美國教育部發布了一則關於 ERP 軟體漏洞的資安通報,建議受影響機構要馬上進行修補。據報有 62 所大專院校因為網站的招生功能受到入侵,並且讓駭客劫持學生證號來建立詐騙用帳號。這個漏洞出現在 Ellucian Banner Web Tailor 模組和 Ellucian Banner Enterprise Identity Services 模組(CVE-2019-8978),已經由該公司在 5 月份披露及修補,但還是有許多大專學院仍在運行未經修補過的版本。
資安專家 Joshua Mulliken 披露了這兩個模組會讓學生連線 session 被存取的認證機制漏洞(CWE-287)。攻擊者利用模塊處理單一登入(SSO)競爭條件(race condition)的錯誤來竊取學生的連線 session 和機構 ID。對學生造成阻斷服務(DoS)攻擊來讓駭客取得認證以建立假帳號。
根據美國教育部的公告,有至少 600 個詐騙用帳號在 24 小時內被建立,而且這活動還持續了數天。他們同時警告說,假帳號幾乎立即就被用於網路犯罪活動,不過沒有提供進一步的相關細節。
【 延伸閱讀:Mirrorthief 駭客集團利用 Magecart 旁錄攻擊來攻擊數百家美國和加拿大的校園網路商店 】
資安通報指出,使用該系統的學校可能沒有足夠的安全措施來分離 ERP 系統與學生財務援助資料等相關功能,並且建議被入侵的學校採取適當措施來防止進一步的非法存取和風險。雖然該公司在披露安全漏洞技術細節時也同時發布了所需的修補程式,但根據公告,只有一家大學在通報前有更新修補程式。
產品 / 元件終止服務公告
已終止服務產品 / 掃描引擎
產品 ---- Software
版本
終止服務日期
建議升級版本
Deep Security (Software Appliance)
9.5
AUG/12/2019
10
TMCM
6.0
JUN/30/2019
7.0
Deep Security (Solaris)
9
MAR/31/2019
10
OfficeScan
11
JAN/31/2019
XG
NETWORK VIRUSWALL
1500i/3500i/3600i
DEC/31/2018
Deep Security
9
DEC/31/2018
9.6
IMSVA
9
OCT/31/2018
9.1
OfficeScan (En)
11
OCT/17/2018
XG
Deep Security
9.5
AUG/17/2018
9.6
TREND MICRO ENDPOINT SENSOR (TMES)
1.5
AUG/11/2018
1.6
TMCM
6
JUL/31/2018
7
DEEP DISCOVERY ANALYZER (DDAn)
5.1
APR/01/2018
IMSS for Windows
7.1
JAN/21/2018
IMSVA 9.1
IWSVA
6
DEC/31/2017
6.5
Worry-Free Business Security - Standard/Advanced
8
DEC/31/2017
9
SECURITY FOR MACINTOSH (TMSM)
2
DEC/01/2017
3
預計 1 年內終止服務產品 / 掃描引擎
產品 ---- Software
版本
預計終止服務日期
建議升級版本
SAFESYNC FOR ENTERPRISE
3.x
JUN/30/2020
DEEP DISCOVERY ANALYZER (DDAn)
5.5
JUN/30/2020
5.8
DEEP DISCOVERY INSPECTOR (DDI)
3.8
JUN/30/2020
5.x
Deep Security
10
MAR/9/2020
11
OfficeScan (En)
11 SP1
OCT/31/2019
XG
重要更新公告
Security Patch / Critical Patch:
產品 ---- Software
版本
檔案下載
請注意:趨勢科技將會停止已終止服務的產品 / 元件版本的技術支援服務 (包含:電話、線上 submit 案件,傳真服務與此版本的 hotfix, patch, service pack 以及相關防毒元件的更新)。 ......[更多終止服務相關資訊]
