經(jīng)過(guò)48小時(shí)的不懈努力,深信服已完成全面安全風(fēng)險排查,緊急發(fā)布SSL VPN產(chǎn)品修復補丁。用戶(hù)安裝修復補丁升級SSL VPN產(chǎn)品后,可自動(dòng)更新并恢復被篡改的客戶(hù)端,抵御惡意攻擊。除修復補丁外,針對本次惡意攻擊,深信服已上線(xiàn)包含篡改檢測工具、惡意軟件查殺工具等在內的整體解決方案,用戶(hù)可根據自身情況安裝使用,全面消除安全隱患。
事件溯源
經(jīng)深信服千里目實(shí)驗室分析發(fā)現,該事件的始作俑者為某黑客組織,其通過(guò)密碼爆破等手段控制少量深信服SSL VPN設備,并利用SSL VPN客戶(hù)端升級漏洞下發(fā)惡意文件到客戶(hù)端,威脅用戶(hù)安全。
本次漏洞系SSL VPN設備Windows客戶(hù)端升級模塊簽名驗證機制的缺陷,但該漏洞利用前提需通過(guò)獲取SSL VPN設備管理員賬號密碼等方式控制SSL VPN設備的權限,因此利用難度較高。經(jīng)深信服監測,目前受影響用戶(hù)數量有限。
深信服應對方案指引
1.安裝客戶(hù)端修復補丁
針對此次發(fā)現的漏洞,深信服已全面排查安全隱患,SSL VPN產(chǎn)品修復補丁已正式發(fā)布。
修復補丁包下載地址:
https://bbs.sangfor.com.cn/activity.php?mod=packs
※操作指南:下載補丁包后,在VPN設備上升級該補丁包,升級后客戶(hù)端用戶(hù)登錄VPN時(shí)將自動(dòng)更新修復后的客戶(hù)端。
2.使用專(zhuān)屬腳本檢測工具檢測
深信服已發(fā)布SSL VPN設備篡改檢測腳本工具,對于擔心VPN設備被惡意入侵的用戶(hù),可使用該腳本工具自行檢測SSL VPN設備是否被控制篡改。
自檢工具地址及使用說(shuō)明文檔:
http://download.sangfor.com.cn/download/product/sslvpn/SSL VPN設備EC控件檢測工具v1.1.zip
(請復制上述完整地址進(jìn)行下載查看)
3.使用惡意文件查殺工具查殺
針對入侵SSL VPN設備的惡意文件,深信服已發(fā)布32位和64位系統的查殺工具,實(shí)現惡意文件的徹底查殺。如果自檢確認遭受惡意文件感染,請通過(guò)下方鏈接下載安裝惡意文件查殺工具,消除威脅。
32位系統查殺工具下載地址:
http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X86.zip
64位系統查殺工具下載地址:
http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X64.zip
※操作指南:下載運行查殺工具后,點(diǎn)擊「全盤(pán)掃描」按鈕,即可進(jìn)行全盤(pán)查殺。
深信服終端檢測響應平臺EDR也已支持檢測查殺該惡意文件,安裝EDR的用戶(hù)只需更新規則庫到20200406135939及以上版本,即可全網(wǎng)查殺該惡意木馬。
4. 7*24 專(zhuān)家技術(shù)支持
針對受影響用戶(hù),深信服已啟動(dòng)7*24小時(shí)安全專(zhuān)家服務(wù),用戶(hù)可根據實(shí)際情況,選擇線(xiàn)上遠程協(xié)助;如情況嚴重,深信服將派駐安全專(zhuān)家上門(mén)修復。
聯(lián)系方式:可聯(lián)系深信服當地技術(shù)服務(wù)團隊或撥打400-630-6430電話(huà)獲取支持
用戶(hù)安全始終是深信服的價(jià)值依歸,深信服將對現有產(chǎn)品進(jìn)行全面的檢視和更嚴格的驗證測試,致力于為用戶(hù)提供更加安全的產(chǎn)品、服務(wù)和解決方案;同時(shí),我們也將更快速地響應用戶(hù)的實(shí)際需求、聆聽(tīng)用戶(hù)的反饋建議。
感謝您對深信服長(cháng)期以來(lái)的支持和關(guān)注,深信服將持續優(yōu)化產(chǎn)品和服務(wù),為您的業(yè)務(wù)安全合規開(kāi)展提供保障!
深信服科技股份有限公司
2020年04月07日
