整側錄下來，並在發生駭客攻擊時還原事件現場，找出根因。應用於「事後應變」的「資安事件應變夥伴協議」(Incident Response服務)：由本公司資安專家即時救援應變、事件調查與鑑識，提供事件報告與強化措施，企業不需花錢培養鑑識團隊。

台灣企業的資安意識已逐步提升，許多企業已建置基礎的資安防護措施，但駭客技術及手法隨著資訊技術、科技應用的演進也持續精進，同時也將攻擊對象延伸到特定領域如醫療、高科技、關鍵基礎設施等產業的 OT 環境。然而企業為引進智慧化與大資料分析，很多 OT 網路與設備開始進行聯網資料交換，與 IT 網路互聯越來越普遍，雖有採取隔離措施，但仍衍生很多資安風險，因此，企業在面臨資安嚴峻的挑戰，除持續關注 IT 環境的因應之道外，如何因應 OT 環境的資安挑戰，以避免造成營運中斷的風險，更是企業不容忽視的課題。簡報下載

本公司Red team團隊2名成員與資安社群2名成員組隊參加「2018資安滲透測試攻防國際邀請賽」，與來自社群、學術、研究機構等十家隊伍共同參與競賽，榮獲冠軍殊榮。本次攻防邀請賽由廠商提供產品供參賽隊伍進行漏洞挖掘，產品涵蓋電子郵件管理系統、資料管控系統、視訊監控系統、Windows與Ubuntu白名單系統等，當參賽隊伍挖掘出漏洞時，透過主辦單位的漏洞回報平台回報漏洞及截圖佐證方能得分。本賽程為期三天，考驗參賽隊伍對作業系統、網路架構、通訊協定運作、應用程式運行、資料蒐集分析、資安防護機制迴避、程式撰寫以及團隊協同合作的能力，同時也是對體力、耐力及腦力的考驗，本隊伍成功挖掘出數十個漏洞取得297積分，領先第二名50分之多，獲得冠軍。

中華資安團隊榮獲HITCON Defense企業資安攻防大賽冠軍及「情資分享特別獎」雙料獎項中華電信資安團隊於12/14，台灣駭客協會舉辦的「HITCON Defense企業資安攻防大賽」，從6支參賽勁旅中脫穎而出獲得冠軍。並且在參賽過程中，因樂於分享情資榮獲主辦單位頒發的「情資分享特別獎」，肯定中華資安除擁有專業的資安防護能力外，還具有互助精神，協助其他參賽隊伍提升資安防護能力。本次參賽隊伍來自金融、電信、政府、軍方、高科技單位，皆為國內資安專業的一時之選。中華電信團隊打趣以RFC 2324狀態碼「418」為隊名，成員由中華資安國際、中華電信數據分公司所組成，在駭客炮火猛烈的攻擊下，快速盤點企業資產、挖掘內部網路威脅、建構資安防護架構，最終維持企業持續營運，因此奪得本屆大賽冠軍。代表領獎的中華資安國際公司總經理洪進福表示：「本屆HITCON Defense攻防大賽最大特色就是『真』，這些攻擊情境與我們過去協助客戶處理的資安事件頗多雷同；我們擁有豐富的資安專業能力、實戰經驗，樂於協助政府與企業做好資安防護，共同提升國內整體資安防護能力；本次參賽的中華電信資安團隊，都擁有長期服務企業資安的經驗，也是這次團隊脫穎而出的成功關鍵。」「HITCON Defense企業資安攻防大賽」是模擬資安防禦團隊(Blue Team)「空降」接手企業網路與資訊系統，同時由大會組成的駭客團隊(Red Team)，展開各式網路攻擊，從埋設後門程式、遭分散式阻斷攻擊(DDoS)、資料隱碼注入攻擊(SQL Injection)、刪除資料庫、到企業資源整合系統(ERP)漏洞等，最後連企業雲端平臺與虛擬私人網路(SSLVPN)都遭受入侵，手法相當激進，也非常貼近真實世界的目標式攻擊手法；但中華電信418團隊運用傑出的資安防禦、弱點挖掘、網路封包等分析能力，找出攻擊來源及手法，快速建立防護體系，才能在這次大賽中一舉奪冠，更顯示出中華電信在資安實戰經驗的豐富資歷。

發佈日期：107/12/8BSI英國標準協會於12月8日頒贈「資安品質精銳獎」給中華資安國際公司，由中華資安國際洪進福總經理代表領獎，肯定本公司從今年初成立，僅僅六個月就完成ISO 27001與ISO 20000標準實踐與驗證，對團隊之技術能量、服務品質、資安治理獲得國際評鑑機構的肯定，這一路走來，說與做一致，就是承諾全心守護客戶的資訊安全，成為企業可信任的資安夥伴，打造一個安全可信任的網路生活環境！

發佈日期：107/8/24中華資安國際以上網資安防護為主題參展「CLOUDSEC 2018企業資安高峰論壇」，並由資深資安架構規劃師於會場上分享「企業如何與ISP合作建構資安縱深防禦網」，企業將資安防線往前推到ISP骨幹網路端，由結合全球及在地化威脅情資與ISP網路連線管控機制，阻絕威脅於境外，不但可降低企業自行佈建資安防禦的複雜度，更可以避免企業網路頻寬遭駭客塞爆及系統效能超載，更可有效降低營運成本，演講資料請按此下載。中華資安國際與中華電信合作提供上網資安防護安全於會場上展示與中華電信合作網路端多項資安防護服務由資深資安架構規畫師王信富經理主講，座無虛席，詢問不斷

前言 「台灣駭客年會社群場」(HITCON CMT 2018)於7/27-7/28為期兩天於南港展覽館舉行，中華電信及中華資安國際在HITCON CMT攤位活動上，設計一個模擬社交工程真實案例的體驗活動，希望以寓教於樂的方式，提醒企業與個人瞭解各種安全防護上的風險因素。 參加者藉由靜態社交資訊搜集的方式(人肉搜索)，利用使用者洩漏的資訊，逐步抽絲剝繭找出使用者的帳號密碼，達到入侵系統的目的，為期兩天的活動共計約250位會眾通過第一階段關卡、80位最終闖關成功，闖關者普遍反應難易適中、解開很有成就感，為呼應「鏈出世界、解密未來」大會主題，攤位成功過關者可參加射飛鏢遊戲，以獲得更多主辦單位發行的HITCON Token虛擬幣，在大會中換取紀念品及獎勵。圖:熱絡的活動現場攤位活動題目解題流程說明 一開始在攤位上取得一張名片，上面載明了公司和該名員工的公開資訊，也就是一般人際交流中就可取得的使用者資料，攻擊目標則是一個只有登入畫面的網站系統。圖:左圖為名片，右圖為目標系統 針對姓名進行搜索，即可找到該人員的Facebook頁面，以及連接的Google+等社交圈，在這些社交媒體中，大頭照及姓名皆為公開顯示，而貼文權限則可由使用者自行決定，許多無隱私觀念的使用者，常會洩漏更多可用資訊，從中可取得個人的喜好與行蹤等。圖: FB頁面 在尋找的過程中，發現該人員使用了Trello的看板式管理網站，其中在待辦事項中，可找到一個開發中系統的功能要求列表，以及Github連結。有些人為求方便分享給朋友，會無意將Trello的權限設為Public，洩漏更多敏感資訊。圖: Trello畫面 在Github中，發現了目標系統的原始碼，以及程式更新紀錄(Commits)，找到了一組帳號及密碼，密碼為一組md5雜湊值。由於Github免費使用者必須將開發專案設定為公開，因此任何人皆可存取，且git的特性是可以對程式碼進行版本控管，每一次commit後的結果都會保存下來，即使在最新版本刪除內容，並無法消除過去的紀錄。圖:從修改紀錄中找回原始的程式內容 在程式碼中可以發現密碼經過了一次md5，因此只能取得雜湊值，但僅進行一次的md5並不是安全的作法，在本案例中，長度8碼、含大小寫英數字及符號的密碼，不需要暴力運算，只需經過Google或利用線上解即可破解還原，取得原始密碼。圖:在網路上即可搜尋到雜湊值的原始明文 利用原始碼中發現的帳號及還原的密碼，即可成功登入系統，至此即完成了第一階段的模擬入侵。挑戰者可繼續第二階段的挑戰，透過常見的流程和程式設計缺失，以及利用前述搜尋過程中的所發現的使用者個人資訊，將另一個系統攻破。結論與建議 在流程中所使用的社交媒介、看板式管理、程式碼版控等網站，本身並沒有漏洞，而是利用人員使用產生的資訊，以某種關聯相連而成社交網路，再與目標公司相關聯後，無形中拉高了對企業的威脅。 攻擊者若直接嘗試入侵本例中的系統，因程式簡單且帳號及密碼強度足夠，入侵相當困難，所以在傳統的弱點掃描或滲透測試，皆無法找出漏洞，但是透過人員洩漏的資訊，最快在10分鐘即可入侵並成為管理者，由此可見，人性的弱點永遠是安全管理上的最大風險。 因此，無論是系統開發、維護或使用人員，皆應進行安全意識的教育訓練與社交工程演練，避免企業的資訊透過類似的管道洩漏，或遭到釣魚攻擊取得，一旦重要的存取點遭駭客進入，立刻門戶洞開，即使建置再多的安全防護設備都無法發揮作用。另外，也建議定期實施包含APT攻擊的進階滲透測試，亦即時下倡導的紅隊演練(Red Team)，以稽核系統和人員意識的安全強度。 最後，密碼保存部份應遵循正確的作法，無論是明文保存或一次性雜湊，皆為常見且錯誤的方式，正確作法應運用「加鹽雜湊」(Salted-Hash)，即先為密碼加上一段秘密長字串(salt)，再重覆進行多次雜湊運算後，才存入資料庫，理想的實作方式是依每一個不同使用者，配置不同的salt，使用者日後輸入的密碼，一樣經過同樣步驟運算出雜湊值，比對之下即可得知是否輸入正確密碼，達到安全保存的目的。