NEWS

深信服发布针对SSL VPN漏洞的整体修复方案. 2020-04-07


  针对近日某黑客组织利用个别深信服用户的SSLVPN设备漏洞的事件,深信服第一时间成立应急事件小组,研究应对本次事件的用户对策。

 
  经过48小时的不懈努力,深信服已完成全面安全风险排查,紧急发布SSLVPN产品修复补丁。用户安装修复补丁升级SSLVPN产品后,可自动更新并恢复被篡改的客户端,抵御恶意攻击。除修复补丁外,针对本次恶意攻击,深信服已上线包含篡改检测工具、恶意软件查杀工具等在内的整体解决方案,用户可根据自身情况安装使用,全面消除安全隐患。
 
  事件溯源
 
  经深信服千里目实验室分析发现,该事件的始作俑者为某黑客组织,其通过密码爆破等手段控制少量深信服SSLVPN设备,并利用SSLVPN客户端升级漏洞下发恶意文件到客户端,威胁用户安全。
 
  本次漏洞系SSLVPN设备Windows客户端升级模块签名验证机制的缺陷,但该漏洞利用前提需通过获取SSLVPN设备管理员账号密码等方式控制SSLVPN设备的权限,因此利用难度较高。经深信服监测,目前受影响用户数量有限。
 
  深信服应对方案指引
 
  1.安装客户端修复补丁
 
  针对此次发现的漏洞,深信服已全面排查安全隐患,SSLVPN产品修复补丁已正式发布。
 
  修复补丁包下载地址:
 
  https://bbs.sangfor.com.cn/activity.php?mod=packs
 
  ※操作指南:下载补丁包后,在VPN设备上升级该补丁包,升级后客户端用户登录VPN时将自动更新修复后的客户端。
 
  2.使用专属脚本检测工具检测
 
  深信服已发布SSLVPN设备篡改检测脚本工具,对于担心VPN设备被恶意入侵的用户,可使用该脚本工具自行检测SSLVPN设备是否被控制篡改。
 
  自检工具地址及使用说明文档:
 
  http://download.sangfor.com.cn/download/product/sslvpn/SSLVPN设备EC控件检测工具v1.1.zip
 
  3.使用恶意文件查杀工具查杀
 
  针对入侵SSLVPN设备的恶意文件,深信服已发布32位和64位系统的查杀工具,实现恶意文件的彻底查杀。如果自检确认遭受恶意文件感染,请通过下方链接下载安装恶意文件查杀工具,消除威胁。
 
  32位系统查杀工具下载地址:
 
  http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X86.zip
 
  64位系统查杀工具下载地址:
 
  http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X64.zip
 
  ※操作指南:下载运行查杀工具后,点击「全盘扫描」按钮,即可进行全盘查杀。

 
  深信服终端检测响应平台EDR也已支持检测查杀该恶意文件,安装EDR的用户只需更新规则库到20200406135939及以上版本,即可全网查杀该恶意木马。
 
  4.7*24专家技术支持
 
  针对受影响用户,深信服已启动7*24小时安全专家服务,用户可根据实际情况,选择线上远程协助;如情况严重,深信服将派驻安全专家上门修复。
 
  
 
  来源:深信服


上一篇:威胁搜寻–网络安全范式的转变
下一篇:上网行为管理系统:企业如何保障员工利益?