安全通告-黑客利用深信服 SSL VPN 发起攻击的风险提示
发布时间:2020-04-06
阅读次数:9690
摘要
此次事件是黑客利用非法控制的深信服 SSL VPN 设备(利用其客户端升级校验缺陷),投递具备恶意功能的升级文件“SangforUD.exe”到 VPN 客户端。
攻击者投递的“SangforUD.exe”后门是一个具备持久化攻击能力的木马下载器,通过HTTP 方式回传加密的系统信息和下载下阶段载荷运行,最终目的是远程控制、信息窃取,建议使用深信服 VPN 产品的用户高度重视,并参考【处置建议】立即进行检测、处置。
处置建议
1. 排查是否已被入侵
排查“%AppData%\Roaming\Sangfor\SSL ”目录是否存在“ .SangforUD.sum ”、“SangforUPD.exe”,如存在则已被安装木马。
使用深信服产品的用户排查任务计划是否存在“Sangfor update”自启动项,如存在则已被安装木马。
2. 做好 VPN 安全防护
建议限制 VPN 服务器的 4430 管理后台控制端口的公网访问,阻断黑客针对 VPN 服务器管理后台进行的攻击。
建议对 VPN 服务器管理后台登录账号使用高复杂度密码(12位以上,数字、大小写字母及特殊字符的组合),防止黑客利用爆破等手段获取 VPN 服务器的控制权限。
积极联系深信服厂商,关注厂商补丁和更新,及时安装补丁。
/
网络安全