查看原文
其他

深信服48小时紧急发布SSL VPN漏洞修复方案

特大牛 2022-04-26

针对近日某黑客组织利用个别深信服用户的SSL VPN设备漏洞的事件,深信服第一时间成立应急事件小组,研究应对本次事件的用户对策。


经过48小时的不懈努力,深信服已完成全面安全风险排查,紧急发布SSL VPN产品修复补丁。


用户安装修复补丁升级SSL VPN产品后,可自动更新并恢复被篡改的客户端,抵御恶意攻击。


除修复补丁外,针对本次恶意攻击,深信服已上线包含篡改检测工具、恶意软件查杀工具等在内的整体解决方案,用户可根据自身情况安装使用,全面消除安全隐患。



事件溯源


近日,360安全大脑捕获到一起劫持深信服VPN的安全服务从而下发恶意文件的APT攻击活动,并第一时间将漏洞细节报告给厂商并得到确认。


深信服千里目实验室分析发现,该事件的始作俑者为某黑客组织——来自半岛的APT组织Darkhotel(APT-C-06),其通过密码爆破等手段控制少量深信服SSL VPN设备,并利用SSL VPN客户端升级漏洞下发恶意文件到客户端,威胁用户安全。



造成影响:

今年3月开始已失陷的VPN服务器超200台, 中国多处驻外机构遭到攻击。


4月初攻击态势又再向北京、上海相关政府机构蔓延


根据监测分析发现,攻击者已控制了大量相关单位的VPN服务器并控制了大量相关单位的计算机终端设备

 

本次漏洞系SSL VPN设备Windows客户端升级模块签名验证机制的缺陷,该漏洞利用前提需通过获取SSL VPN设备管理员账号密码等方式控制SSL VPN设备的权限,因此利用难度较高。



深信服紧急发布修复方案


1.安装客户端修复补丁

针对此次发现的漏洞,深信服已全面排查安全隐患,SSL VPN产品修复补丁已正式发布。

修复补丁包下载地址:

https://bbs.sangfor.com.cn/activity.php?mod=packs


操作指南:下载补丁包后,在VPN设备上升级该补丁包,升级后客户端用户登录VPN时将自动更新修复后的客户端。


2.使用专属脚本检测工具检测

深信服已发布SSL VPN设备篡改检测脚本工具,对于担心VPN设备被恶意入侵的用户,可使用该脚本工具自行检测SSL VPN设备是否被控制篡改。


自检工具地址及使用说明文档:

http://download.sangfor.com.cn/download/product/sslvpn/SSL VPN设备EC控件检测工具v1.1.zip

(请复制上述完整地址进行下载查看)


3.使用恶意文件查杀工具查杀

针对入侵SSL VPN设备的恶意文件,深信服已发布32位和64位系统的查杀工具,实现恶意文件的彻底查杀。如果自检确认遭受恶意文件感染,请通过下方链接下载安装恶意文件查杀工具,消除威胁。


32位系统查杀工具下载地址:

http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X86.zip


64位系统查杀工具下载地址:

http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X64.zip


操作指南:下载运行查杀工具后,点击「全盘扫描」按钮,即可进行全盘查杀。


深信服终端检测响应平台EDR也已支持检测查杀该恶意文件,安装EDR的用户只需更新规则库到20200406135939及以上版本,即可全网查杀该恶意木马。


4. 7*24 专家技术支持

深信服已启动7*24小时安全专家服务;如情况严重,深信服将派驻安全专家上门修复。





中央国家机关,2020政采新规!

浪潮、用友、大华、紫光国微,2019业绩年报!

6139万,华西医院大数据平台招标;3882万,阿里云中标重庆水务集团大数据平台

2亿福州公安云平台招标!5740万滁州市南谯公安雪亮招标!3664万,三明公安局雪亮招标

近期,千万级的项目多了起来!市场在复苏...



欢迎新闻投稿
特大牛平台入驻企业优先发布
email:tdn@itxxxl.com


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存