【安全预警】境外非法组织利用深信服SSL VPN下发恶意文件并发起APT攻击活动

作者:平台管理员 | 国内 2020/04/06 11:15:30 347


       近日,有消息称境外APT组织利用深信服SSL VPN设备发起恶意攻击,对此深信服高度重视,已经成立应急事件小组,对该事件进行彻底的排查,现将情况及当前处置进展说明如下:


       经分析,该事件为境外非法组织通过非法手段控制部分深信服SSL VPN设备,并利用客户端升级漏洞下发恶意文件到客户端的APT攻击活动。


       本次漏洞为SSL VPN设备Windows客户端升级模块签名验证机制的缺陷,但该漏洞利用前提是必须已经获取控制SSL VPN设备的权限,因此利用难度较高。 初步预估,受影响的VPN设备数量有限。


        针对该事件,深信服第一时间启动紧急响应机制,并制定响应措施:


       1、4月5日24:00前,深信服针对已确认遭受攻击的SSL VPN设备版本(M6.3R1版本、 M6.1版本)紧急发布修复补丁,并安排技术服务人员对受影响用户主动上门排查与修复

       2、4月6日,深信服将针对本次APT攻击发布SSL VPN设备篡改检测脚本,用户可使用脚本自行检测设备是否被篡改及是否需要修复补丁

       3、4月6日24:00前,将提供SSL VPN设备主要标准版本修复补丁,4月7日开始将提供其他版本修复补丁,修复后可自动更新并恢复被篡改的客户端;

        4、4月6日24:00前,深信服将发布恶意文件的专杀工具,对受到影响的SSL VPN客户免费提供。


        与此同时,深信服针对该事件,为深信服SSL VPN用户提供以下处置建议:

       1、建议用户限制外网或非信任IP访问VPN服务器的4430控制台管理端口,阻断黑客针对VPN服务器管理后台进行的攻击;

       2、建议加强账号保护,使用高强度的密码,防止管理员密码被暴力破解;

       3、在深信服官方渠道发布篡改检测脚本后,使用脚本检测设备是否被入侵,如被入侵,联系深信服技术人员采用专杀工具对木马文件彻底查杀;

       4、通过打补丁做好修复工作,补丁将通过官方渠道发布;

      5、深信服SSL VPN用户如需协助排查,可以联系深信服当地技术服务团队或拨打400-630-6430电话获取支持,深信服技术服务人员将全力协助进行处置和修复。


推荐关注

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室