网络安全预警通报
2020年第5期 (总第15期)
西安交通大学网络信息中心 2020年8月18日
【预警类型】高危预警
【预警内容】
关于深信服终端检测平台(EDR)存在远程命令执行漏洞的安全公告
安全公告编号:CNTA-2020-0019
2020年8月18日,国家信息安全漏洞共享平台(CNVD)收录了深信服终端检测平台(EDR)远程命令执行漏洞(CNVD-2020-46552)。攻击者利用该漏洞可远程执行系统命令,获得目标服务器的权限。深信服官方已发布更新版本和补丁,建议相关用户尽快升级至3.2.21版本或升级补丁修复漏洞。
一、漏洞情况分析
终端检测响应平台(EDR)是由深信服科技股份有限公司开发的终端安全解决方案。EDR管理平台支持统一化的终端资产管理、终端病毒查杀、终端合规性检查和访问控制策略管理,支持对安全事件的一键隔离处置,以及对热点事件IOC的全网威胁定位。绝大多数的EDR管理平台部署于内网环境中,少数系统可以通过外网地址访问。
2020年8月18日,国家信息安全漏洞共享平台(CNVD)收录了深信服终端检测平台(EDR)远程命令执行漏洞(CNVD-2020-46552)。攻击者利用该漏洞,可在未授权的情况下向目标服务器发送恶意构造的HTTP请求,从而获得目标服务器的权限,实现远程命令执行。
CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品版本包括:深信服EDR 3.2.16、3.2.17、3.2.19版本,其他版本不受影响。
三、漏洞处置建议
目前,深信服官方已发布更新版本和修复补丁,更新至3.2.21版本或升级补丁可修复该漏洞。
1、深信服已经通过在线升级功能完成漏洞补丁的在线升级修复,用户开启在线升级功能后即可升级至最新版本。
2、针对未开通在线升级功能的用户,深信服将通过客服热线主动指导用户升级,直至升级成功。同时,用户也可以通过自行下载3.2.21版本升级安装包:
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000035115623/all/undefined
然后打开EDR管理平台后台,在系统管理--升级管理--平台和终端升级中导入该下载升级安装包,导入后,管理平台和终端将自动升级至3.2.21版本。
3、如暂时无法升级,可临时对深信服EDR系统服务配置IP访问权限策略,将其可访问的IP范围控制在安全可控的区域内。
建议使用深信服EDR系统信息系统运营者及时自查,发现存在漏洞后,按照漏洞处置建议及时进行加固处置。
